分布式拒绝服务攻击浅析.docVIP

分布式拒绝服务攻击浅析 　　摘要:网络安全领域日益受到重视,DDoS攻击事件正在成上升趋势,本文介绍了DDoS攻击的主要技术原理,并提出相应的检测及防范方法。 　　关键词:网络安全;DDoS 　　中图分类号:TP751文献标识码:A文章编号:1009-3044(2010)10-2373-02 　　Distributed Denial of Service Analysis 　　LI Zhong-long1, SI Jin2 　　(1. Jilin Communitations Administration, Changchun 130022, China; 2. Computer Office, Aviation University of Air Force, Changchun 130022, China) 　　Abstract: The network security domain receives day by day takes seriously, the DDoS attack was becoming the trend of escalation, this article introduced the DDoS attacks major technique principle, and proposed the corresponding examination and the guard method. 　　Key words: network security;DDoS 　　1 概述 　　随着计算机网络的日益普及,针对网络的攻击也越来越多。分布式拒绝服务攻击(Distributed Denial of Service,简称DDoS)作为一种新型的、分布式、大规模的网络攻击手段,对网络的安全已经构成了极大的威胁。DDoS愈演愈烈,形势十分严峻,大流量攻击流量频频出现。DDoS攻击由于破坏性大,而且难于防御,因此它已经引起了全世界的广泛关注。 　　2 DDoS攻击原理 　　一个完整的DDoS攻击体系由攻击者、主控端、代理端和攻击目标四部分组成。主控端和代理端分别用于控制和实际发起攻击,其中主控端只发布命令而不参与实际的攻击,代理端发出DDoS的实际攻击包。对于主控端和代理端的计算机,攻击者有控制权或者部分控制权,它在攻击过程中会利用各种手段隐藏自己不被别人发现。真正的攻击者一旦将攻击的命令传送到主控端,攻击者就可以关闭或离开网络,而由主控端将命令发布到各个代理主机上,这样攻击者可以逃避追踪。每一个攻击代理主机都会向目标主机发送大量的服务请求数据包,这些数据包经过伪装,无法识别它的来源,而且这些数据包所请求的服务往往要消耗大量的系统资源,造成目标主机无法为用户提供正常服务,甚至导致系统崩溃。DDoS攻击示意如右图1。 　　3 DDoS攻击常用的攻击方法 　　3.1 SYN Flood攻击 　　SYN Flood攻击是当前网络上最为常见的DDoS攻击,它利用了TCP协议实现上的一个缺陷,通过向网络服务所在端口发送大量的伪造源地址的攻击报文,就可能造成目标服务器中的半开连接队列被占满,从而阻止其他合法用户进行访问。 　　3.2 UDP Flood攻击 　　UDP Flood是日渐猖厥的流量型DDoS攻击,原理也很简单。常见的情况是利用大量UDP小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器。由于UDP协议是一种无连接的服务,在UDP Flood攻击中,攻击者可发送大量伪造源IP地址的小UDP包。 　　3.3 ICMP Flood攻击 　　ICMP Flood 攻击属于流量型的攻击方式,是利用大的流量给服务器带来较大的负载,影响服务器的正常服务。由于目前很多防火墙直接过滤ICMP报文,因此ICMP Flood出现的频度较低。 　　3.4 Connection Flood攻击 　　Connection Flood是典型的利用小流量冲击大带宽网络服务的攻击方式,这种攻击的原理是利用真实的IP地址向服务器发起大量的连接,并且建立连接之后很长时间不释放,占用服务器的资源,造成服务器上残余连接(WAIT状态)过多,效率降低,甚至资源耗尽,无法响应其他客户所发起的连接。 　　3.5 HTTP Get攻击 　　这种攻击主要是针对存在ASP、JSP、PHP、CGI等脚本程序,特征是和服务器建立正常的TCP连接,并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用。这种攻击的特点是可以绕过普通的防火墙防护,可通过Proxy代理实施攻击,缺点是攻击静态页面的网站效果不佳,会暴露攻击者的IP地址。 　　3.6 UDP DNS Query Flood攻击 　　UD