DDoS攻击分类及防御机制.docVIP

DDoS攻击的分类及其防御机制 　　摘要：DDoS攻击已经成为一种全球性的网络灾害，其攻击形式一直在发展，致使DDoS防御的难度日益加大。DDoS攻击者通过获取一定数量的“傀儡主机”，使用工具扫描远程主机安全漏洞来取得远程主机的管理员权限，并在受控的远程主机上植入攻击代码或者木马、病毒，进而控制主机进行DDoS攻击。通过对DDoS的分类整理，找出一套系统的DDoS应对方案，使安全技术人员和研究人员能够根据情况的不同，采取相应的防范措施。 中国论文网 /9/viewhtm　　关键词：分布式拒绝服务攻击；傀儡主机 　　 　　DDoS攻击（Distributed Denial of Service Attack）分布式拒绝服务攻击是网络上用来攻击服务器最有效的手段。为了应对日益频繁的DDoS攻击，各式各样的DDoS机制及工具设备应运而生。与此同时，攻击者们则不断更新攻击方法和工具，而安全研究人员则根据变化不断研究新的应对方法。这就使得DDoS防御变得更加复杂。 　　 　　1DDoS概述 　　 　　分布式拒绝服务攻击者通过控制大量的傀儡主机向被攻击主机，发送大流量攻击数据，使得被攻击的主机不能响应正常用户的访问请求。要研究DDoS的形成和发展首先要探讨3个问题：DDoS的攻击可行性、DDoS攻击的实现方法、实施DDoS攻击的目的。 　　1.1 DDoS攻击可行性分析 　　当今Internet的设计目的就是数据的快速传送。作为中间传输媒介的网络是本着高吞吐量、低负载的原则设计的，因此中间网络基本上只负责转发数据，而相应的安全措施和流控则由终端进行。作为终端的服务器、主机或者设备的带宽和处理能力有限，这就意味着在网络上的任何一台主机、服务器或者设备都很容易遭受到来自Internet的DDoS攻击。 　　1.2 DDoS攻击的实现方法 　　DDoS的攻击者需要获取一定数量的“傀儡主机”。攻击者通过工具扫描远程主机安全漏洞来取得远程主机的管理员权限，并在受控主机上植入攻击代码甚至是木马病毒，来控制主机进行DDoS攻击。并且在攻击时将攻击主机的源地址进行伪装，从而使得被攻击者很难追踪到攻击源头。 　　1.3 实施DDoS攻击的目的分析 　　根据数据统计在国外相当数量的攻击者都是出于个人目的。还有一部分攻击者本身具有很高的能力，他们为了显示自己的能力或者在黑客社区里面炫耀自己。另外较少数的一部分人是本着商业目的或者利益关系进行攻击。他们的主要攻击对象就是商业竞争对象、有利益关系的对手的网站或者网络系统。 　　 　　2DDoS攻击分类 　　 　　为了对DDoS攻击进行分类，我们对攻击者实现方法和目的进行了分析。 　　2.1 按照DDoS工作过程的自动程度分类 　　DDoS获取“傀儡主机”，植入攻击代码或木马、病毒，实施攻击的这一过程都能由程序来自动完成。DDoS按照工作过程的自动程度分成：手动、半自动、自动。 　　(1)手动DDoS的攻击者通过远程扫描“傀儡主机”的漏洞，然后植入攻击代码，最后控制“傀儡主机”来实施攻击。由于过程复杂需要的专业知识比较多且效率较低，因此只有早期的攻击者才会采用这种攻击方式。 　　(2)半自动DDoS的攻击者使用程序自动完成远程扫描“傀儡主机”的漏洞，然后植入代码。在最后攻击的时候采用手工控制，这样攻击者就可以指定“傀儡主机”的攻击方式攻击顺序以及攻击强度。但是，为了控制这些“傀儡主机”，攻击者必须要和“傀儡主机”之间进行通讯，才能操纵这些“傀儡主机”。 　　(3)全自动DDoS的攻击者使用程序自动完成远程扫描“傀儡主机”的漏洞，然后植入代码。其中，植入的代码已经包含了攻击对象及攻击模式的设定。所有步骤都是自动完成的，因此全自动DDoS就不需要和傀儡主机之间进行通讯。 　　2.2 按DDoS对攻击者的作用方式分类 　　DDoS攻击可以利用不同服务器的弱点，来对服务器进行攻击。当被攻击主机受到这类攻击的时候，通常会造成服务器死机或者重启。这一类型的DDoS攻击主要分为2种类型：技巧性攻击和暴力攻击。 　　(1)技巧性攻击利用目标服务器某些软件或者协议的漏洞，来消耗被攻击服务器的系统资源，导致被攻击服务器停止响应。 　　(2)暴力攻击是指不管服务器的状态，利用服务器上某些开放的端口或者协议软件，通过大“傀儡主机”不计代价的发送服务请求，从而导致服务器不堪应付而不能提供服务。暴力攻击不同于技巧性攻击，它在攻击的时候同时消耗了“傀儡主机”的资源。 　　2.3 源地址欺骗攻击分类 　　如果没有源地址欺骗DDoS攻击，那么很多其他类型的DDoS攻击都能通过资源管理技术（为每个IP地址分配均等的资源）来解决。IP源地址DDoS攻击可以分为2种类型：伪源地址DDoS攻击和有效源地址DDoS攻击。 　　(1)伪源地