一、DDoS拒絕服務攻擊簡介

“拒絕服務（Denial-Of-Service）攻擊就是消耗目標主機或者網絡的資源，從而干擾或者癱瘓其為合法用戶提供的服務。”國際權威機構“Security FAQ”給出的定義。

DDOS則是利用多臺計算機機，采用了分布式對單個或者多個目標同時發起DoS攻擊。其特點是：目標是“癱瘓敵人”，而不是傳統的破壞和竊密；利用國際互聯網遍布全球的計算機發起攻擊，難于追蹤。

目前DDoS攻擊方式已經發展成為一個非常嚴峻的公共安全問題，被稱為“黑客終極武器”。但是不幸的是，目前對付拒絕服務攻擊的技術卻沒有以相同的速度發展，TCP/IP互聯網協議的缺陷和無國界性，導致目前的國家機制和法律都很難追查和懲罰DDoS攻擊者。DDoS攻擊也逐漸與蠕蟲、 Botnet相結合，發展成為自動化播、集中受控、分布式攻擊的網絡訛詐工具。據方正信息安全技術有限公司的有關專家介紹，DOS從防御到追蹤，已經有了非常多的辦法和理論。比如SynCookie，HIP(History-based IP filtering)、ACC控制等,另外在追蹤方面也提出許多理論方法，比如IP Traceback、ICMP Traceback、Hash-Based IP traceback、Marking等。但目前這些技術僅能起到緩解攻擊、保護主機的作用，要徹底杜絕DDoS攻擊將是一個浩大的工程技術問題。

二、攻擊原理

目前DDoS攻擊主要分為兩類：帶寬耗盡型和資源耗盡型。

帶寬耗盡型主要是堵塞目標網絡的出口，導致帶寬消耗不能提供正常的上網服務。例如常見的Smurf攻擊、UDP Flood攻擊、MStream Flood攻擊等。針對此類攻擊一般采取的措施就是QoS，在路由器或防火墻上針對此類數據流限制流量，從而保證正常帶寬的使用。單純帶寬耗盡型攻擊較易被識別，并被丟棄。

資源耗盡型是攻擊者利用服務器處理缺陷，消耗目標服務器的關鍵資源，例如CPU、內存等，導致無法提供正常服務。例如常見的Syn Flood攻擊、NAPTHA攻擊等。資源耗盡型攻擊利用系統對正常網絡協議處理的缺陷，使系統難于分辨正常流和攻擊流，導致防范難度較大，是目前業界最關注的焦點問題，例如方正SynGate產品就是專門防范此類的產品。

針對DDoS的攻擊原理，對DDoS攻擊的防范主要分為三層：Source-end攻擊源端防范、Router-based路由器防范、 Target-end目標端防范。其中攻擊端防護技術有DDoS工具分析和清除、基于攻擊源的防范技術；骨干網防護技術有會推技術、IP追蹤技術；目標端防護措施有DDoS攻擊探測、路由器防范、網關防范、主機設置等方法。

據方正安全工程師的多次實踐分析，目標端防護技術得到最廣泛應用。由于目標端使被攻擊者，愿意為防護付出相應代價，并且實施難度也較低。而骨干網防范、攻擊端防范都難于實施，合作意愿和難度上都有一定程度的問題

三、綜合防范方法綜述

目前基于目標計算機系統的防范方法主要三類：網關防范、路由器防范、主機防范。

1.網關防范

網關防范就是利用專門技術和設備在網關上防范DDoS攻擊，例如用透明橋接入網絡的方正防火墻或方正黑鯊等硬件產品。網關防范主要采用的技術有SynCookie方法、基于IP訪問記錄的HIP方法、客戶計算瓶頸方法等。

SynCookie方法是在建立TCP連接時，要求客戶端響應一個數字回執，來證明自己的真實性。SynCookie方法解決了目標計算機系統的半開連接隊列的有限資源問題，從而成為目前被最廣泛采用的DDoS防范方法，新的SCTP協議和DCCP協議也采用了類似的技術。SynCookie 方法的局限性在于，對于建立連接的每一個握手包，都要回應一個響應包，即該方法會產生1:1的響應流，會將攻擊流倍增，極大的浪費帶寬資源；此外，當分布式拒絕服務攻擊的發起者采用隨機源地址時，SynCookie方法產生的回應流的目標地址非常發散，從而會導致目標計算機系統及其周邊的路由設備的路由緩沖資源被耗盡，從而形成新的被攻擊點，在實際的網絡對抗中也產生了真實的路由雪崩事件。

HIP方法采用行為統計方法區分攻擊包和正常包，對所有訪問IP建立信任級別。當發生DDoS攻擊時，信任級別高的IP有優先訪問權，從而解決了識別問題。

客戶計算瓶頸方法則將訪問時的資源瓶頸從服務器端轉移到客戶端，從而大大提升分布式拒絕服務攻擊的代價，例如資源訪問定價方法?？蛻粲嬎闫款i方法協議復雜，需要對現有操作系統和網絡結構進行很大的變動，這也在很大程度上影響了該方法的可操作性。

綜上所述，網關防范DDoS技術能夠有效緩解攻擊壓力，適合被攻擊者的自身防護。

2.路由器防范

基于骨干路由的防范方法主要有pushback和SIFF方法。但由于骨干路由器一般都有電信運營商管理，較難按照用戶要求進行調整；另外，由于骨干路由的負載過大，其上的認證和授權問題難以解決，很難成為有效的獨立解決方案。因此，基于骨干路由的方法一般都作為輔助性的追蹤方案，配合其他方法進行防范。

基于路由器的ACL和限流是比較有效的防范措施，例如對特征攻擊包進行訪問限制，發現攻擊者IP的包就丟棄；或者對異常流量進行限制等。也可以打開Intercept模式，由路由器代替服務器響應Syn包，并代表客戶機建立與服務器的連接。類似一種SynProxy技術，當兩個連接都成功實現后，路由器再將兩個連接透明合并。應用實例請參見www.icst.pku.edu.cn網站

四、防范技術發展和趨勢

DDoS攻擊的發展非?？欤瑸樵黾庸敉Γ壳耙呀洸捎昧嗽S多新攻擊技術：偽造數據，消除攻擊包特征；綜合利用協議缺陷和系統處理缺陷；使用多種攻擊包混合攻擊；采用攻擊包預產生法，提高攻擊速率。目前已經出現的攻擊工具在單點情況下能發起6－7萬個/秒攻擊包，足以堵塞一個百兆帶寬的大中型網站。

DDoS防范技術主要向攻擊追蹤、網關防范發展。利用ICMP數據包追蹤、或是Burch 和 Cheswick提出的通過標志數據包來追蹤的方法，都是目前研究的熱點。在骨干網上攻擊追蹤研究的目標就是，在攻擊者剛開始發起攻擊時就能定位攻擊源，從而阻擋攻擊擴散和減輕目標損失。而網關DDoS防范技術將是未來產品發展的重點，將成為各類網站的DDoS防護盾牌，目前研究熱點的也是利用行為統計等方法區分攻擊包，例如方正黑鯊采用的CIP技術等。隨著技術的發展，網關DDoS防范產品將得到廣泛的應用。
 

【編輯推薦】

1. Cisco防火墻服務模塊應用檢查拒絕服務漏洞
2. 安全大講堂之UTM 防拒絕服務攻擊技術
3. Windows內核畸形PE文件遠程拒絕服務漏洞