【導(dǎo)讀】在企業(yè)網(wǎng)內(nèi)部通過加強安全教育，提高安全意識，結(jié)合簡單。和ＤＤｏＳ攻擊造成的損失降到最小。師的指導(dǎo)下進行的研究工作及取得的成果。而使用過的材料。究所取得的研究成果。不包含任何其他個人或集體已經(jīng)發(fā)表或撰寫的成果作品。究做出重要貢獻的個人和集體，均已在文中以明確方式標(biāo)明。全意識到本聲明的法律后果由本人承擔(dān)。同意學(xué)校保留并向國家有關(guān)部門或機構(gòu)送交論文的復(fù)印件和電子版，允許論文被查閱和借閱。涉密論文按學(xué)校規(guī)定處理。合國家技術(shù)標(biāo)準(zhǔn)規(guī)范。由于黑客采用DDoS攻擊成功地攻擊了幾個著名的網(wǎng)站，如雅虎、微軟以及SCO，致使網(wǎng)絡(luò)服務(wù)中斷了數(shù)小時，造成的經(jīng)濟損失達數(shù)百萬美元。壞性大，而且難于防御，因此它已經(jīng)引起了全世界的廣泛關(guān)注。而減輕DDoS攻擊所帶來的危害。據(jù)，但是它們故意破壞資源的可用性。合法用戶的請求得不到響應(yīng)，導(dǎo)致可用性下降。DoS攻擊廣義上指任何導(dǎo)致被攻擊的服務(wù)器不能正常提供服務(wù)的攻擊方式。

　　

【正文】 括地址、端口、標(biāo)志位，關(guān)鍵字等，極大的提高了通用性及防護力度。同時，內(nèi)置了若干預(yù)定義規(guī)則，涉及局域網(wǎng)防護、漏洞檢測等多項功能，易于使用。 天網(wǎng)防火墻 : 最早基于 OpenBSD 內(nèi)核， X86架構(gòu)，現(xiàn)在應(yīng)該也是 Linux 內(nèi)核了。很早就加入了抗 synflood 功能，實際應(yīng)該是 syncache/syncookie 的改進或加強版。實際測試 syn 流量 64B 包抵抗極 限大概是 25M 左右。當(dāng)小于 20M 是還是可以看到效果的。同時結(jié)合良好的防火墻策略應(yīng)該也可以做到針對udp/icmp 等類型的限制。 一己拙見： 防火墻一般來說還是讓它作為自己的專業(yè)用途 (訪問控制 )比較好，當(dāng)然在網(wǎng)絡(luò)業(yè)務(wù)不是很重要的生產(chǎn)類企業(yè)來說，買個防火墻同時兼有簡單的抗 syn 功能倒也不錯。 、其他防御措施 以上幾條對抗 DDOS 建議，適合絕大多數(shù)擁有自己主機的用戶，但假如采取以上措施后仍然不能解決 DDOS 問題，就有些麻煩了，可能需要更多投資，增加服務(wù)器數(shù)量并采用 DNS輪巡或 負(fù)載均衡技術(shù)，甚至需要購買七層交換機設(shè)備，從而使得抗 DDOS 攻擊能力成倍提高，只要投資足夠深入。 DDOS 攻擊的目的 駭客一般都出于商業(yè)目的，比如有人雇傭駭客對一個網(wǎng)站進行攻擊，事后給錢；不過如果該網(wǎng)站報警后被查出來幕后黑手的話，那么駭客和這位雇傭駭客的幕后黑手將受到法律嚴(yán)懲！但是通過肉雞攻擊的 ddos 一般在雇傭攻擊的情況下則比較難查，因為都是專業(yè)駭客。 主要幾個攻擊類型： TCP 全連接攻擊 和 SYN 攻擊不同，它是用合法并完整的連接攻擊對方， SYN 攻擊采用的是半連接攻擊方 式，而全連接攻擊是完整的，合法的請求，防火墻一般都無法過濾掉這種攻擊，這種攻擊在現(xiàn)在的 DDOS 軟件中非常常見，有 UDP 碎片還有 SYN 洪水，甚至還有 TCP洪水攻擊，這些攻擊都是針對服務(wù)器的常見流量攻擊 :2900 :80 ESTABLISHED :2901 :80 ESTABLISHED :2902 :80 ESTABLISHED :2903 :80 ESTABLISHED 通過這里可以看出 這個 IP 對 這臺服務(wù)器的 80端口發(fā)動 TCP 全連接攻擊，通過大量完整的 TCP 鏈接就有可能讓服務(wù)器的 80 端口無法訪問。 SYN變種攻擊：發(fā)送偽造源 IP 的 SYN 數(shù)據(jù)包，但是數(shù)據(jù)包不是 64 字節(jié)而是上千字節(jié)，這種攻擊會造成一些防火墻處理錯誤鎖死，消耗服務(wù)器 CPU 內(nèi)存的同時還會堵塞帶寬。 TCP 混亂數(shù)據(jù)包攻擊 發(fā)送偽造源 IP 的 TCP 數(shù)據(jù)包， TCP 頭 的 TCP Flags 部分是混亂的可能是syn,ack,syn+ack,syn+rst 等等，會造成一些防火墻處理錯誤鎖死，消耗服務(wù)器CPU內(nèi)存的同時還會堵塞帶寬。 用 UDP 協(xié)議的攻擊 很多聊天室，視頻音頻軟件，都是通過 UDP數(shù)據(jù)包傳輸?shù)?，攻擊者針對分?要攻擊的網(wǎng)絡(luò)軟件協(xié)議，發(fā)送和正常數(shù)據(jù)一樣的數(shù)據(jù)包，這種攻擊非常難防護，一般防護墻通過攔截攻擊數(shù)據(jù)包的特征碼防護，但是這樣會造成正常的數(shù)據(jù)包也會被攔截。 WEB Server 多連接攻擊 通過控制大量肉雞同時連接訪問網(wǎng)站，造成網(wǎng)站癱 瘓，這種攻擊和正常訪問網(wǎng)站是一樣的，只是瞬間訪問量增加幾十倍甚至上百倍，有些防火墻可以通過限制每個連接過來的 IP 連接數(shù)來防護，但是這樣會造成正常用戶稍微多打開幾次網(wǎng)站也會被封。 WEB Server 變種攻擊 通過控制大量肉雞同時連接訪問網(wǎng)站，一點連接建立就不斷開，一直發(fā)送一些特殊的 GET 訪問請求造成網(wǎng)站數(shù)據(jù)庫或者某些頁面耗費大量的 CPU,這樣通過限制每個連接過來的 IP 連接數(shù)就失效了，因為每個肉雞可能只建立一個或者只建立少量的連接。這種攻擊非常難防護，后面給大家介紹防火墻的解決方案。 WEB Server 變種攻擊 通過控制大量肉雞同時連接網(wǎng)站端口，但是不發(fā)送 GET 請求而是亂七八糟的字符，大部分防火墻分析攻擊數(shù)據(jù)包前三個字節(jié)是 GET 字符然后來進行 協(xié)議的分析，這種攻擊，不發(fā)送 GET 請求就可以繞過防火墻到達服務(wù)器，一般服務(wù)器都是共享帶寬的，帶寬不會超過 10M 所以大量的肉雞攻擊數(shù)據(jù)包就會把這臺服務(wù)器的共享帶寬堵塞造成服務(wù)器癱瘓，這種攻擊也非常難防護，因為如果只簡單的攔截客戶端發(fā)送過來沒有 GET 字符的數(shù)據(jù)包，會錯誤的封鎖很多正常的數(shù)據(jù)包造成正常用戶無法訪問，后面給大家介紹防火墻的 解決方案。 針對游戲服務(wù)器的攻擊 因為游戲服務(wù)器非常多，這里介紹最早也是影響最大的傳奇游戲，傳奇游戲分為登陸注冊端口 7000,人物選擇端口 7100，以及游戲運行端口 7200,7300,7400等，因為游戲自己的協(xié)議設(shè)計的非常復(fù)雜，所以攻擊的種類也花樣倍出，大概有幾十種之多，而且還在不斷的發(fā)現(xiàn)新的攻擊種類，這里介紹目前最普遍的假人攻擊，假人攻擊是通過肉雞模擬游戲客戶端進行自動注冊、登陸、建立人物、進入游戲活動從數(shù)據(jù)協(xié)議層面模擬正常的游戲玩家，很難從游戲數(shù)據(jù)包來分析出哪些是攻擊哪些是正常玩家。 以上介紹的幾種最常見的攻擊也是比較難防護的攻擊。一般基于包過濾的防火墻只能分析每個數(shù)據(jù)包，或者有限的分析數(shù)據(jù)連接建立的狀態(tài)，防護 SYN,或者變種的 SYN,ACK 攻擊效果不錯，但是不能從根本上來分析 TCP,UDP 協(xié)議，和針對應(yīng)用層的協(xié)議，比如 ,游戲協(xié)議，軟件視頻音頻協(xié)議，現(xiàn)在的新的攻擊越來越多的都是針對應(yīng)用層協(xié)議漏洞，或者分析協(xié)議然后發(fā)送和正常數(shù)據(jù)包一樣的數(shù)據(jù)，或者干脆模擬正常的數(shù)據(jù)流，單從數(shù)據(jù)包層面，分析每個數(shù)據(jù)包里面有什么數(shù)據(jù)，根本沒辦法很好的防護新型的攻擊。 SYN Flood 攻擊 SYNFlood 攻擊是當(dāng)前網(wǎng)絡(luò)上最為常見的 DDoS 攻擊，也是最為經(jīng)典的拒絕服務(wù)攻擊，它利用了 TCP 協(xié)議實現(xiàn)上的一個缺陷，通過向網(wǎng)絡(luò)服務(wù)所在端口發(fā)送大量的偽造源地址的攻擊報文，就可能造成目標(biāo)服務(wù)器中的半開連接隊列被占滿，從而阻止其他合法用戶進行訪問。這種攻擊早在 1996年就被發(fā)現(xiàn)，但至今仍然顯示出強大的生命力。很多操作系統(tǒng)，甚至防火墻、路由器都無法有效地防御這種攻擊，而且由于它可以方便地偽造源地址，追查起來非常困難。它的數(shù)據(jù)包特征通常是，源發(fā)送了大量的 SYN 包，并且缺少三次握手的最后一步握手 ACK 回 復(fù)。 例如，攻擊者首先偽造地址對服務(wù)器發(fā)起 SYN 請求（我可以建立連接嗎？），服務(wù)器就會回應(yīng)一個 ACK+SYN（可以 +請確認(rèn)）。而真實的 IP 會認(rèn)為，我沒有發(fā)送請求，不作回應(yīng)。服務(wù)器沒有收到回應(yīng)，會重試 35次并且等待一個 SYN Time（一般 30秒 2分鐘）后，丟棄這個連接。 如果攻擊者大量發(fā)送這種偽造源地址的 SYN請求，服務(wù)器端將會消耗非常多的資源來處理這種半連接，保存遍歷會消耗非常多的 CPU時間和內(nèi)存，何況還要不斷對這個列表中的 IP 進行 SYN+ACK 的重試。最后的結(jié)果是服務(wù)器無暇理睬正常的 連接請求 — 拒絕服務(wù)。在服務(wù)器上用 stat – an 命令查看 SYN_RECV 狀態(tài)的話，就可以看到： 如果我們抓包來看： 通過上圖可以看到大量的 SYN 包沒有 ACK 回應(yīng)。 SYN Flood 防護 目前市面上有些防火墻具有 SYN Proxy 功能，這種方法一般是定每秒通過指定對象（目標(biāo)地址和端口、僅目標(biāo)地址或僅源地址）的 SYN 片段數(shù)的閥值，當(dāng)來自相同源地址或發(fā)往相同目標(biāo)地址的 SYN 片段數(shù)達到這些閥值之一時，防火墻就開始截取連接請求和代理回復(fù) SYN/ACK 片段，并將不完全的連接請求存儲到連接隊列中直到連接完成或請求超時。當(dāng)防火墻中代理連接的隊列被填滿時，防火墻拒絕來自相同安全區(qū)域（ zone）中所有地址的新 SYN片段，避免網(wǎng)絡(luò)主機遭受不完整的三次握手的攻擊。但是，這種方法在攻擊流量較大的 時候，連接出現(xiàn)較大 Random Drop：隨機丟包的方式雖然可以減輕服務(wù)器的負(fù)載，但是正常連接 特征匹配： IPS 上會常用的手段，在攻擊發(fā)生的當(dāng)時統(tǒng)計攻擊報文的特征，定義特征庫，例如過濾不帶 TCP Options 的 syn 早期攻擊工具（例如 synkiller， xdos， hgod 等）通常是發(fā)送 64字節(jié)的 TCP SYN報文，而主機操作系統(tǒng)在發(fā)起 TCP 連接請求時發(fā)送 SYN 報文是大于 64字節(jié)的。因此可以在關(guān)鍵節(jié)點上設(shè)置 策略過濾 64字節(jié)的 TCP SYN 報文，某些宣傳具有防護SYN Flood 攻擊的產(chǎn)品就是這么做的。隨著工具的改進，發(fā)出的 TCP SYN 報文完全模擬常見的通用操作系統(tǒng)，并且 IP 頭和 TCP 頭的字段完全隨機，這時就無法 在設(shè)備上根據(jù)特定的規(guī)則來過濾攻擊報文。這時就需要根據(jù)經(jīng)驗判斷 IP 包頭里TTL 值不合理的數(shù)據(jù)包并阻斷，但這種手工的方法成本高、效率低。 圖是某攻擊工具屬性設(shè)置。 SYN Cookie：就是給每一個請求連接的 IP 地址分配一個 Cookie，如果短時間內(nèi)連續(xù)受到某個 IP 的重復(fù) SYN 報文，就認(rèn)定是受到了攻擊，以后從這個 IP地址來的包會被丟棄。但 SYN Cookie 依賴于對方使用真實的 IP 地址，如果攻擊者利用 SOCK_RAW 隨機改寫 IP 報文中的源地址，這個方法就沒效果了。 syn cookie/syn proxy 類防護算法：這種算法對所有的 syn 包均主動回應(yīng)，探測發(fā)起 syn 包的源 IP 地址是否真實存在；如果該 IP 地址真實存 在，則該 IP會回應(yīng)防護設(shè)備的探測包，從而建立 TCP 連接；大多數(shù)的國內(nèi)外抗拒絕服務(wù)產(chǎn)品 safereset 算法：此算法對所有的 syn 包均主動回應(yīng)，探測包特意構(gòu)造錯誤的字段，真實存在的 IP 地址會發(fā)送 rst 包給防護設(shè)備，然后發(fā)起第 2次連接，從而建立 TCP syn 重傳算法：該算法利用了 TCP/IP 協(xié)議的重傳特性，來自某個源 IP的第一個 syn 包到達時被直接丟棄并記錄狀態(tài)，在該源 IP 的第 2個 syn 包到達時進行驗證，然后放行。 綜合防護算法：結(jié)合了以上算法的優(yōu) 點，并引入了 IP 信譽機制。當(dāng)來自某個源 IP 的第一個 syn 包到達時，如果該 IP 的信譽值較高，則采用 syncookie算法；而對于信譽值較低的源 IP，則基于協(xié)議棧行為模式，如果 syn 包得到驗證，則對該連接進入 syncookie 校驗，一旦該 IP 的連接得到驗證則提高其信譽值。有些設(shè)備還采用了表結(jié)構(gòu)來存放協(xié)議棧行為模式特征值，大大減少了存儲量。 ACK Flood 攻擊 原理 ACK Flood 攻擊是在 TCP 連接建立之后，所有的數(shù)據(jù)傳輸 TCP 報文都是帶有ACK標(biāo)志位的，主機在接收到一個帶有 ACK標(biāo) 志位的數(shù)據(jù)包的時候，需要檢查該數(shù)據(jù)包所表示的連接四元組是否存在，如果存在則檢查該數(shù)據(jù)包所表示的狀態(tài)是否合法，然后再向應(yīng)用層傳遞該數(shù)據(jù)包。如果在檢查中發(fā)現(xiàn)該數(shù)據(jù)包不合法，例如該數(shù)據(jù)包所指向的目的端口在本機并未開放，則主機操作系統(tǒng)協(xié)議棧會回應(yīng)RST包告訴對方此端口不存在。 這里，服務(wù)器要做兩個動作：查表、回應(yīng) ACK/RST。這種攻擊方式顯然沒有SYN Flood 給服務(wù)器帶來的沖擊大，因此攻擊者一定要用大流量 ACK 小包沖擊才會對服務(wù)器造成影響。按照我們對 TCP 協(xié)議的理解，隨機源 IP 的 ACK 小包應(yīng)該會被 Server 很快丟棄，因為在服務(wù)器的 TCP 堆棧中沒有這些 ACK 包的狀態(tài)信息。但是實際上通過測試，發(fā)現(xiàn)有一些 TCP 服務(wù)會對 ACK Flood 比較敏感，比如說JSP Server，在數(shù)量并不多的 ACK 小包的打擊下， JSP Server 就很難處理正常的連接請求。對于 Apache 或者 IIS 來說， 10kpps 的 ACK Flood 不構(gòu)成危脅，但是更高數(shù)量的 ACK Flood會造成服務(wù)器網(wǎng)卡中斷頻率過高，負(fù)載過重而停止響應(yīng)?？梢钥隙ǖ氖?， ACK Flood 不但可以危害路由器等網(wǎng)絡(luò)設(shè)備，而且對服務(wù)器上的應(yīng)用有不小的影響。抓包： 如果沒有開放端口，服務(wù)器將直接丟棄，這將會耗費服務(wù)器的 CPU 資源。如果端口開放，服務(wù)器回應(yīng) RST。 ACK Flood 防護 利用對稱性判斷來分析出是否有攻擊存在。所謂對稱型判斷，就是收包異常大于發(fā)包，因為攻擊者通常會采用大量 ACK 包，并且為了提高攻擊速度，一般采用內(nèi)容基本一致的小包發(fā)送。這可以作為判斷是否發(fā)生 ACK Flood 的依據(jù)， 但是目前已知情況來看，很少有單純使用 ACK Flood 攻擊，都會和其他攻擊方法混合 一些防火墻應(yīng)對的方法是：建立一個 hash 表，用來存放 TCP 連接“狀態(tài)”，相對于主機的 TCP stack 實現(xiàn)來說，狀態(tài)檢查的過程相對簡化。例如，不作sequence number 的檢查，不作包亂序的處理，只是統(tǒng)計一定時間內(nèi)是否有 ACK包在該“連接” (即四元組 )上通過，從而“大致”確定該“連接”是否是“活動的”。