ＤＤｏＳ攻击原理与防御研究.docVIP

ＤＤｏＳ攻击原理与防御研究 　　摘要：DDoS攻击利用TCP／IP协议本身的漏洞和缺陷。攻击者利用成百上千个被“控制”节点向受害节点发动大规模的协同攻击。通过消耗带宽、CPU和内存等资源，达到被攻击者的性能下降甚至瘫痪和死机，从而造成其他合法用户无法正常访问。如果通过适当的办法增强了抵御DDoS的能力，也就意味着加大了攻击者的攻击成本，那么绝大多数攻击者将无法继续下去而放弃，也就相当于成功的抵御了DDoS攻击。 　　关键词：DDoS；攻击；防御 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)22-659-02 　　1 DDoS的概念 　　分布式拒绝服务攻击(Distributed Denial of Service)是一种比较新的黑客攻击方法，最早出现于1999年夏天。从2000年2月开始，这种攻击方法开始大行其道。2000年2月7日，在雅虎网站因遭到外来攻击而瘫痪的第二天，美国另外几家著名的因特网网站又接连遭到攻击，并造成短时间瘫痪。分布式拒绝服务攻击使用与普通的拒绝服务攻击同样的方法，但是发起攻击的源是多个，通常来说，至少要有数百台甚至上千台主机才能达到满意的效果。 　　2 DDoS攻击的原理 　　DDoS的理论和技术很早就为网络界所认识，而近来分布式拒绝服务才开始被攻击者采用并有泛滥趋势。它利用了TCP／IP协议本身的漏洞和缺陷。攻击者利用成百上千个被“控制”节点向受害节点发动大规模的协同攻击。通过消耗带宽、CPU和内存等资源，达到被攻击者的性能下降甚至瘫痪和死机，从而造成其他合法用户无法正常访问。和DoS比较起来，其破坏性和危害程度更大，涉及范围更广，也更难发现攻击者。 　　传统的DoS攻击利用了软件漏洞或系统负荷过度从而使计算机系统无法被正常访问，一般只是一台机器向受害者发起攻击。而DDoS是由攻击者在多台机器上或与其他人合作，同时向一个目标主机或网络发起攻击，被攻击者在同一时间内收到大量数据包不是一台主机发送来的，这使得防御变得非常困难。同时，因为攻击来自广泛的IP地址，而且来自每台主机的少量数据包有可能从入侵检测系统(Intrusion Detection Systems，IDS)眼皮下溜掉，所以探测和阻止也就变得更加困难。如是单一的IP地址攻击，可以在防火墙封锁该p。如果是很多台主机的话，封锁就变得极其困难。只要用户连接到了Internet，攻击者就有机会发送大量用户根本处理不了的数据，造成拒绝服务攻击。 　　DDoS主要由两部分组成：主控端主机上的客户端和代理端主机上的守护进程。主控端向代理端发送攻击指定的目标主机列表，代理端据此对目标主机进行拒绝服务攻击。由一个主控端控制的多个代理端主机，能够在攻击过程中相互协作，保证攻击的连续性。主控端和代理端的网络通讯往往是经过加密的，还可能混杂了许多虚假数据包。整个攻击可以使用不同的TCP、UDP或ICMP包进行通讯。而且主控端还能伪造其IP地址。DDoS攻击的这些特性使得防御其攻击变得非常困难。 　　DDoS攻击的原理如下图所示。 　　■ 　　攻击者为了隐藏自己，以免被跟踪和定位，以及加大攻击力度，往往采用三层结构，包括攻击者、中间层和受害者。而中间层包含受控者和受控攻击者。DDoS攻击过程如下： 　　攻击者通过漏洞或木马技术入侵受控者，在受控者的机器上移植木马服务程序。由受控者通过扫描等技术，查找有漏洞、适合的受控攻击者，植入攻击服务程序。当攻击者发起DDoS攻击时，只需要确定目标机器，通过木马客户端向受控者发出指令，受控者再向受控攻击者发出指令。具体的DDoS攻击由受控攻击者完成。这样做可以减少攻击者的直接控制，以及攻击者和受控攻击者的信息交换，减少被发现和跟踪的可能性，让受害者更难确定攻击者的位置。 　　为了提高DDoS攻击的成功效率，攻击者需要控制很多被入侵主机。这些主机通常是Linux和SUN机器，而且Unix、Solaris和Windows平台的机器也能被用于DDoS攻击，而且攻击工具很容易被移植到其他平台上运行。这些攻击工具入侵主机和安装程序的过程都是自动化的。这个过程可以分为以下几个步骤：①探测扫描大量主机来寻找可以入侵的目标主机；②入侵有安全漏洞的主机并且获取控制权；③在每台入侵主机中安装攻击程序；④利用已经入侵主机继续进行扫描和入侵。 　　攻击者在攻击取得成功后，为了能够方便下次再轻易地返回系统，专业黑客在退出系统之前，肯定要留下一些后门。对于后门，管理员比较难以察觉，因为在没有发现攻击者的情况下，很少管理员会主动去查找是否系统里留有攻击者的后门。后门的类型五花八门，种类繁多，有些可以通过工具或自检查到或处理掉，有些就比较麻烦，可能要花费大量的人力和物力。高级复杂的后门如“内核后门”