【正文】 路由器 通過路由器，我們可以實(shí)施某些安全措施，比如 ACL 等，這些措施從某種程度上確實(shí)可以過濾掉非法流量。 退讓策略 為了抵抗 DDOS 攻擊，客戶可能會通過購買硬件的方式來提高系統(tǒng)抗DDOS 的能力。但是這種做法只能針對小規(guī)模的 DDOS 進(jìn)行防護(hù)。但我們可以通過采取各種防范措施，采用各種軟、硬件安防措施，降低攻擊級別，盡可能地降低 DDOS 攻擊所帶來的損失。還要注意做好主機(jī)上的系統(tǒng)漏洞的安全補(bǔ)丁，及時(shí)防止木馬入侵，清除惡意程序，這樣既可以減少自己受害，又防止加害于別人。 此外， 設(shè)置硬件防火墻也是很重要的。設(shè)置 Rate Limit 將利用 CAR 可限制傳輸量，攔截攻擊。攻擊者利用發(fā)送帶有虛假地址的 Syn 請求，以此來消耗服務(wù)器的資源。在路由器的 CEF(Cisco Expres Forwarding) 表中，該數(shù)據(jù)包所到達(dá)網(wǎng)絡(luò)接口 的所有路由項(xiàng)中，如果沒有該數(shù)據(jù)包源 IP 地址的路由，該數(shù)據(jù)包將被丟棄。路由器上設(shè)置 Access list 和 Filtering directed broadcast 可阻斷某些 Smurf攻擊。因此，第三層的目標(biāo)端防范技術(shù)，作為最實(shí)際的防范措施，得到廣泛的應(yīng)用。對于第一層攻擊源端而言，由于攻擊者發(fā)動攻擊之后，往往刪除攻擊命令等痕跡，隱藏起來，再加上網(wǎng)絡(luò)上聯(lián)網(wǎng)協(xié)議的缺陷和無國界性，以目前的國家機(jī)制和法律很難追蹤和懲罰國外的 DDOS 攻擊者。資源耗盡型攻擊利用系統(tǒng)對正常網(wǎng)絡(luò)協(xié)議處理的缺陷，使系統(tǒng)難以分辨正常流和攻擊流，因此防范難度較大。單純帶寬耗盡型攻擊較易被識別，并被丟 棄。例如：常見的 Smurf攻擊、 UDP Flood 攻擊、 MStream Flood 攻擊等，都屬于此類型。 DDOS 防范方法及防御安全策略 DDOS 攻擊主要分兩大類：帶寬耗盡型和資源耗盡 型。 相對于流量攻擊而言，資源耗盡攻擊要容易判斷一些，假如平時(shí) Ping 網(wǎng)站主機(jī)和訪問網(wǎng)站都是正常的，發(fā)現(xiàn)突然網(wǎng)站訪問非常緩慢或無法訪問了，而 Ping還可以 Ping 通，則很可能遭受了資源耗盡攻擊，此時(shí)若在服務(wù)器上用 Netstat na 命令觀察到有大量的 SYN_RECEIVED、 TIME_WAIT、 FIN_WAIT_1 等狀態(tài)存在，而 ESTABLISHED 很少，則可 判定肯定是遭受了資源耗盡攻擊。當(dāng)然，這樣測試的前提是你到服務(wù)器主機(jī)之間的 ICMP 協(xié)議沒有被路由器和防火墻等設(shè)備屏蔽，否則可采取 Tel 主機(jī)服務(wù)器的網(wǎng)絡(luò)服務(wù)端口來測試，效果是一樣的。 DDOS 的表現(xiàn)形式 DDOS 的表現(xiàn)形式主要有兩種，一種為流量攻擊，主要是針對網(wǎng)絡(luò)帶寬的攻擊，即大量攻擊包導(dǎo)致網(wǎng)絡(luò)帶寬被阻塞，合法網(wǎng)絡(luò)包被虛假的攻擊包淹沒而無法到達(dá)主機(jī)；另一種為資源耗盡攻擊，主要是針對服務(wù)器主機(jī)的攻擊，即通過大量攻擊包導(dǎo)致主機(jī)的內(nèi)存被耗盡或 CPU 被內(nèi)核及應(yīng)用程序占完而造成無法提供網(wǎng)絡(luò)服務(wù)。據(jù)介紹，凡是能導(dǎo)致合法用戶不能夠訪問正常網(wǎng)絡(luò)服務(wù)的行為都屬“拒絕服務(wù)攻擊”。這是亞太及日本地區(qū)互聯(lián)網(wǎng)安全威脅報(bào)告中的一部分?jǐn)?shù)據(jù)。為了避免被追蹤，攻擊者會闖進(jìn)網(wǎng)上的一些無保護(hù)的計(jì)算機(jī)內(nèi)，在這些計(jì)算機(jī)上藏匿 DDOS 程序，將它們作為同謀和跳板，最后聯(lián)合起來發(fā)動匿名攻擊。在一個(gè) DDOS 攻擊期間，如果有一個(gè)不知情的用戶發(fā)出了正常的頁面請求，這個(gè)請求會完全失敗，或者是頁面下載速度變得極其緩慢，看起來就是站點(diǎn)無法使用。如果在檢查中發(fā)現(xiàn)該數(shù)據(jù)包不合法，例如該數(shù)據(jù)包所指向的目的端口在本機(jī)并未開放，則主機(jī)操作系統(tǒng)協(xié)議棧會回應(yīng)RST 包告訴對方此端口不存在。它的數(shù)據(jù)包特征通常是，源發(fā)送了大量的 SYN 包，并且缺少三次握手的最后一步握手 ACK回復(fù)。這種攻擊早在 1996 年就被發(fā)現(xiàn)，但至今仍然顯示出強(qiáng)大的生命力。 針對游戲服務(wù)器的攻擊 一般基于包過濾的防火墻只能分析每個(gè)數(shù)據(jù)包，或者有限的分析數(shù)據(jù)連接建立的狀態(tài)，防護(hù) SYN,或者變種的 SYN,ACK 攻擊效果不錯(cuò)，但是不能從根本上來分析 TCP,UDP 協(xié)議 ，和針對應(yīng)用層的協(xié)議，比如 ,游戲協(xié)議，軟件視頻音頻協(xié)議，現(xiàn)在的新的攻擊越來越多的都是針對應(yīng)用層協(xié)議漏洞，或者分析協(xié)議然后發(fā)送和正常數(shù)據(jù)包一樣的數(shù)據(jù)，或者干脆模擬正常的數(shù)據(jù)流，單從數(shù)據(jù)包層面，分析每個(gè)數(shù)據(jù)包里面有什么數(shù)據(jù)，根本沒辦法很好的防護(hù)新型的攻擊。 WEB Server 多連接攻擊 通過控制大量肉雞同時(shí)連接訪問網(wǎng)站，造成網(wǎng)站癱瘓，這種攻擊和正常訪問網(wǎng)站是一樣的，只是瞬間訪問量增加幾十倍甚至上百倍，有些防火墻可以通過限制每個(gè)連接過來的 IP 連接數(shù)來防護(hù)，但是這樣會造成正常用戶稍微多打開幾次網(wǎng)站也會被封。 CP 混亂數(shù)據(jù)包攻擊 發(fā)送偽造源 IP 的 TCP 數(shù)據(jù)包， TCP 頭的 TCP Flags 部分是混亂的可能是 syn,ack,syn+ack,syn+rst 等等，會造成一些防火墻處理錯(cuò)誤鎖死，消耗服務(wù)四川 職業(yè)技術(shù)學(xué)院 計(jì)科系論文 23 器 CPU 內(nèi)存的同時(shí)還會堵塞帶寬。 DDOS 攻擊種類 TCP 全連接攻擊 和 SYN 攻擊不同，它是用合法并完整的連接攻擊對方， SYN 攻擊采用的是半連接攻擊方式，而全連接攻擊是完整的，合法的請求，防火墻一般都無法過濾掉這種攻擊，這種攻擊在現(xiàn)在的 DDOS 軟件中非常常見，有 UDP 碎片還有 SYN 洪水，甚至還有 TCP 洪水攻擊，這些攻擊都是針對服務(wù)器的常見流量攻擊 :2900 :80 ESTABLISHED :2901 :80 ESTABLISHED :2902 :80 ESTABLISHED :2903 :80 ESTABLISHED 通過這里可以看出 這個(gè) IP 對 這臺服務(wù)器的 80端口發(fā)動 TCP 全連接攻擊，通過大量完整的 TCP 鏈接就有可能讓服務(wù)器的 80 端口無法訪問。 拒絕服務(wù)攻擊的進(jìn)一步發(fā)展 —— 分布式 DOS 攻擊，是一種基于 DOS 的特殊形式的拒絕服務(wù)攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準(zhǔn)比較大的站點(diǎn)，像商業(yè)公司、搜索引擎和政府部門的站點(diǎn)。每個(gè)四川 職業(yè)技術(shù)學(xué)院 計(jì)科系論文 22 程序、操作系統(tǒng)都有缺陷，攻擊者利用這個(gè)規(guī)律，向目標(biāo)系統(tǒng)發(fā)送非正常格式的分組讓網(wǎng)絡(luò)協(xié)議?；蛳到y(tǒng)陷入異常。攻擊者擁有一定數(shù)量的系統(tǒng)資源的合法訪問權(quán)，但濫用其消耗額外的資源。攻擊者本身有更多的可用帶寬或征用多個(gè)站點(diǎn)集中擁塞受害者的網(wǎng)絡(luò)連接。 ，反復(fù)高速地發(fā)送畸形數(shù)據(jù)引發(fā)服 務(wù)程序錯(cuò)誤，大量占用系統(tǒng)資源，使被攻擊主機(jī)處于假死狀態(tài)，甚至導(dǎo)致系統(tǒng)崩潰。 DDOS 攻擊的主要形式 IP 向某一固定目標(biāo)發(fā)出高流量垃圾數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，使被攻擊主機(jī)無法與外界通信。代理程序收到指令時(shí)就發(fā)動攻擊。 DDOS 攻擊的目的 分布式拒絕服務(wù) (DDOS:Distributed Denial of Service)攻擊指借助于客戶 /服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺，對一個(gè)或多個(gè)目標(biāo)發(fā)動DDOS 攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。第二步是在入侵主機(jī)四川 職業(yè)技術(shù)學(xué)院 計(jì)科系論文 21 上安裝攻擊程序，讓一部分主機(jī)充當(dāng)攻擊的主 控端，另一部分主機(jī)充當(dāng)攻擊的代理端，最后在攻擊者的調(diào)遣下對攻擊對象發(fā)起攻擊。代理端主機(jī)是攻擊的直接執(zhí)行者。設(shè)置主控端的目的是隔離網(wǎng)絡(luò)聯(lián)系，保護(hù)攻擊者在攻擊時(shí)不受監(jiān)控系統(tǒng)的跟蹤，同時(shí)能更好的協(xié)調(diào)進(jìn)攻。 主控端是攻擊者非法侵入并控制的一些主機(jī)，這些主機(jī)還分別控制著大量的代理主機(jī)。 攻擊者所用的計(jì)算機(jī)是攻擊主控臺。 DDOS 攻擊一旦實(shí)施，攻擊數(shù)據(jù)包就會像洪水般地從四面八方涌向被攻擊主機(jī)，從而把合法用戶的連接請求淹沒掉，導(dǎo)致合法用戶長時(shí)間無法使用網(wǎng)絡(luò)資源。 四川 職業(yè)技術(shù)學(xué)院 計(jì)科系論文 20 現(xiàn)今全球網(wǎng)絡(luò)廣泛連接，給我們的生活帶來了方便，同時(shí)也為 DDOS 攻擊創(chuàng)造了極為有利的條件。攻擊者發(fā)動攻擊的時(shí)候，通常攻擊者本身并不直接參與，而是利用這些傀儡。攻擊者首先尋找在互聯(lián)網(wǎng)上有系統(tǒng)漏洞 (Bug)的計(jì)算機(jī)，竊取其 IP 地址、用戶名 和登錄密碼等數(shù)據(jù)，進(jìn)入系統(tǒng)后安裝后門程序，即木馬 病毒。于是攻擊者們又找到了另一種新的 DOS 攻擊方法， RpDDOS。若被攻擊目標(biāo)計(jì)算機(jī) 的 CPU 速度低、內(nèi)存小或網(wǎng)絡(luò)帶寬窄等各項(xiàng)性能指標(biāo)不 高，其攻擊效果比較明顯。攻擊者會再度傳送一批新的請 求，在這種反復(fù)不斷地、無休止地發(fā)送偽地址請求的情 況下，服務(wù)器資源在漫長的回應(yīng)等待中最終被耗盡。由于地址是虛假的，所以服 務(wù)器一直等不到回傳的消息分配給這次請求的服務(wù)器 資源就始終無法被釋放。 DDOS 的攻擊原理 眾所周知， DOS(Denial of Service，拒絕服務(wù)攻擊 ) 是 DDOS 的基礎(chǔ)，它利用了 TCP 三次握手過程的空子。隨著計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展，計(jì)算機(jī)的處理能力迅速增長，內(nèi)存大大增加，同時(shí)也出現(xiàn)了千兆級別的網(wǎng)絡(luò)，這使得 DOS 攻擊的困難程度加大了 目標(biāo)對惡意攻擊包的 消化能力 加強(qiáng)了不少，例如你的攻擊軟件每秒鐘可以發(fā)送 3,000 個(gè)攻擊包，但四川 職業(yè)技術(shù)學(xué)院 計(jì)科系論文 19 我的主機(jī)與網(wǎng)絡(luò) 帶寬每秒鐘可以處理 10,000 個(gè)攻擊包，這樣一來攻擊就不會產(chǎn)生什么效果。這也是一種特殊形式的拒絕服務(wù)攻擊。英文名 DDOS，是 Distributed Denial of Service 的縮寫 ,俗稱洪水攻擊。這種攻擊方法的可怕之處是會造成用戶無法對外進(jìn)行提 供服務(wù)，時(shí)間一長將會影響到網(wǎng)絡(luò)流量，造成用戶經(jīng)濟(jì)上的嚴(yán)重?fù)p失。在寡不敵眾的力量抗衡下，被攻擊的目標(biāo)網(wǎng)站會很快失去反應(yīng)而不能及時(shí)處理正常的訪問甚至系統(tǒng)癱瘓、崩潰。 四川 職業(yè)技術(shù)學(xué)院 計(jì)科系論文 18 第三章講述 DDOS（分布式拒絕服務(wù)） 什么是 DDOS 攻擊？ 分布式拒絕服務(wù)攻擊的英文意思是 Distributed Denial of Service，簡稱DDOS。 小結(jié) ： 本章 主要講述了 DOS（ 拒絕 服務(wù)） 的原理 及攻擊方式 和 防范技術(shù)。 10 所示。在 IP／ hostname 和 port 窗口中指定目標(biāo)主機(jī)的 IP地址和端口號， Max duration 設(shè)定最長的攻擊時(shí)間，在 speed 窗口中可以設(shè)置UDP 包發(fā)送的速度，在 data 框中，定義 UDP 數(shù)據(jù)包包含的內(nèi)容，缺省情況下為UDP stress test 的 text 文本內(nèi)容。所以， DOS 對一些緊密依靠互聯(lián)網(wǎng)開展業(yè)務(wù)的企業(yè)和組織帶來了致命的威脅。 四川 職業(yè)技術(shù)學(xué)院 計(jì)科系論文 15 圖 9 當(dāng)多臺主機(jī)對一臺服務(wù)器同時(shí)進(jìn)行 syn 攻擊，服務(wù)器的運(yùn)行速度將變得非常緩慢。 圖 6 四川 職業(yè)技術(shù)學(xué)院 計(jì)科系論文 14 4. 如 圖 7 所示 ， 在目標(biāo)主機(jī)使用 wireshark 抓包，如圖 8 所示，可以看到大量的 syn 向 主機(jī)發(fā)送，并且將源地址改為 后面的ip 地址。 實(shí)驗(yàn)臺 cmd 下運(yùn)行 xDOS 攻擊工具 XDOS 運(yùn)行界面如圖所示。 案例分析一 本次案例分析采用實(shí)驗(yàn)的方式來驗(yàn)證 DOS 攻擊，采用 SYN 攻擊。過濾器會偵察可疑的攻擊行動。 如何阻擋“拒絕服務(wù)”的攻擊 由于 DOS 攻擊的最終目標(biāo)是癱瘓服務(wù)器應(yīng)該從加強(qiáng)服務(wù)器自身防御能力。而對于 DDOS 攻擊、 DRoS 攻擊等攻擊，則需要能夠應(yīng)對大流量的防范措施和技術(shù)，需要能夠綜 合多種算法、集多種網(wǎng)絡(luò)設(shè)備功能的集成技術(shù) 防火墻防御 防火墻是防御 DOS 攻擊最有效的辦法之一，目前很多廠商的防火墻都注入了專門針對 DOS 攻擊的功能。 帶寬限制和 QoS 保證 通過對報(bào)文種類、來源等各種特性設(shè)置閥值參數(shù)，保證主要服務(wù)，穩(wěn)定可靠的資源供給，防止有限資源被過度消耗。采用循環(huán)DNS 服務(wù)或者硬件路由器技術(shù)，將進(jìn)入系統(tǒng)的請求分流到多臺服務(wù)器上。現(xiàn)在防火墻中防御 DOS 攻擊的主流技術(shù)主要有兩種：連接監(jiān)控（ TCP Interception）和同步網(wǎng)關(guān)（ SYN Gateway）兩種。重新編譯或設(shè)置 Linux以及各種 BSD 系統(tǒng)、 Solaris 和 Windows 等操作系統(tǒng)內(nèi)核中的某些參數(shù)，可在一定程度上提高系統(tǒng)的抗攻擊能力。面對此 種情況，可以從以下幾個(gè)方面來防范 DOS 攻擊。 DOS 攻擊的防范技術(shù) 根據(jù)上述 DOS 攻擊原理和不斷更新的攻擊技術(shù)，很少有網(wǎng)絡(luò)可以免受 DOS攻擊， DOS 防御存在許多挑戰(zhàn)。邏輯攻擊的一個(gè)典型的實(shí)例是 LAND 攻擊，這里，攻擊者發(fā)送具有相同源 IP 地址和目標(biāo) IP 地址的偽造 數(shù)據(jù)包。這里，惡意黑客以目標(biāo)系統(tǒng)從來沒有想到的方式發(fā)送數(shù)據(jù)流，如攻擊者發(fā)送大量的 SYN數(shù)據(jù)包。脆弱的系統(tǒng)或網(wǎng)絡(luò)由于不能處理發(fā)送個(gè)他的大量流量而導(dǎo)致系統(tǒng)崩潰或響應(yīng)速度減慢，從而阻止了合法用戶的訪問。 ：這是最古老、最常見的 DOS 攻擊。 利用 UDP 服務(wù)進(jìn)行的 UDPDOS 攻擊 , 如 UDP FlooDDOS 攻擊 ?，F(xiàn)在 , 隨著 DDOS和 DRDOS出現(xiàn)和進(jìn)一步發(fā)展 ,DOS攻擊的破壞力變得更大 , 也更難以防范和追根溯源。 DOS 攻擊特點(diǎn) DOS 攻擊針對的是互聯(lián)網(wǎng)上的網(wǎng)絡(luò)和設(shè)備 ,目的是使