DDOS攻擊如何防御

分布式拒絕服務(wù)攻擊(英文意思是Distributed Denial of Service，簡(jiǎn)稱(chēng)DDoS)是指處于不同位置的多個(gè)攻擊者同時(shí)向一個(gè)或數個(gè)目標發(fā)動(dòng)攻擊，或者一個(gè)攻擊者控制了位于不同位置的多臺機器并利用這些機器對受害者同時(shí)實(shí)施攻擊。由于攻擊的發(fā)出點(diǎn)是分布在不同地方的，這類(lèi)攻擊稱(chēng)為分布式拒絕服務(wù)攻擊，其中的攻擊者可以有多個(gè)。
　　DDOS攻擊原理
　　分布式拒絕服務(wù)攻擊原理分布式拒絕服務(wù)攻擊DDoS是一種基于DoS的特殊形式的拒絕服務(wù)攻擊，是一種分布的、協(xié)同的大規模攻擊方式。單一的DoS攻擊一般是采用一對一方式的，它利用網(wǎng)絡(luò )協(xié)議和操作系統的一些缺陷，采用欺騙和偽裝的策略來(lái)進(jìn)行網(wǎng)絡(luò )攻擊，使網(wǎng)站服務(wù)器充斥大量要求回復的信息，消耗網(wǎng)絡(luò )帶寬或系統資源，導致網(wǎng)絡(luò )或系統不勝負荷以至于癱瘓而停止提供正常的網(wǎng)絡(luò )服務(wù)。與DoS攻擊由單臺主機發(fā)起攻擊相比較，分布式拒絕服務(wù)攻擊DDoS是借助數百、甚至數千臺被入侵后安裝了攻擊進(jìn)程的主機同時(shí)發(fā)起的集團行為。
　　一個(gè)完整的DDoS攻擊體系由攻擊者、主控端、代理端和攻擊目標四部分組成。主控端和代理端分別用于控制和實(shí)際發(fā)起攻擊，其中主控端只發(fā)布命令而不參與實(shí)際的攻擊，代理端發(fā)出DDoS的實(shí)際攻擊包。對于主控端和代理端的計算機，攻擊者有控制權或者部分控制權．它在攻擊過(guò)程中會(huì )利用各種手段隱藏自己不被別人發(fā)現。真正的攻擊者一旦將攻擊的命令傳送到主控端，攻擊者就可以關(guān)閉或離開(kāi)網(wǎng)絡(luò )．而由主控端將命令發(fā)布到各個(gè)代理主機上。這樣攻擊者可以逃避追蹤。每一個(gè)攻擊代理主機都會(huì )向目標主機發(fā)送大量的服務(wù)請求數據包，這些數據包經(jīng)過(guò)偽裝，無(wú)法識別它的來(lái)源，而且這些數據包所請求的服務(wù)往往要消耗大量的系統資源，造成目標主機無(wú)法為用戶(hù)提供正常服務(wù)。甚至導致系統崩潰。
　　DDOS攻擊的分類(lèi)
　　一、基于自動(dòng)化程度分類(lèi)
　　1、手工的DDoS攻擊。
　　早期的DDoS攻擊全是采用手動(dòng)配置的，即發(fā)動(dòng)DDoS攻擊時(shí)，掃描遠端有漏洞的計算機，侵入它們并且安裝代碼全是手動(dòng)完成的。
　　2、半自動(dòng)化的DDoS攻擊。
　　在半自動(dòng)化的攻擊中，DDoS攻擊屬于主控端一代理端的攻擊模型，攻擊者用自動(dòng)化的Scripts來(lái)掃描，主控端的機器對主控端和代理端之間進(jìn)行協(xié)商攻擊的類(lèi)型、受害者的地址、何時(shí)發(fā)起攻擊等信息由進(jìn)行詳細記錄。
　　3、自動(dòng)化的DDoS攻擊。
　　在這類(lèi)攻擊中。攻擊者和代理端機器之間的通信是絕對不允許的。這類(lèi)攻擊的攻擊階段絕大部分被限制用一個(gè)單一的命令來(lái)實(shí)現，攻擊的所有特征，例如攻擊的類(lèi)型，持續的時(shí)間和受害者的地址在攻擊代碼中都預先用程序實(shí)現。
　　二、基于系統及協(xié)議的弱點(diǎn)分類(lèi)
　　1、洪水攻擊。
　　在洪水攻擊中?？軝C向受害者系統發(fā)送大量的數據流為了充塞受害者系統的帶寬，影響小的則降低受害者提供的服務(wù)，影響大的則使整個(gè)網(wǎng)絡(luò )帶寬持續飽和，以至于網(wǎng)絡(luò )服務(wù)癱瘓。典型的洪水攻擊有UDP洪水攻擊和ICMP洪水攻擊。
　　2、擴大攻擊。
　　擴大攻擊分為兩種，一種是利用廣播lP地址的特性，一種是利用反射體來(lái)發(fā)動(dòng)攻擊。前一種攻擊者是利用了廣播IP地址的特性來(lái)擴大和映射攻擊，導致路由器將數據包發(fā)送到整個(gè)網(wǎng)絡(luò )的廣播地址列表中的所有的廣播IP地址。這些惡意的流量將減少受害者系統可提供的帶寬。典型的擴大攻擊有Smurf和Fraggle攻擊。
　　3、利用協(xié)議的攻擊。
　　該類(lèi)攻擊則是利用某些協(xié)議的特性或者利用了安裝在受害者機器上的協(xié)議中存在的漏洞來(lái)耗盡它的大量資源。典型的利用協(xié)議攻擊的例子是TCP SYN攻擊。
　　4、畸形數據包攻擊。
　　攻擊者通過(guò)向受害者發(fā)送不正確的IP地址的數據包，導致受害系統崩潰?；螖祿艨煞譃閮煞N類(lèi)型：IP地址攻擊和IP數據包屬性攻擊。
　　三、基于攻擊速率分類(lèi)
　　DDoS攻擊從基于速率上進(jìn)行分類(lèi)，可以分為持續速率和可變速率的攻擊。持續速率的攻擊是指只要開(kāi)始發(fā)起攻擊，就用全力不停頓也不消減力量。像這種攻擊的影響是非?？斓??？勺兯俾实墓?，從名字就可以看出，用不同的攻擊速率，基于這種速率改變的機制，可以把這種攻擊分為增加速率和波動(dòng)的速率。
　　四、基于影響力進(jìn)行分類(lèi)
　　DDoS攻擊從基于影響力方面可以分為網(wǎng)絡(luò )服務(wù)徹底崩潰和降低網(wǎng)絡(luò )服務(wù)的攻擊。服務(wù)徹底崩潰的攻擊將導致受害者的服務(wù)器完全拒絕對客戶(hù)端提供服務(wù)。降低網(wǎng)絡(luò )服務(wù)的攻擊，消耗受害者系統的一部分資源，這將延遲攻擊被發(fā)現的時(shí)間，同時(shí)對受害者造成一定的破壞。
　　五、基于入侵目標分類(lèi)
　　DDoS攻擊從基于入侵目標，可以將DDoS攻擊分為帶寬攻擊和連通性攻擊，帶寬攻擊通過(guò)使用大量的數據包來(lái)淹沒(méi)整個(gè)網(wǎng)絡(luò )，使得有效的網(wǎng)絡(luò )資源被浪費，合法朋戶(hù)的請求得不到響應，大大降低了效率。而連通性攻擊是通過(guò)發(fā)送大量的請求來(lái)使的計算機癱瘓，所有有效的操作系統資源被耗盡，導致計算機不能夠再處理合法的用戶(hù)請求。
　　六、基于攻擊路線(xiàn)分類(lèi)
　　1、直接攻擊：攻擊者和主控端通信，主控端接到攻擊者的命令后，再控制代理端向受害者發(fā)動(dòng)攻擊數據流。代理端向受害者系統發(fā)送大量的偽IP地址的網(wǎng)絡(luò )數據流，這樣攻擊者很難被追查到。
　　2、反復式攻擊通過(guò)利用反射體，發(fā)動(dòng)更強大的攻擊流。反射體是任何一臺主機只要發(fā)送一個(gè)數據包就能收到一個(gè)數據包，反復式攻擊就是攻擊者利用中間的網(wǎng)絡(luò )節點(diǎn)發(fā)動(dòng)攻擊。
　　七、基于攻擊特征分類(lèi)
　　從攻擊特征的角度，可以將DDoS攻擊分為攻擊行為特征可提取和攻擊行為特征不可提取兩類(lèi)。攻擊行為特征可提取的DDoS攻擊又可以細分為可過(guò)濾型和不可過(guò)濾型?？蛇^(guò)濾型的DDoS攻擊主要指那些使用畸形的非法數據包。不可過(guò)濾型DDoS攻擊通過(guò)使用精心設計的數據包，模仿合法用戶(hù)的正常請求所用的數據包，一旦這類(lèi)數據包被過(guò)濾將會(huì )影響合法用戶(hù)的正常使用。
　　DDoS的攻擊現象
　　DDoS的表現形式主要有兩種，一種為流量攻擊，主要是針對網(wǎng)絡(luò )帶寬的攻擊，即大量攻擊包導致網(wǎng)絡(luò )帶寬被阻塞，合法網(wǎng)絡(luò )包被虛假的攻擊包淹沒(méi)而無(wú)法到達主機；另一種為資源耗盡攻擊，主要是針對服務(wù)器主機的攻擊，即通過(guò)大量攻擊包導致主機的內存被耗盡或CPU被內核及應用程序占完而造成無(wú)法提供網(wǎng)絡(luò )服務(wù)。當被DDoS攻擊時(shí)，主要表現為：
　　(1)被攻擊主機上有大量等待的TCP連接。
　　(2)網(wǎng)絡(luò )中充斥著(zhù)大量的無(wú)用的數據包，源地址為假。
　　(3)制造高流量無(wú)用數據，造成網(wǎng)絡(luò )擁塞，使受害主機無(wú)法正常和外界通訊。
　　(4)利用受害主機提供的服務(wù)或傳輸協(xié)議上的缺陷，反復高速地發(fā)出特定的服務(wù)請求，使受害主機無(wú)法及時(shí)處理所有正常請求。
　　(5)嚴重時(shí)會(huì )造成系統死機。
　　攻擊流程
　　攻擊者進(jìn)行一次DDoS攻擊大概需要經(jīng)過(guò)了解攻擊目標、攻占傀儡機、實(shí)際攻擊三個(gè)主要步驟，下面依次說(shuō)明每一步驟的具體過(guò)程：
　　1、了解攻擊目標就是對所要攻擊的目標有一個(gè)全面和準確的了解，以便對將來(lái)的攻擊做到心中有數。主要關(guān)心的內容包括被攻擊目標的主機數目、地址情況。目標主機的配置、性能、目標的帶寬等等。對于DDoS攻擊者來(lái)說(shuō)，攻擊互聯(lián)網(wǎng)上的某個(gè)站點(diǎn)，有一個(gè)重點(diǎn)就是確定到底有多少臺主機在支持這個(gè)站點(diǎn)，一個(gè)大的網(wǎng)站可能有很多臺主機利用負載均衡技術(shù)提供服務(wù)。所有這些攻擊目標的信息都關(guān)系到后面兩個(gè)階段的實(shí)施目標和策略，如果盲目的發(fā)動(dòng)DDoS攻擊就不能保證攻擊目的的完成，還可能過(guò)早的暴露攻擊者的身份，所以了解攻擊目標是有經(jīng)驗的攻擊者必經(jīng)的步驟。
　　2、攻占傀儡主機就是控制盡可能多的機器，然后安裝相應的攻擊程序。在主控機上安裝控制攻擊的程序，而攻擊機則安裝DDoS攻擊的發(fā)包程序。攻擊者最感興趣，也最有可能成為別人的傀儡主機的機器包括那些鏈路狀態(tài)好、性能好同時(shí)安全管理水平差的主機。攻擊者一般會(huì )利用已有的或者未公布的一些系統或者應用軟件的漏洞．取得一定的控制權，起碼可以安裝攻擊實(shí)施所需要的程序，更厲害的可能還會(huì )取得最高控制權、留下后門(mén)等等。在早期的DDoS攻擊過(guò)程中，攻占傀儡主機這一步主要是攻擊者自己手動(dòng)完成的，親自?huà)呙杈W(wǎng)絡(luò )，發(fā)現安全性比較差的主機，將其攻占并且安裝攻擊程序。但是后來(lái)隨著(zhù)DDoS攻擊和蠕蟲(chóng)的融合，攻占傀儡機變成了一個(gè)自動(dòng)化的過(guò)程，攻擊者只要將蠕蟲(chóng)放入網(wǎng)絡(luò )中，蠕蟲(chóng)就會(huì )在不斷擴散中不停地攻占主機，這樣所能聯(lián)合的攻擊機將變得非常巨大，DDoS攻擊的威力更大。
　　3、DDoS攻擊的最后一個(gè)階段就是實(shí)際的攻擊過(guò)程，攻擊者通過(guò)主控機向攻擊機發(fā)出攻擊指令，或者按照原先設定好的攻擊時(shí)間和目標，攻擊機不停的向目標或者反射服務(wù)器發(fā)送大量的攻擊包，來(lái)吞沒(méi)被攻擊者，達到拒絕服務(wù)的最終目的。和前兩個(gè)過(guò)程相比，實(shí)際攻擊過(guò)程倒是最簡(jiǎn)單的一個(gè)階段，一些有經(jīng)驗的攻擊者可能還會(huì )在攻擊的同時(shí)通過(guò)各種手段檢查攻擊效果，甚至在攻擊過(guò)程中動(dòng)態(tài)調整攻擊策略，盡可能清除在主控機和攻擊機上留下的蛛絲馬跡。
　　攻擊方式
　　1、SYN Flood攻擊
　　SYN Flood攻擊是當前網(wǎng)絡(luò )上最為常見(jiàn)的DDoS攻擊，它利用了TCP協(xié)議實(shí)現上的一個(gè)缺陷。通過(guò)向網(wǎng)絡(luò )服務(wù)所在端口發(fā)送大量的偽造源地址的攻擊報文，就可能造成目標服務(wù)器中的半開(kāi)連接隊列被占滿(mǎn)，從而阻止其他合法用戶(hù)進(jìn)行訪(fǎng)問(wèn)。
　　2、UDP Flood攻擊
　　UDP Flood是日漸猖厥的流量型DDoS攻擊，原理也很簡(jiǎn)單。常見(jiàn)的情況是利用大量UDP小包沖擊DNS服務(wù)器或Radius認證服務(wù)器、流媒體視頻服務(wù)器。由于UDP協(xié)議是一種無(wú)連接的服務(wù)，在UDP Flood攻擊中，攻擊者可發(fā)送大量偽造源IP地址的小UDP包。
　　3、ICMP Flood攻擊
　　ICMP Flood攻擊屬于流量型的攻擊方式，是利用大的流量給服務(wù)器帶來(lái)較大的負載，影響服務(wù)器的正常服務(wù)。由于目前很多防火墻直接過(guò)濾ICMP報文。因此ICMP Flood出現的頻度較低。
　　4、Connection Flood攻擊
　　Connection Flood是典型的利用小流量沖擊大帶寬網(wǎng)絡(luò )服務(wù)的攻擊方式，這種攻擊的原理是利用真實(shí)的IP地址向服務(wù)器發(fā)起大量的連接。并且建立連接之后很長(cháng)時(shí)間不釋放，占用服務(wù)器的資源，造成服務(wù)器上殘余連接(WAIT狀態(tài))過(guò)多，效率降低，甚至資源耗盡，無(wú)法響應其他客戶(hù)所發(fā)起的鏈接。
　　5、HTTP Get攻擊
　　這種攻擊主要是針對存在A(yíng)SP、JSP、PHP、CGI等腳本程序，特征是和服務(wù)器建立正常的TCP連接，并不斷的向腳本程序提交查詢(xún)、列表等大量耗費數據庫資源的調用。這種攻擊的特點(diǎn)是可以繞過(guò)普通的防火墻防護，可通過(guò)Proxy代理實(shí)施攻擊，缺點(diǎn)是攻擊靜態(tài)頁(yè)面的網(wǎng)站效果不佳，會(huì )暴露攻擊者的lP地址。
　　6、UDP DNS Query Flood攻擊
　　UDP DNS Query Flood攻擊采用的方法是向被攻擊的服務(wù)器發(fā)送大量的域名解析請求，通常請求解析的域名是隨機生成或者是網(wǎng)絡(luò )世界上根本不存在的域名。域名解析的過(guò)程給服務(wù)器帶來(lái)了很大的負載，每秒鐘域名解析請求超過(guò)一定的數星就會(huì )造成DNS服務(wù)器解析域名超時(shí)。
　　應對策略防御措施
　　不但是對DDoS，而且是對于所有網(wǎng)絡(luò )的攻擊，都應該是采取盡可能周密的防御措施，同時(shí)加強對系統的檢測，建立迅速有效的應對策略。應該采取的防御措施有：
　　(1)全面綜合地設計網(wǎng)絡(luò )的安全體系，注意所使用的安全產(chǎn)品和網(wǎng)絡(luò )設備，如果服務(wù)器和站點(diǎn)部署在IDC機房，就選擇帶防御的IDC機房，比如選擇網(wǎng)盾科技。
　　(2)提高網(wǎng)絡(luò )管理人員的素質(zhì)，關(guān)注安全信息，遵從有關(guān)安全措施，及時(shí)地升級系統，加強系統抗擊攻擊的能力。
　　(3)機房要部署專(zhuān)業(yè)扛DDOS的防火墻系統，比如國內的金盾，傲盾這樣的品牌，利用防火墻系統對所有出入的數據包進(jìn)行過(guò)濾，檢查邊界安全規則，確保輸出的包受到正確限制。
　　(4)優(yōu)化路由及網(wǎng)絡(luò )結構。對路由器進(jìn)行合理設置，降低攻擊的可能性。
　　(5)優(yōu)化對外提供服務(wù)的主機，對所有在網(wǎng)上提供公開(kāi)服務(wù)的主機都加以限制。
　　IDC的防御原則
　　在響應方面，雖然還沒(méi)有很好的對付攻擊行為的方法，但仍然可以采取措施使攻擊的影響降至最小。無(wú)論是選擇網(wǎng)盾科技的高防IP還是高防服務(wù)器，應對的根本原則是：盡可能地保持服務(wù)、迅速恢復服務(wù)。由于分布式攻擊入侵網(wǎng)絡(luò )上的大量機器和網(wǎng)絡(luò )設備，所以要對付這種攻擊歸根到底還是要解決網(wǎng)絡(luò )的整體安全問(wèn)題。真正解決安全問(wèn)題一定要多個(gè)部門(mén)的配合，從邊緣設備到骨干網(wǎng)絡(luò )都要認真做好防范攻擊的準備，一旦發(fā)現攻擊就要及時(shí)地掐斷最近攻擊來(lái)源的那個(gè)路徑，限制攻擊力度的無(wú)限增強。網(wǎng)絡(luò )用戶(hù)、管理者以及ISP之間應經(jīng)常交流，共同制訂計劃，提高整個(gè)網(wǎng)絡(luò )的安全性。