變異DDOS攻擊防范措施

　　本文首先介紹了網絡攻擊對目前網絡安全的影響及分布式拒絕服務攻擊的工作原理和現狀，接著分析了分布式拒絕服務的攻擊類型，並探析新型攻擊類型的核心技術和防范對策。將新型的DDOS的3 類攻擊方式：基於堵流量的攻擊方式、基於網站腳本的攻擊方式、另類攻擊方式進行了探析，最後給出攻擊方式相應的安全策略和防御對策。

　　一、背景

　　隨著網絡技術的發展，人們的生活和工作已經 同它密不可分，人們在享受信息技術所帶來便捷的 同時，也遭受著各類網絡信息被黑客惡意攻擊、信息 被竊取等不同形式的網絡攻擊，並且這種攻擊變得 越來越嚴重。網絡上的惡意攻擊實際上就是尋找一 切可能存在的網絡安全缺陷來達到對系統及資源的 損害，從而達到惡意的目的。分布式拒絕服務攻擊 （以下稱 DDOS） 就是從1996 年出現，在中國 2002 年開始頻繁出現的一種攻擊方式。

　　分布式拒絕服務攻擊（DDOS 全名是 Distribut- ed Denial of service），DDOS 攻擊手段是在傳統的DoS 攻擊基礎之上產生的一類攻擊方式。單一的DOS攻擊一般是采用一對一方式的，當攻擊目標 CPU 速度低、內存小或者網絡帶寬小等等各項性 能指標不高它的效果是明顯的。

　　隨著計算機與網絡技術的發展，計算機的處理能力迅速增長，內存 大大增加，同時也出現了千兆級別的網絡，這使得 DOS 攻擊的困難程度加大了，目標對惡意攻擊包的 " 消化能力 " 加強了不少，例如：你的攻擊軟件 每秒鐘可以發送4000 個攻擊包，但我的主機與網 絡帶寬每秒鐘可以處理 20000 個攻擊包，這樣一來 攻擊就不會產生什麼效果。 分布式拒絕服務攻擊使用了分布式客戶服務器 功能，加密技術及其它類的功能，它能被用於控制任 意數量的遠程機器，以產生隨機匿名的拒絕服務攻 擊和遠程訪問。為了有效防范網絡入侵和攻擊，就必 須熟悉網絡入侵和攻擊的手段和原理，在此基礎上 才能制定行之有效的防范對策和防御措施，從而確 保網絡信息的安全。

　　二、DDOS攻擊的現象及攻擊方式

　　目前防火牆技術、性能的提升、計算機安全檢測方式的多樣化、網絡拓撲結構的不斷優化，計算機網絡系統的安全性能得到了一定程度的提升。傳統的DOS攻擊已經很難起到多大的效果。

　　2011 年5月30日，美國政府表示，已經向全球最大軍火商洛克希德 - 馬丁公司（以下簡稱“洛馬”）提供幫助，克服網絡攻擊帶來的負面影響。洛馬5 月21日宣布，該公司的計算機網絡持續遭遇“猛烈攻擊”。美國國土安全部的一名發言人稱，該部及國防部已經了解洛馬遭遇網絡攻擊，並向該公司提供幫助。網 絡安全使 們每時每刻都關心的問題，因為我們的生活已經與它有越來越多的交集。被DDOS攻擊時的現象是能瞬間造成對方電腦死機或者假死，我曾經測試過，攻擊不到1 秒鐘，電腦就已經死機和假死，鼠標圖標不動了，系統發出滴滴滴滴的聲音，主要攻擊方式包括：TCP 全連接攻擊、SYN 變種攻擊、TCP混亂數據包攻擊、針對用UDP協議的攻擊、針對WEB Server的多連接攻擊及變種攻擊、針對游戲服務器的攻擊。新型的DDOS攻擊方式大致分為3類：基於堵流量的攻擊方式、基於網站腳本的攻擊方式、另類攻擊方式。為便於說明， 以下特別以寄信者（攻擊者）—郵局（硬件防火牆） —收信者（服務器）作為事例輔助說明。

　　（一）基於堵流量的攻擊方式

　　這類攻擊方式傷人先傷己，犧牲自己的帶寬流 量去堵別人的帶寬流量，造成他人無法訪問。就好象 某個寄信者通過郵局給你寄了數量極其龐大的垃圾 信件，而收件者的信箱容量是有限的，從而導致收信 者的信箱被塞滿，其他的正常信件無法投遞過來。

　　1.SYN 變種攻擊模式

　　這種攻擊方式發送偽造源 IP 的 SYN 數據包，與傳統的 SYN 攻擊不同的是，它的數據包不是過去 的六十四字節，而是多達上千字節，這樣的攻擊方式 會造成一些防火牆處理錯誤進而導致鎖死，在消耗 掉服務器 CPU 和內存的同時還會阻塞網絡帶寬。除 此之外，還可以通過發送偽造源 IP 的 TCP 數據包， 並且在 TCP 頭的 TCP 標志位進行隨機設置，造成其 標志位的混亂。而再強大的防火牆的數據吞吐量也 是有限的，因此在這樣的攻擊方式面前，防火牆常常無計可施。

　　2.TCP 並發攻擊模式

　　每台電腦的套接字數量都是有限的，Windows 規定每個應用程序最大使用的套接字數量是 1024 個。這種攻擊方式就是利用了Windows的 這一特 性，在短時間內不斷對目標主機的特定端口創建TCP 連接，消耗其套接字資源，直到其用盡為止。這樣也就導致此端口無法正常提供服務了。這種攻擊是為了繞過常規防火牆的檢查而設計的，因為常規的防火牆大多具 備如SYN、UDP、ICMP 等傳統的DDOS 攻擊的防御過濾功能，但對於正常的TCP連接是放過的。