从DoS到DDoS分布式拒绝服务攻击与防范手段

从DoS到DDoS分布式拒绝服务攻击与防范手段（通用8篇）

篇1：从DoS到DDoS分布式拒绝服务攻击与防范手段

一、从DoS到DDoS

拒绝服务（Denial of

Service，DoS）由来已久，自从有了Internet，就有了拒绝服务式攻击方法。由于过去没有大型网站或机构受到过这种攻击，其劣性并不突出。直到初，Yahoo!、eBay及Amazon等遭其暗算，它才露出庐山真面目。

在典型的Internet连接中，用户访问一个网站时，客户端会先向网站服务器发送一条信息要求建立连接，只有当服务器确认该请求合法，并将访问许可返回给用户时，用户才可对该服务器进行访问。DoS攻击的方法是，恶意用户会向服务器发送多个连接请求，使其呈满负载状态，并且将所有请求的返回地址进行伪造。这样，在服务器企图将认证结构返回给用户时，它将无法找到这些用户。此时，服务器只好等待，有时可能会等上1分钟才关闭此连接。可怕的是，在服务器关闭连接后，攻击者又会发送新的一批虚假请求，重复上一次过程，直到服务器因过载而拒绝提供服务。这些攻击事件并没有入侵网站，也没有篡改或是破坏资料，只是利用程序在瞬间产生大量的网络封包，让对方的网络及主机瘫痪，使正常使用者无法获得主机及时的服务。

然而，年初攻击Yahoo!的元凶还不是简单的DoS，虽然与DoS攻击一样，也是向被攻击目标连续发送大量伪造的IP包，以导致服务器不能为合法用户提供正常服务（比如此次给Yahoo!站点路由器发出的无效请求高达1GB/s），但是它区别于DoS的“绝妙”之处在于:

动员了大量“无辜”的计算机向目标共同发起进攻，采用了分布式拒绝服务（Distributed Denial of Service，DDoS）攻击手段。

DDoS把DoS又向前发展了一步，DDoS的行为更为自动化，它可以方便地协调从多台计算机上启动的进程，让一股DoS洪流冲击网络，并使网络因过载而崩溃。确切地讲，DDoS攻击是指在不同的高带宽主机上安装大量的DoS服务程序，它们等待来自中央客户端的命令，中央客户端随后通知全体受控服务程序，并批示它们对一个特定目标发送尽可能多的网络访问请求。作为攻击者，必须通过telnet连接到他想利用的每一台远程主机上，并以用户身份登录，然后手工输入命令，启动每一台主机向攻击目标发送海量信息流。

DDoS与DoS的最大区别是人多力量大。原来的DoS是一台机器攻击目标，现在的DDoS是很多台机器利用他们的高带宽攻击目标，更容易将目标网站攻掉。除此之外，DDoS攻击方式较为自动化，攻击者可以把他的程序安装到网络中的多台机器上，所采用的攻击工具致使被攻击对象难以察觉，只要攻击者发下攻击命令，这些机器便发起进攻。

二、DoS的攻击方法

对DoS而言，其攻击方式很多，主要使用的攻击有3种，分别是TCP-SYN flood、UDP flood和ICMP flood，

当用户进行一次标准的TCP连接时，会有一个3次握手过程。首先是请求服务方发送一个SYN消息，服务方收到SYN后，会向请求方回送一个SYN-ACK表示确认，当请求方收到SYN-ACK后，再次向服务方发送一个ACK消息，这样，一次TCP连接建立成功。但是TCP-SYN

flood在实现过程中只进行前2个步骤：当服务方收到请求方的SYN-ACK确认消息后，请求方由于采用源地址欺骗等手段使得服务方收不到ACK回应，于是，服务方会在一定时间处于等待接收请求方ACK消息的状态。对于某台服务器来说，可用的TCP连接是有限的，如果恶意攻击方快速连续地发送此类连接请求，该服务器可用的TCP连接队列将很快被阻塞，系统可用资源急剧减少，网络可用带宽迅速缩小，长此下去，网络将无法向用户提供正常的服务。

由于UDP（用户数据包协议）在网络中的应用比较广泛，基于UDP攻击种类也较多。如今在Internet上提供WWW和Mail等服务设备通常是使用Unix的服务器，它们默认一些被恶意利用的UDP服务，如echo和chargen服务，它会显示接收到的每一个数据包，而原本作为测试功能的chargen服务会在收到每一个数据包时随机反馈一些字符，如果恶意攻击者将这2个UDP服务互指，则网络可用带宽将很快耗尽。

三、DDoS的攻击方法

目前，我们知道的对网络进行DDoS攻击所使用的工具有：Trinoo、Tribe Flood

Network（TFN）、TFN2k和Stacheldraht等。它们的攻击思路基本相近。

1．Trinoo：它是基于UDP

flood的攻击软件，它向被攻击目标主机的随机端口发出全零的4字节UDP包，在处理这些超出其处理能力垃圾数据包的过程中，被攻击主机的网络性能不断下降，直到不能提供正常服务，乃至崩溃。它对IP地址不做假，此攻击方法用得不多。

2．TFN：它是利用ICMP给代理服务器下命令，其来源可以做假。它可以发动SYN flood、UDP flood、ICMP

flood及Smurf（利用多台服务器发出海量数据包，实施DoS攻击）等攻击。TFN的升级版TFN2k的特点是：对命令数据包加密、更难查询命令内容、命令来源可以做假，还有一个后门控制代理服务器。

3．Stacheldraht：对命令来源做假，而且可以防范一些路由器用RFC2267过滤。若检查出有过滤现象，它将只做假IP地址最后8位，从而让用户无法了解到底是哪几个网段的哪台机器被攻击。此外，它还具有自动更新功能，可随软件的更新而自动更新。

篇2：从DoS到DDoS分布式拒绝服务攻击与防范手段

到目前为止，进行DDoS攻击的防御还是比较困难的，首先，这种攻击的特点是它利用了TCP/IP协议的漏洞，除非你不用TCP/IP，才有可能完全抵御住DDoS攻击。一位资深的安全专家给了个形象的比喻：DDoS就好象有1,000个人同时给你家里打电话，这时候你的朋友还打得进来吗？

不过即使它难于防范，也不是说我们就应该逆来顺受，实际上防止DDoS并不是绝对不可行的事情。互联网的使用者是各种各样的，与DDoS做斗争，不同的角色有不同的任务。我们以下面几种角色为例：

企业网管理员

ISP、ICP管理员

骨干网络运营商

企业网管理员

网管员做为一个企业内部网的管理者，往往也是安全员、守护神。在他维护的网络中有一些服务器需要向外提供WWW服务，因而不可避免地成为DDoS的攻击目标，他该如何做呢？可以从主机与网络设备两个角度去考虑。

主机上的设置

几乎所有的主机平台都有抵御DoS的设置，总结一下，基本的有几种：

关闭不必要的服务 限制同时打开的Syn半连接数目

缩短Syn半连接的time out 时间 及时更新系统补丁

网络设备上的设置

企业网的网络设备可以从防火墙与路由器上考虑。这两个设备是到外界的接口设备，在进行防DDoS设置的同时，要注意一下这是以多大的效率牺牲为代价的，对你来说是否值得。

1.防火墙

禁止对主机的非开放服务的访问

限制同时打开的SYN最大连接数

限制特定IP地址的访问

启用防火墙的防DDoS的属性

严格限制对外开放的服务器的向外访问

第五项主要是防止自己的服务器被当做工具去害人。

2.路由器

以Cisco路由器为例

Cisco Express Forwarding（CEF）

使用 unicast reverse-path

访问控制列表（ACL）过滤

设置SYN数据包流量速率

升级版本过低的ISO

为路由器建立log

server

其中使用CEF和Unicast设置时要特别注意，使用不当会造成路由器工作效率严重下降，升级IOS也应谨慎，

路由器是网络的核心设备，与大家分享一下进行设置修改时的小经验，就是先不保存。Cisco路由器有两份配置startup config和running config，修改的时候改变的是running config，可以让这个配置先跑一段时间（三五天的就随意啦），觉得可行后再保存配置到startup config；而如果不满意想恢复原来的配置，用copy start run就行了。

ISP / ICP管理员

ISP / ICP为很多中小型企业提供了各种规模的主机托管业务，所以在防DDoS时，除了与企业网管理员一样的手段外，还要特别注意自己管理范围内的客户托管主机不要成为傀儡机。客观上说，这些托管主机的安全性普遍是很差的，有的连基本的补丁都没有打就赤膊上阵了，成为 最喜欢的“肉鸡”，因为不管这台机器 怎么用都不会有被发现的危险，它的安全管理太差了；还不必说托管的主机都是高性能、高带宽的-简直就是为DDoS定制的。而做为ISP的管理员，对托管主机是没有直接管理的权力的，只能通知让客户来处理。在实际情况时，有很多客户与自己的托管主机服务商配合得不是很好，造成ISP管理员明知自己负责的一台托管主机成为了傀儡机，却没有什么办法的局面。而托管业务又是买方市场，ISP还不敢得罪客户，怎么办？咱们管理员和客户搞好关系吧，没办法，谁让人家是上帝呢？呵呵，客户多配合一些，ISP的主机更安全一些，被别人告状的可能性也小一些。

骨干网络运营商

他们提供了互联网存在的物理基础。如果骨干网络运营商可以很好地合作的话，DDoS攻击可以很好地被预防。在20yahoo等知名网站被攻击后，美国的网络安全研究机构提出了骨干运营商联手来解决DDoS攻击的方案。其实方法很简单，就是每家运营商在自己的出口路由器上进行源IP地址的验证，如果在自己的路由表中没有到这个数据包源IP的路由，就丢掉这个包。这种方法可以阻止 利用伪造的源IP来进行DDoS攻击。不过同样，这样做会降低路由器的效率，这也是骨干运营商非常关注的问题，所以这种做法真正采用起来还很困难。

篇3：拒绝服务攻击DoS的研究与防范

关键词：计算机网络,通信技术,拒绝服务攻击,攻击手段

随着当前计算机技术和通信网络的不断发展,黑客的攻击手段也日新月异,按照黑客攻击的性质及其手段,可将网络攻击分为口令攻击、拒绝服务攻击Do S(Denial of Service)、利用型攻击、以及信息收集型攻击和假消息攻击这五大类型。在这五种类型的网络攻击中,由于拒绝服务攻击Do S最不容易辨别和判断,所以Do S越来越多地成为黑客进行网络攻击的主流方式,各种Do S的攻击工具以及变种在网络上广为流传,类似的攻击事件也频频发生[1]。其中,分布式拒绝服务攻击DDo S(Distributed Denial of Service)又是拒绝服务攻击中最典型的一种攻击方式。本文针对黑客常用的拒绝服务攻击Do S进行了深入研究,分析了Do S常用的攻击方式和手段,提出了DDo S的防范方法,并对Do S的发展趋势进行了相应的预测。

1 拒绝服务攻击

拒绝服务攻击Do S是指凡是造成目标计算机拒绝提供服务的攻击称为Do S攻击,其目的是使目标计算机或网络无法提供正常的服务,被攻击的受害者包括联网主机、路由器或者是整个网络[2]。最常见的Do S攻击是计算机网络带宽攻击和连通攻击。

(1)计算机网络带宽攻击是以极大的通信量冲击网络,使网络所有可用的带宽都被消耗掉,最后导致合法用户的请求无法通过。

(2)连通攻击指用大量的连接请求冲击计算机,最终导致计算机无法再处理合法用户的请求。比如:上千人给同一电话打电话,这样其他用户再也无法打进。

拒绝服务的攻击方式有很多种,从广义上来说,任何可以通过合法的方式使服务器不能提供正常服务的攻击手段都属于Do S攻击的范畴。最基本的Do S攻击手段是利用合理的服务请求来占用过多的服务器资源,从而使合法用户无法得到服务器的响应;或者利用系统本身的设计漏洞使目标计算机或网络无法提供正常的服务。具体包括以下几种类型:

(1)ping of death在早期的操作系统对网络数据包的最大尺寸有限制。在读取包的报头后,根据该报头里包含的信息来为有效载荷生成缓冲区。当发送ping请求的数据包声称自己的尺寸超过ICMP上限时,就会使ping请求接收方出现内存分配错误,导致TCP/IP堆栈崩溃,致使接受方down机。

防御措施现在所有的标准TCP/IP实现都已实现了对付超大尺寸的网络数据包,并且大多数防火墙能够自动过滤这些攻击,具有抵抗一般ping of death攻击的能力,此外对防火墙进行配置阻断ICMP以及任何未知协议都将防止此类攻击[3]。

(2)泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息,某些TCP/IP在收到含有重叠偏移的伪造分段时将崩溃。

防御措施:服务器应用最新的服务包,或者在设置防火墙时,对分段进行重组,而不是简单地转发它们。

(3)SYN flood一些TCP/IP栈的实现只能等待从有限数量的计算机发来的ACK消息,因为它们只有有限的内存缓冲区用于创建连接,如果这一缓冲区充满了虚假连接的初始信息,该服务器就会对接下来的连接停止响应,直到缓冲区里的连接企图超时。在一些创建连接不受限制的实现里,SYN洪流具有类似的影响。

防御措施:在防火墙上过滤来自同一主机的后续连接。SYN洪水威胁很大,由于释放洪流的主机并不寻求响应,所以无法从一个简单高容量的传输中鉴别出来。

(4)smurf攻击简单的smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包,来淹没受害主机的方式进行,最终导致该网络的所有主机都对此ICMP应答请求作出答复,从而导致网络阻塞,并且比ping of death洪水的流量要高一至两个数量级。更复杂的smurf将源地址改为第三方的受害者,最终导致第三方雪崩。

防御措施:为了防止黑客利用用户的网络攻击他人,应该关闭外部路由器或防火墙的广播地址特性;并且为了防止被黑客攻击,应该在防火墙上设置规则丢弃掉ICMP包。

2 分布式拒绝服务攻击

分布式拒绝服务攻击DDo S是指攻击者利用已经侵入并控制的主机,对某一单机发起攻击,被攻击者控制着的计算机有可能是数百台机器。在悬殊的带宽力量对比下,被攻击的主机会很快失去反应,无法为用户提供相应的服务,从而达到黑客攻击系统的目的。实践证明,DDo S在Do S中是一种非常有效的拒绝服务攻击方式,而且非常难以抵抗和防范。

DDo S与Do S最大的不同之处就在于DDo S不依赖于任何特定的网络协议,也不利用任何系统漏洞。其通常的攻击步骤如下:

(1)初始的大规模入侵阶段攻击者利用系统的管理漏洞逐渐掌握一批傀儡主机的控制权。在该阶段,攻击者使用自动工具扫描远程脆弱主机,并采用典型黑客的入侵手段,得到这些主机的控制权,安装DDo S的代理端Agent(又叫分布端)。主控端(Handle/Master)是一台已被攻击者入侵,并运行了特定程序的系统主机,每个主控端的主机能够控制多个代理端。每个代理端也是一台已被入侵,并运行了某种特定程序的系统主机,是执行攻击的主要角色。目前,还没有DDo S工具能够自发完成对代理端的入侵。

(2)大规模DDo S攻击阶段当攻击者觉得时机成熟时,控制这些傀儡主机,通过主控端和代理端对目标受害主机发起大规模拒绝服务攻击,多个代理端能够同时响应黑客的攻击命令,并向被攻击目标主机不断发送大量无用的攻击分组,这些攻击分组或者能够耗尽被攻击主机的CPU资源,或者能够耗尽被攻击主机的网络连接带宽(或者两者都被耗尽),最终,导致被攻击主机不能够接受任何正常的服务请求,从而出现拒绝服务现象。

由此我们不难总结出DDo S的特点:首先使用一些典型的HACKER入侵手段控制一些高带宽的服务器;然后在这些服务器上安装非常隐蔽的攻击进程;到时机成熟时,再集多台机器的力量对单一的攻击目标实施攻击[4]。DDo S在Do S中是一种非常有效的拒绝服务攻击方式,其隐蔽性和分布性难以被识别和防御。

分布式拒绝服务攻击严重危害着网络安全,如果能时刻保持警惕心理,采取必要的防范措施,一定能将受到攻击带来的损失减到最小。除了进行带宽限制、及时给系统安装补丁、运行尽可能少的服务、封锁敌意IP、使用防火墙等常见措施外一般实施最少权限原则是保持网络安全的关键。此外,安装入侵检测系统、使用扫描工具等手段来探测系统是否被侵入或服务器被用来进行攻击是必要的。

3 发展趋势

根据对以往的各种Do S攻击事件和手段的总结,并结合网络协议,尤其是TCP/IP协议的先天缺陷,Do S会往以下趋势发展:

(1)越来越多采用IP地址欺骗来隐藏源地址。

(2)越来越呈现出由单一攻击源发起进攻,转变为由多个中间攻击源对单一目标进攻的趋势。

(3)越来越智能化,新的攻击工具将试图断开网络入侵检测系统的检测,并绕过系统的防火墙。

(4)针对目前路由器弱点的Do S攻击会不断增多。

4 结论与展望

随着计算机网络和计算机通信技术的发展,拒绝服务攻击Do S越来越多地成为信息安全技术中的研究热点。本文针对黑客常用的拒绝服务攻击Do S和分布式的拒绝服务攻击DDo S进行了深入研究,分析了Do S常用的攻击方式和手段,提出了Do S的防范措施,并对Do S的发展趋势进行了预测。下一步将力争针对Do S的发展趋势提出相应的防范措施,进一步提高网络中通信的安全性和可靠性。

参考文献

[1]贾月琴,张宁,宋晓虹.对网络安全技术的讨论[J].微计算机信息,2005,3:108110.

[2]叶灯洲.计算机网络中的黑客攻击与防御剖析[J].电脑知识与技术,2005,(29):3738.

[3]尹红.网络攻击与防御技术研究[J].计算机安全,2007(08):4753.

篇4：DOS与DDOS攻击与防范措施

关键词：DOS；DDOS；攻防措施

中图分类号：TP393.08 文献标识码：A 文章编号：1674-7712 （2014） 16-0000-01

Denial of service 简称DOS，是一种简单有效的拒绝服务的攻击模式，可以讓目标服务器中止对用户的服务。DDOS是DOS攻击的晋级模式，在DOS采用单一机器进行攻击的基础上，DDOS可以采用单台机器来控制数目众多的机器来对目标实施攻击。

一、DOS和DDOS攻击的危害

IP地址管理协议DHCP的出现为人们的上网提供了很大的便利，但也因为其中的TCP/IP协议的弱点，经常被一些别有用心的人加以利用，进行破坏DHCP服务器的行为。这种行为中危害最深的就是早先的DOS以及发展到后来的DDOS攻击手段。这两种手段都是想服务器发送大量discover信息，占用大量的宽带资源并严重拖慢服务器的运行甚至造成系统瘫痪。DDOS的危害性更大，因为这种攻击模式可以联合多台计算机的力量进行协作攻击，能在一瞬间攻陷服务器，停止其正常服务，给用户带来巨大的经济损失。

在以往带宽较小的情况下，黑客在进行攻击的时候还有一定的局限性，之恩能够联合目标服务器附近的肉鸡对服务器发动DDOS攻击，但现在带宽都在2G甚至更快，这使攻击者在选择傀儡机进行攻击的时候更加灵活，分布更广泛，这也使得预防DDOS攻击变得更加艰难。

二、DOS和DDOS典型的攻击类型

（一）死亡之ping——The ping of death

这使DOS攻击最典型的一个例子，利用对微软命令行中的ping也就是ICMP的更改，使其变成服务器无法读取的畸形的ping包，这种ping包的大小与TCP/IP协议规定的64k不同，超出了系统认知的上限，扰乱正常的内存分配，继而导致协议栈崩溃，将目标与服务器隔绝开来。

（二）UDP洪水——UDP flood

UDP洪水，最初是专门针对UNIX类型服务器的攻击手段，攻击者通过伪造虚假信息，使主机chargen服务与另一台主机的echo服务相连，这就会使两者之间来回传送无用数据，当两台主机之间的数据流累积到一定程度，就会使网络可用宽带瘫痪。

（三）SYN洪水——SYN flood

这种攻击方式主要是扰乱用户正常的TCP连接，通过信息的伪造使服务器接收不到用户的ASK回馈，这样双放就都处于等待状态，直到响应停止。这种攻击会导致服务器储存大量的虚假信息而无法向用户提供正常的网络服务。

（四）经升级和变化的SYN/ACK flood攻击

这是在传动DOS攻击模式上进行的改进，属于DDOS攻击方法。这种方法可以通过庞大的肉鸡群，或者说僵尸网络对服务器进行攻击，攻击的威力相较于DOS呈数倍的提升，而且对各种网络服务都能构成威胁，是现在依然流行的攻击模式之一。

（五）TCP全连接攻击

这使在防火墙出现后的新的攻击模式。这种攻击模式能利用正常的TCP连接绕过防火墙的存在，利用防火墙允许正常连接的方式建立大量的可用TCP连接以拖慢网站访问或者使服务器中断服务。

（六）穿过专业的抗DDOS防火墙的攻击

这使最专业的攻击模式之一，到目前为止，这种技术只有少数几个人才了解。由于这种攻击模式无视防火墙的存在，可以利用防火墙自身的弱点采取攻击手段，这种攻击方法一旦流出，将会对网络安全形成巨大的冲击。

三、如何防范DOS/DDOS的攻击

人们在利用TCP/IP协议进行网络连接时，就已经承担着协议自身缺陷可能带来的攻击威胁。但我们很容易发现，不管是DOS攻击还是DDOS攻击，其攻击的手段并不是十分复杂，一是通过大量的虚假信息致使服务器瘫痪，另一种就是利用庞大的、无用的数据交流占用带宽，影响用户网络的正常使用。这种利用网络协议缺陷进行的DOS或DDOS短时间内根本无法消除，我们只能通过加强防范的手段尽量减少此类攻击发生的概率，现在主要的防范措施主要有以下几种

（一）网络入侵检测工具的使用

我们可以通过防火墙和入侵检测系统（IDS）的联合使用，通过防火墙将入侵检测系统发现的异常数据或链接拦截，尽量减少DOS和DDOS的攻击。IDS的存在弥补的防火墙无法及时监测病毒入侵的缺陷，可以协助防火墙进行病毒的监测，实时监控网络系统的安全。到今天为止，已经有两者结合的产物“入侵防御系统”产生，这种系统不仅有IDS的监视功能，还能将发现的威胁及时的拦截，阻止攻击行为的发展。这将是未来安全系统架构的一种主要方式。

（二）路由器防御

对于DOS和DDOS的攻击，可以通过路由器中的QoS设置和访问控制有效的减少攻击的频率。首先来说，我们可以开启路由器的RPF反向转发机制，有效的减少源IP地址是不可达IP的数据的转发，也就是DOS的攻击。其次，可以通过带宽控制将大量传输数据的可疑数据流限速，保证整个网络的畅通。最后，可疑通过对非法IP的过滤，使内部IP才能正常通过路由进行数据的交换。

（三）提高全民的网络安全意识

如果我们在上网时都能了解DOS或DDOS的攻击手段并定期检查网络系统的安全状态，加上现在的安全软件一般具有较好的防御机制，我们只要确保每台计算机都能安装相应的防御机制，在全民联防的情况下一定能将DOS/DDOS的攻击频率和危害降到最低。另外，随着网络安全防护软件的发展，已经有连接监控和同步网关两种专门的DDOS防火墙，能对此类攻击起到很好的防御作用。

四、结束语

DOS/DDOS的攻击原理十分简单，但对其进行防范和追踪却很难做到。这种常见的攻击方式一直威胁着我们的网络安全。为了净化我们的网络环境，我们在对DOS/DDOS的攻击手段进行了介绍后，通过对攻击手段的详细分析，提出了几点可行的防范措施，但防范措施是否能真正起到作用还需要广大网民的大力支持。只有建立完整的网络安全体系，才能将攻击拦截并消灭。另外，我们还应不断完善DHCP协议，尽量填补协议的缺陷和漏洞，将DOS/DDOS攻击扼杀在摇篮之中。

参考文献：

篇5：拒绝服务攻击DoS详解

拒绝服务攻击的原理

1.SYN Flood

SYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(Distributed Denial Of Service分布式拒绝服务攻击)的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，使被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。

SYN Flood攻击的过程在TCP协议中被称为三次握手(Three-way Handshake)，而SYN Flood拒绝服务攻击就是通过三次握手而实现的。

(1) 攻击者向被攻击服务器发送一个包含SYN标志的TCP报文，SYN(Synchronize)即同步报文。同步报文会指明客户端使用的端口以及TCP连接的初始序号。这时同被攻击服务器建立了第一次握手。

(2) 受害服务器在收到攻击者的SYN报文后，将返回一个SYN+ACK的报文，表示攻击者的请求被接受，同时TCP序号被加一，ACK(Acknowledgment)即确认，这样就同被攻击服务器建立了第二次握手。

(3) 攻击者也返回一个确认报文ACK给受害服务器，同样TCP序列号被加一，到此一个TCP连接完成，三次握手完成。

具体原理是：TCP连接的三次握手中，假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成)，这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接。这段时间的长度我们称为SYN Timeout，一般来说这个时间是分钟的数量级(大约为30秒~2分钟);一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况(伪造IP地址)，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源。即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃―― 即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常之小)，此时从正常客户的角度看来，服务器失去响应，这种情况就称作：服务器端受到了SYN Flood攻击(SYN洪水攻击)。

SYN COOKIE 防火墙是SYN cookie的一个扩展，SYN cookie是建立在TCP堆栈上的，他为linux操作系统提供保护。SYN cookie防火墙是linux的 一大特色，你可以使用一个防火墙来保护你的网络以避免遭受SYN洪水攻击。

下面是SYN cookie防火墙的原理

client firewall server

------ ---------- ------

1. SYN----------- - - - - - - - - - ->

2. <------------SYN-ACK(cookie)

3. ACK----------- - - - - - - - - - ->

4. - - - - - - -SYN--------------->

5. <- - - - - - - - - ------------SYN-ACK

6. - - - - - - -ACK--------------->

7. ----------->relay the ------->

<----------- connection <-------

1:一个SYN包从C发送到S

2：防火墙在这里扮演了S的角色来回应一个带SYN cookie的SYN-ACK包给C

3：C发送ACK包，接着防火墙和C的连接就建立了，

4：防火墙这个时候扮演C的角色发送一个SYN给S

5：S返回一个SYN给C

6：防火墙扮演C发送一个ACK确认包给S，这个时候防火墙和S的连接也就建立了

7：防火墙转发C和S间的数据

如果系统遭受SYN Flood，那么第三步就不会有，而且无论在防火墙还是S都不会收到相应在第一步的SYN包，所以我们就击退了这次SYN洪水攻 击。

2.IP欺骗DOS攻击

这种攻击利用RST位来实现。假设现在有一个合法用户(61.61.61.61)已经同服务器建立了正常的连接，攻击者构造攻击的TCP数据，伪装自己的IP为61.61.61.61，并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后，认为从61.61.61.61发送的连接有错误，就会清空缓冲区中建立好的连接。这时，如果合法用户61.61.61.61再发送合法数据，服务器就已经没有这样的连接了，该用户就必须从新开始建立连接。攻击时，攻击者会伪造大量的IP地址，向目标发送RST数据，使服务器不对合法用户服务，从而实现了对受害服务器的拒绝服务攻击。

3. UDP洪水攻击

攻击者利用简单的TCP/IP服务，如Chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与某一主机的Chargen服务之间的一次的UDP连接，回复地址指向开着Echo服务的一台主机，这样就生成在两台主机之间存在很多的无用数据流，这些无用数据流就会导致带宽的服务攻击。

4. Ping洪流攻击

由于在早期的阶段，路由器对包的最大尺寸都有限制。许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区。当产生畸形的，声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时，就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使接受方死机。

5. 泪滴(teardrop)攻击

泪滴攻击是利用在TCP/IP堆栈中实现信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指明该分段所包含的是原包的哪一段的信息，某些TCP/IP(包括service pack 4以前的NT)在收到含有重叠偏移的伪造分段时将崩溃。

6. Land攻击

Land攻击原理是：用一个特别打造的SYN包，它的原地址和目标地址都被设置成某一个服务器地址。此举将导致接受服务器向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接。被攻击的服务器每接收一个这样的连接都将保留，直到超时，对Land攻击反应不同，许多UNIX实现将崩溃，NT变的极其缓慢(大约持续5分钟)。

7. Smurf攻击

一个简单的Smurf攻击原理就是：通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包来淹没受害主机的方式进行。最终导致该网络的所有主机都对此ICMP应答请求作出答复，导致网络阻塞。它比ping of death洪水的流量高出1或2个数量级。更加复杂的Smurf将源地址改为第三方的受害者，最终导致第三方崩溃。

8.Fraggle攻击

篇6：从DoS到DDoS分布式拒绝服务攻击与防范手段

DoS/DDoS[1]攻击即拒绝服务攻击,是指攻击者通过消耗受害网络的带宽,消耗受害主机的系统资源,使被攻击目标不能正常工作[2]。实施DoS/DDoS攻击的工具易得易用,而且效果明显,目前防范DoS/DDoS攻击的方法都无法完全有效。

对DoS而言,其攻击方式很多,主要使用的攻击有三种,分别是TCP-SYN flood、UDP flood和ICMP flood[3]。TCP-SYN flood攻击利用TCP连接三次握手协议,向目的主机发送SYN包,而在收到目的主机的SYN ACK后并不回应,这样,目的主机就为这些源主机建立了大量的连接队列,而且由于没有收到回应从而一直维护着这些队列,造成了资源的大量消耗而不能向正常请求提供服务。UDP flood指攻击者随机地向受害系统的端口发送UDP 数据包,当受害系统接收到一个UDP数据包的时候,它会确定目的端口正在等待中的应用程序。当它发现该端口中并不存在正在等待的应用程序,它就会产生一个目的地址无法连接的ICMP数据包发送给该伪造的源地址。如果向受害者计算机端口发送了足够多的UDP数据包的时候,整个系统就会瘫痪。ICMP flood指的是攻击者找出网络上有哪些路由器会回应 ICMP请求,然后用一个虚假的IP源地址向路由器的广播地址发出讯息,路由器会把这讯息广播到网络上所连接的每一台设备。这些设备又马上回应,这样会产生大量讯息流量,从而占用所有设备的资源及网络带宽,而回应的地址就是受攻击的目标。

DDoS攻击是将原本的DoS攻击模式再延伸成为分布式的攻击方式,通常都有远程操控功能,且通常能够掌握多台主机在同时间内对某台服务器发动攻击。图1清楚地描述了DDoS攻击过程。

针对不同的DoS/DDoS攻击类型,目前的攻击检测和防御方法非常多,可以分为三类:基于协议特征分析的检测和防御[4,5]、基于聚积的检测和防御[6,7,8]以及基于网络流量统计模型的检测和防御[9,10,11]。目前,这些检测和防御方法还存在以下几个问题:基于协议特征分析的检测和防御方法只能用于防御具有明显异常流量协议特征的攻击类型[3,4],对于许多没有明显协议区别特征的攻击类型则无效;基于聚积的和基于网络流量统计模型的检测和防御方法不能区分正常的大流量和攻击流量[12],将会导致合法用户流量被误判为攻击流量。

2可信平台模块(TPM)

可信计算是信息安全领域中的一个重要概念。其基本思想是:首先建立一个物理安全的信任根部件,并基于该信任根建立一条认证和信任链,通过认证机制和信任的传递,把这种信任关系扩大到整个计算机系统。可信计算组织TCG(trusted computing group)是制定可信计算平台标准的工业组织。TCG发布了可信平台模块TPM的主规范[13],而它是整个可信系统的可信根,是信任链的源头,也是整个可信机制的核心。TPM是一个含有各种密码部件和存储部件的小型芯片系统,能够提供一系列密码处理功能,如RSA加速器、SHA—l算法引擎、随机数发生器以及存放密钥等关键信息的非易失性存储器等。这些功能可以在TPM硬件内部执行,TPM外部的硬件和软件代理只是为它提供I/O接口,而不能干预TPM内部的密码函数的执行。TPM的结构如图2所示。

TPM拥有三个重要特性:保护能力、完整性度量与报告、身份验证功能。保护能力指TPM可以将重要的数据信号线或重要的存储区域严密保护起来,这样用人为的物理探测技术无法获取到里面的数据。完整性度量与报告指的是TPM可以准确客观地报告现在系统所在的状态是否可信。身份验证功能完成网络通信中身份的认证和鉴别通信对象的平台环境配置。

3解决方案

以上简单介绍了DoS攻击的方式及常用检测防御措施和TPM芯片的基本功能。在此基础上提出一种基于TPM的防御DoS攻击的方法。

网络中的数据在到达服务器前要通过一定数量的交换机进行转发。服务器在网络正常的情况下利用DoS/DDoS攻击检测方法判断是否有攻击发生。若检测到网络有异常情况,我们可以利用带有TPM芯片的交换机,称为可信交换机[14],来验证发送请求的客户端身份,从而只让经过允许的用户访问服务器,做到对攻击源的屏蔽。

需要说明的是,本文提出的方法是有针对性和局限性的。因为如果交换机开启TPM功能,则只有注册用户才能访问服务器。对于如淘宝网这样的需要注册进入的网站,可以采用此种方法来限制用户的访问。而像新浪网这样的公共网站,由于其内容的公共性,不需要客户注册便可访问,所以采用此方法来防御攻击是有很大限制的。抵抗Dos/DDos攻击流程图如图3所示。

(1) 服务器利用DoS/DDoS攻击检测方法实时监测是否有攻击发生。若检测到网络有异常情况,则通知交换机开启TPM身份验证功能。具体采用何种攻击检测方法由于不在本文讨论范围之内,本文不再赘述。具体可以参照本文附注参考文献[1,2,3,4,5,6,7,8,9,10,11,12,13]。

(2) 交换机向服务器请求服务器公钥PKs(Public Key of Server)和服务器的客户端证书授权表CCAT(Client Certification authentication Table),这个表是经过服务器签名过的,表示为Sig(CCAT,server)。服务器收到请求后发送PKs和Sig(CCAT,Server)到交换机。

(3) 客户端首先向交换机发出接入服务器请求Request。

(4) 交换机的TPM随机数产生器产生一个随机数Ri (Random),并发送给客户端。

(5) 拥有该服务器认证的客户端收到Ri后,对随机数进行签名,然后将这个签名过的随机数Sig(Ri,Client)发还给交换机。

(6) 交换机从CCAT中获得该客户端的公钥PKc(Public Key of Client)后,对接收到的Sig(Ri,Client)进行解密,得到的结果为Rj ,若Ri = Rj ,则证明该客户端是经过服务器认证过的。

(7) 然后交换机再通过向服务器询问是否允许客户端进行访问。这是为了判断该注册客户端是否已被感染而向服务器发动攻击。这一步也可以通过交换机和服务器动态维护一张客户通行表CPT(Cliet Permission Table)来完成,CPT记载着服务器是否允许某个注册用户连接服务器的数据。交换机维持这个经过服务器签名过的CPT,该表初始化为允许所有注册客户端通过。如果该客户端经过检测是恶意连接用户,则服务器通知交换机修改CPT内容,同时禁止该客户的访问连接。

(8) 交换机完成验证工作后就在客户端和服务器间建立一个虚拟连接,之后就不再需要交换机了。

(9) 当监控到攻击停止时,服务器通知交换机停止验证操作。

随机数Ri的使用是为了避免攻击方采用重放攻击的方式发动进攻,因为随机数是不会重复出现两次的,这样就避免了攻击方复制注册用户对随机数的签名。而TPM芯片里设置有随机数产生器,所产生的随机数是根据时间戳产生的,完全符合系统对Ri 的要求。

此处签名Sig(Ri,Client)和Sig (CCAT,Server)的作用是确定发送方的可信性。由于采用了基于TPM的签名操作,可以有效地保护网络中的重要数据同时保证攻击方无法伪造数据。

在攻击发生时,服务器是处于异常繁忙的状态的,客户端证书授权表CCAT和客户通行表CPT的使用,减少了交换机访问服务器的数量,减轻了服务器负担和网络负载,大大提高了系统反应速度。

性能分析:

(1) 自身的安全性。在认证过程中需要的重要信息或者存储在TPM中来防止非法用户读取或者经过签名来防止篡改。

(2) 信道安全性。数据均未以明文方式在信道上传输,并利用随机数使得传输的信息具有不规则性和不可预计性。

(3) 系统的有效性。未发生攻击时,系统以常态工作。在检测到发生攻击时,由于只允许经过注册且未被感染的客户端可以进行访问,非可信连接还未到达服务器就被交换机禁止通过,极大地增强了系统的有效性。

4结论

本方法的不足之处是:

(1) 在攻击发生时,要求所有的客户端都要通过服务器的认证。如果要访问服务器的公共部分,对于未通过服务器认证的用户,则无法正常访问服务器。这是为了确保服务器在受到攻击时依然可以正常接受注册用户的访问请求。

(2) 在发生DDoS攻击时,服务器可能正常工作也可能不正常工作。这是因为:若有大量的通过身份验证的客服端被恶意控制,同时对服务器展开攻击,则服务器可能由于无法检测到攻击来源而陷入瘫痪。虽然发生概率极低,但可以通过加入其它一些互补的抵御DdoS攻击措施来避免。

下一步的工作是针对该解决方案进一步的扩展与完善,以解决上面提到的存在问题。

篇7：从DoS到DDoS分布式拒绝服务攻击与防范手段

分布式拒绝服务攻击多采用客户/服务器模式, 一个比较完整的分布式拒绝服务攻击体系分成四个部分:攻击者、主控端、代理端、受害者。

1、攻击者:

攻击者所用的计算机是攻击主控台, 可以是网络上的任何一台主机, 甚至可以是一个活动的便携机。攻击者操纵整个攻击过程, 它向主控端发送攻击命令。

2、主控端 (控制傀儡机) :

主控端是攻击者非法侵入并控制的一些主机, 这些主机还分别控制大量的代理主机。主控端主机的上面安装了特定的程序, 因此它们可以接受攻击者发来的特殊指令, 并且可以把这些命令发送到代理主机上。

3、代理端 (攻击傀儡机) :

代理端同样也是攻击者侵入并控制的一批主机, 它们上面运行攻击器程序, 接受和运行主控端发来的命令。代理端主机是攻击的执行者, 真正向受害者主机发送攻击。

二、被分布式拒绝服务攻击时的现象

1、被攻击主机上有大量等待的TCP连接。

2、网络中充斥着大量的无用的数据包, 源地址为假。

3、制造高流量无用数据, 造成网络拥塞, 使受害主机无法正常和外界通讯

4、利用受害主机提供的服务或传输协议上的缺陷, 反复

高速的发出特定的服务请求, 使受害主机无法及时处理所有正常请求。

5、严重时会造成系统死机。

三、检测服务器是否受到分布式拒绝服务攻击的方法

要检测服务器是否受到DDOS攻击的方法有通常有两种:

1、通常, 我们可以使用文件系统扫描工具来确定在服务器文件系统上是否存在已知的DDo S攻击程序。

同病毒软件一样, 每当有新的DDo S发明出来, 当前的DDo S工具就将过时, 或者它对现存的DDo S进行修改而避开检查。所以, 要选择最近更新的扫描工具才能检测到最新的DDo S攻击程序。

2、还可使用手工方法对起源于本地网络中的DDo S活动进行双重检查。

在Web服务器与Internet或者上游ISP连接之间的防火墙上建立一个滤波器, 以寻找spoofed (哄骗) 信息包, 也就是那些不是从你自己的网络上生成的信息包。这就是所谓的出口过滤。如果在你的网络上正在生成spoofed信息包, 那么这很可能是一个DDo S程序生成的。

四、分布式拒绝服务攻击的防御措施

1、网络节流和服务器均衡技术

在网络管理方面, 首先要在有网络带宽保证的前提下, 要优化路由和网络结构, 配置好安全规则, 在网络设备流量较大的时候采取丢报的方式来维持其功能的正常, 丢掉的数据报会包含攻击的数据报和正常访问的数据报。另外, 尽量提升主机服务器硬件配置, 利用负载均衡技术可以让多台服务器或多条链路共同承担一些繁重的计算或I/O任务, 从而以较低成本消除网络瓶颈, 提高网络的灵活性和可靠性。

2、加强骨干网设备监控

加强对骨干网络设备的监控, 通常的方法包括限制连接队列的长度以及减少处理延时等。

限制连接队列的长度可以缓解系统资源的耗尽, 虽然不能完全避免“拒绝服务”的发生, 但是在一定程度上降低了系统崩溃的可能性。减少处理延时可以更快的速度抛弃队列里等待的连接。

几乎所有的主机平台都有抵御DDos的设置, 包括以下几种:

(1) 关闭不必要的服务

确保从服务器相应的目录或文件数据库中删除未使用的服务如FTP或NFS

(2) 限制同时打开的SYN半连接数目

(3) 缩短SYN半连接的time out时间

(4) 及时更新系统补丁

3、防火墙配置

防火墙可以进行的配置主要包括:禁止对主机的非开放服务的访问;限制特定IP地址的访问;启用防火墙的防DDos的属性;严格限制对外开放的服务器向外访问。

除了以上这些基础的方法和工具以外, 还有一些更高级的技巧可以利用, 例如建立备份机制, 也可以部署一些陷阱, 例如蜜网技术。

结束语

DDos由于具有攻击方式简单、易于实现、防范困难和不易追查的特点, 已成为当前网络中最常见、危害最大的攻击的方式, 但任何攻击行为都有他们自身的弱点, 只要理解了DDos攻击原理及实现过程, 即可制定出行之有效的防范策略。只要我们能时刻保持警惕心理, 采取必要的防范措施, 一定能将受到攻击带来的损失减到最小。在平时进行带宽限制、及时给系统安装补丁、运行尽可能少的服务、封锁敌意IP、使用防火墙等措施都能进一步保证我们的网络安全。

摘要：分布式拒绝服务攻击已经对现代网络安全造成了很大的威胁。对分布式拒绝服务攻击的原理进行了解析, 针对攻击特点提出了几种防御方式。

关键词：分布式拒绝服务,防范措施

参考文献

[1]张熙:《黑客攻防实战100例——黑客入侵、检测、防范、恢复手册》, 云南人民出版社, 2004年。

[2]赵恒、王宁宁、荣瑞峰:《DDOS的攻击与防御》, 《信息技术与信息化》, 2007年第3期。

[3]吴伟娇:《DDos攻击与防范策略详探》, 《中国科技信息》, 2008年第1期。

篇8：从DoS到DDoS分布式拒绝服务攻击与防范手段

关键词：拒绝服务攻击,Dos/Ddos,网络攻击

(一) 引言

拒绝服务攻击 (DoS Attack) 的出现源于让目标感染用户无法正常使用网络服务和网络资源。尽管人们为了防范它而投入了巨大的人力物力和财力, 但仍然无法有效的解决这个棘手的问题, 原因很简单, 因为因特网上的资源十分有限, 不管是带宽, 服务器的处理能力, 还是存储空间大小等等, 这些有限得资源都能被攻击者利用。当然, 人们可以利用资源的有效合理分配算法来填补这些漏洞, “亡羊补牢”固然不晚, 但是在技术飞跃发展的今天, 这个漏洞却越来越大, 而这个漏洞的根本成因是因为因特网安全性是在网上的主机来说是高度相关联的, 也就是说, 你的个人防火墙可以做得很完美, 但这并不意味着你收到的攻击的概率或者次数就会变少, 因为你所受到的攻击类型及攻击数目是取决于整个互联网的安全性。

(二) 分布式拒绝服务攻击的类型

拒绝服务攻击分为几种情况, 一种比较典型的就是利用系统漏洞对目标主机进行攻击, 这一类的攻击利用操作系统或者软件设计的缺陷, 能够引起目标主机掉入到无意义的空运算中甚至丧失对计算机的控制能力从而无法对用户提供相应服务。在早期的攻击行为中, 这一种行为比较常见, 这个攻击的解决方法就是打系统补丁, 随着人们逐渐认识到计算机安全重要性, 这一类攻击变得越来越困难。

而分布式拒绝服务攻击却是利用网络资源和目标主机的处理能力不对称的特点让目标主机由于一直处于超负荷运行状态而无法响应新请求的一种攻击手段, 这种攻击方法不依赖于具体的网络协议或者特定的系统漏洞。

拒绝服务攻击可以是有一个源主机 (source) 往一个目标主机 (destination) 发送大量的攻击包或者由多个源向同一个目标主机同时发动攻击这一种攻击形式也成为直接攻击 (direct attack) 。单个源攻击单个主机的方式相对简单, 利用单个机器的处理能力带宽等多方面优势向目标主机发起攻击, 从而导致目标主机忙于服务攻击者而不能像其他人提供服务。正是由于其简单性, 这一类型的攻击也比较容易防范, 对于攻击者来说投入的硬件成本也相对较高, 目标主机可以针对同一地址源来设置防火墙即可抵御。在多个源攻击同一个目标主机的方法中攻击能力开始升级, 同时也更加难以防范。在发动攻击之前, 由攻击者策划一系列僵尸机器直接往目标主机发送大量的攻击包, 从而导致目标主机忙于处理这些垃圾信息而瘫痪。在发动直接攻击之前, 攻击者需要组织一个僵尸军团, 也就是往多个第三方机器植入agent后台病毒, 这样在需要发动攻击的时候能统一调度。这一类攻击方法利用了互联网的分布式特点, 其内在思想和现在流行的“云计算”思想不谋而合。它不依赖于单个机器的硬件能力, 而是利用分布式原理, 利用网络上的其他机器的运算能力让目标机器来服务。由于其分布式特征, 目标机器无法利用简单的IP规则来判别该请求是否是攻击, 使得该类攻击的成功性较之第一种攻击更高。虽然如此, 多对一的攻击方式需要攻击者往多个第三方机器植入后台病毒, 这种攻击方式的门槛相对更高。

另一种攻击手段可以称之为映射攻击 (reflector attack) , 它和直接攻击相似, 只不过它不是直接往目标主机发送攻击包, 而通过路由来实现大量攻击包的传送。我们知道, 因特网之所以取得成功, 是因为它采用了IP体系结构。IP地址隐藏了主机的实际地理位置。主机向服务器或者另一个对等体发送消息其实都要经过路由器的转换。路由器会根据消息中的IP头来确定目标主机所在的位置。如果该目标不存在, 路由器会向源主机发送目标不可达等通知消息 (ICMP) 。

映射攻击方法正是利用了网络体系结构特点来发起攻击, 它通过往路由器发送大量数据包, 但是这些数据包所发往的目的地址都是一些垃圾地址, 当路由器发现无法投递这些数据时就会往源主机发送通告消息, 然而问题出现在这里, 所有这些数据包的源地址都修改为目标主机的地址, 由于路由器无法识别该地址是被修改过的, 所以会直接发送给攻击者要攻击的目标主机, 从而间接地发生了攻击行为。当整个攻击网络足够大的时候, 由于目标主机需要接受成百上千的路由器返回的通告消息, 尽管目标主机没有发送过这些消息, 它收到路由器传送过来的通告消息后会默认选择丢弃, 然而这些通告消息会消耗目标主机的带宽资源, 大量无用消息的传送同样会使目标主机瘫痪。映射攻击由于它利用了因特网的路由器, 所以它较直接攻击更为隐蔽也更加难以追踪, 同时防范它的措施更加困难。但是并不是说映射攻击就是万能的。由于这种方法需要用到路由器的转发功能, 为了产生足够大的垃圾信息, 攻击者需要准确计算路由器的转发时间和效率才能耗费完目标主机的带宽资源而使之瘫痪。然而因为通过路由器的信息非常庞大, 攻击者的攻击信息并不一定能够按照预定的时间到达目标主机从而使攻击失效。

(三) 防御措施

为了防范分布式拒绝服务攻击, 人们提出了多种方法, 一类方法是基于防火墙的方法, 其中之一是在因特网主干网上面增设数据包过滤, 由于主干网拥有BGP信息, 所以可以很容易分析通过主干网上面的数据的来源从而判断出该信息是不是有效的。然而这种方法却是以损耗主干网路由器的处理性能为前提的, 如果数据量过大将损害主干网性能。另外一种方法相类似, 不过它不是在主干网上设置, 而是采用了几个点做检测, 然而由于缺少BGP信息, 这种方法很有可能发生误检的事情。

另一类方法是从目标主机角度出发, 构建更加强大的防火墙机制, 包括利用数据挖掘技术和预测机制来判断检测拒绝服务攻击。然而由于防范拒绝服务攻击的实时性以及这些方法都需要耗费一定的计算能力, 虽然从某种角度来说解决了问题, 但同样也降低了主机的性能。这是系统设计者在设计时需要考虑的。

(四) 结语

由于拒绝服务攻击并不单单是个体行为, 发生攻击的同时会消耗整个互联网的带宽等资源, 所以从长远来说, 问题的根本解决方法是在全球的因特网上构建一个安全架构, 在主干网的路由防火墙假设一道防火墙, 同时利用IPv6的安全特性解决这些问题。

参考文献

[1]Rocky K.C.Chang.Defending against Flooding-Based Distributed Denial-of-Service Attacks:A Tutorial.IEEE Communications Magazine, October 2002.

[2]Internet Denial-of-Service Considerations[M].The IETF Trust (2006) .