DDoS拒絕服務攻擊和安全防范技術

一、DDoS拒絕服務攻擊簡介

“拒絕服務(Denial-Of-Service)攻擊就是消耗目標主機或者網絡的資源，從而干擾或者癱瘓其為合法用戶提供的服務。”國際權威機構“Security FAQ”給出的定義。

DDOS則是利用多台計算機機，采用了分布式對單個或者多個目標同時發起DoS攻擊。其特點是：目標是“癱瘓敵人”，而不是傳統的破壞和竊密;利用國際互聯網遍布全球的計算機發起攻擊，難於追蹤。

目前DDoS攻擊方式已經發展成為一個非常嚴峻的公共安全問題，被稱為“黑客終極武器”。但是不幸的是，目前對付拒絕服務攻擊的技術卻沒有以相同的速度發展，TCP/IP互聯網協議的缺陷和無國界性，導致目前的國家機制和法律都很難追查和懲罰DDoS攻擊者。DDoS攻擊也逐漸與蠕蟲、 Botnet相結合，發展成為自動化播、集中受控、分布式攻擊的網絡訛詐工具。

二、攻擊原理

目前DDoS攻擊主要分為兩類：帶寬耗盡型和資源耗盡型。

帶寬耗盡型主要是堵塞目標網絡的出口，導致帶寬消耗不能提供正常的上網服務。例如常見的Smurf攻擊、UDP Flood攻擊、MStream Flood攻擊等。針對此類攻擊一般采取的措施就是QoS，在路由器或防火牆上針對此類數據流限制流量，從而保證正常帶寬的使用。單純帶寬耗盡型攻擊較易被識別，並被丟棄。

資源耗盡型是攻擊者利用服務器處理缺陷，消耗目標服務器的關鍵資源，例如CPU、內存等，導致無法提供正常服務。例如常見的Syn Flood攻擊、NAPTHA攻擊等。資源耗盡型攻擊利用系統對正常網絡協議處理的缺陷，使系統難於分辨正常流和攻擊流，導致防范難度較大，是目前業界最關注的焦點問題。

針對DDoS的攻擊原理，對DDoS攻擊的防范主要分為三層：Source-end攻擊源端防范、Router-based路由器防范、 Target-end目標端防范。其中攻擊端防護技術有DDoS工具分析和清除、基於攻擊源的防范技術;骨干網防護技術有會推技術、IP追蹤技術;目標端防護措施有DDoS攻擊探測、路由器防范、網關防范、主機設置等方法。

三、綜合防范方法綜述

目前基於目標計算機系統的防范方法主要三類：網關防范、路由器防范、主機防范。

1.網關防范

網關防范就是利用專門技術和設備在網關上防范DDoS攻擊，例如用透明橋接入網絡的方正防火牆或方正黑鲨等硬件產品。網關防范主要采用的技術有SynCookie方法、基於IP訪問記錄的HIP方法、客戶計算瓶頸方法等。

SynCookie方法是在建立TCP連接時，要求客戶端響應一個數字回執，來證明自己的真實性。SynCookie方法解決了目標計算機系統的半開連接隊列的有限資源問題，從而成為目前被最廣泛采用的DDoS防范方法，新的SCTP協議和DCCP協議也采用了類似的技術。SynCookie 方法的局限性在於，對於建立連接的每一個握手包，都要回應一個響應包，即該方法會產生1:1的響應流，會將攻擊流倍增，極大的浪費帶寬資源;此外，當分布式拒絕服務攻擊的發起者采用隨機源地址時，SynCookie方法產生的回應流的目標地址非常發散，從而會導致目標計算機系統及其周邊的路由設備的路由緩沖資源被耗盡，從而形成新的被攻擊點，在實際的網絡對抗中也產生了真實的路由雪崩事件。