drdos攻击及其防御技术研究 the drdos offence and its prevention.pdfVIP

学术.技术 DRDoS 攻击及其防御技术研究 张永花，崔永君 ( 兰州交通大学 数理与软件工程学院,甘肃 兰州 730070) 摘 要：DRDoS攻击给网络安全带来了巨大的危害。为了阻止这类攻击，从分析DRDoS攻击的原理及过程入手,对DRDoS攻击 的特点进行详细的总结，即为隐蔽性强、难度低、力度大及较难阻止。最后,针对目前DRDoS攻击防御研究现状提出了防御攻 击的方法和建议。 关键词：DDoS；DRDoS；反弹服务 The DRDOS Offence and Its Prevention ZHANG Yong-hua, CUI Yong-jun (School of Mathematics, Physics and Software Engineering, Lanzhou Jiaotong University, Lanzhou Gansu730070, China) Abstract: DRDoS attack on the Internet has become a pressing problem. In this paper, we first analyze the principle and process of DRDoS attacks, and then summed up the characteristics of the attack, which is hidden, simple, mightiness and difficult to prevent. Finally according to the development of the defending DRDoS attack some methods and suggestions are proposed. Key words: DDoS;DRDoS;Reflection Service 1引言 络层反弹攻击，它是以向广播地址发送 ICMP ECHO 随着公司业务直接或间接地依赖互联网，原始的敲诈 REQUEST信息包来构成攻击，且有一个针对攻击目标的 信逐渐转变成网络攻击。东软网络安全产品营销中心副总 伪造来源，使得网络上的每个系统都向目标发送回 ICMP 经理李青山指出：“就当前攻击的形势和特点来看，拒绝 ECHO REPLY信息包。洪水攻击属于应用层反弹攻击， [1] 即对目标应用程序进行洪水攻击，或者用中继主机所发送 服务攻击中尤以DDoS (Distributed Denial of Service 分布式拒绝服务 ) 的破坏力最强，攻击效率最高，危害 的数据来填满互联网链路。 也更为严重。和交通堵塞一样，DDoS已经成为一种网络 其攻击原理如图1所示。 公害。”DRDoS的英文全称为“Distributed Reflection [2] Denial of Service Attack” ，即分布式反弹拒绝服务攻 击，是一种重要的DDoS攻击方式。与普通DDoS不同的 是，它不需要在实际攻击之前占领大量的“傀儡”机，而 是将其他系统用作攻击的中继和放大，形成洪水数据包反 弹给目标服务器，造成该机忙于处理这些回应而被拒绝服 务攻击。 2 攻击原理 反弹服务是指某些服务器在收到一个请求数据报后就 图1 DRDoS的攻击原理 会产生一个回应数据报。所有的Web服务器、DNS服务 一个比较完善