DDoS攻击防御新思考
[摘要] 随着internet互联网络带宽的增加和多种ddos工具的不断发布,ddos拒绝服务攻击的实施越来越容易,ddos攻击随处可见,人们为克服ddos攻击进行了大量研究,提出了多种解决方案。本文系统分析了ddos攻击的原理和攻击思路,从管理和技术两个方面提出一些关于减少ddos攻击方法。
[关键词] ddos拒绝服务 网络攻击
随着internet互联网络带宽的增加和多种ddos工具的不断发布,ddos拒绝服务攻击的实施越来越容易,ddos攻击事件正在呈上升趋势。出于商业竞争、打击报复和网络敲诈等多种因素,导致很多idc托管机房、商业站点、游戏服务器、聊天网络等网络服务商长期以来一直被ddos攻击所困扰,随之而来的是客户投诉、同虚拟主机用户受牵连、法律纠纷、商业损失等一系列问题,因此,解决ddos攻击问题成为网络服务商必须要考虑的头等大事。
在探讨ddos之前我们首先要对dos有所了解,dos即denial of service,拒绝服务的缩写。dos是指故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务或资源访问,使目标系统服务系统停止响应甚至崩溃,而在此攻击中并不包括侵入目标服务器或目标网络设备。通常而言,dos的网络数据包是利用tcp/ip协议在internet传输,这些数据包本身一般是无害的,但是如果数据包异常过多,就会造成网络设备或者服务器过载,迅速消耗了系统资源,造成服务拒绝,这就是dos攻击的基本工作原理。
dos攻击之所以难于防护,其关键之处就在于非法流量和合法流量相互混杂,防护过程中无法有效的检测到dos攻击。加之许多dos攻击都采用了伪造源地址ip的技术,从而成功的躲避了基于统计模式工具的识别。
具体dos攻击实现有如下几种方法:
flood
利用服务器的连接缓冲区,设置特殊的tcp包头,向服务器端不断地发送大量只有syn标志的tcp连接请求。当服务器接收的时候,认为是没有建立起来的连接请求,于是这些请求建立会话,排到缓冲区队列中。如果发送的syn请求超过了服务器能容纳的限度,缓冲区队列占满,那么服务器就不再接收新的请求了,因此其他合法用户的连接都会被拒绝掉。如下图所示:
本来正常的tcp连接是需要三次握手协议完成的,攻击者先向目的主机发出一个syn请求,由于目的主机不能判断对方是否恶意,所以会回复一个syn/ack,这样在目的主机就需要维护一个这样的半连接,等待对方回复ack后,完成整个连接的建立。攻击者正是利用了这一点,他只发送大量的syn报文,并不回复ack,这样在目的主机中就维护了大量的半连接队列,由于主机的资源是有限的,攻击者通过持续不断的发送syn报文,耗尽了目的主机的资源,使得正常的服务连接得不到建立,网络处于瘫痪状态。
欺骗dos攻击
这种攻击利用rst位来实现。假设现在有一个合法用户(1.1.1.1)已经同服务器建立了正常的连接,攻击者构造攻击的tcp数据,伪装自己的ip为1.1.1.1,并向服务器发送一个带有rst位的tcp数据段。服务器接收到这样的数据后,会认为从1.1.1.1发送的连接有错误,从而清空缓冲区中建立好的连接。这时,如果合法用户1.1.1.1再发送合法数据,服务器就已经没有这样的连接了,该用户就必须从新开始建立连接。攻击者伪造大量的ip地址,向目标主机发送rst数据,从而使服务器不对合法用户服务。
3.带宽dos攻击(udp flood,icmp flood)
这类攻击完全利用连接带宽足够大,持续向目标服务器发送大量请求,如udp的包,icmp的ping包,来消耗服务器的缓冲区,或者仅消耗服务器的连接带宽,从而达到网络拥塞,使服务器不能正常提供服务。
单一的dos攻击一般是采用一对一方式的,而“分布式拒绝服务攻击”(distributed denial ofservice,简称ddos)是建立在传统的dos攻击基础之上一类攻击方式。当计算机与网络的处理能力加大了,用一台攻击机来攻击不再能起作用的话,攻击者就使用10台甚至100台攻击机同时攻击。这就是ddos。ddos就是利用更多的傀儡机“肉鸡”来同时发起进攻,更大规模的来进攻受害者,破坏力更强。ddos(分布式拒绝服务)攻击是利用tcp/ip协议漏洞进行的一种简单而致命的网络攻击,由于tcp/ip协议的这种会话机制漏洞无法修改,因此缺少直接有效的防御手段。大量实例证明利用传统设备被动防御基本是徒劳的,而且现有防火墙设备还会因为有限的处理能力陷入瘫痪,成为网络运行瓶颈;另外,攻击过程中目标主机也必然陷入瘫痪。
现在,高速网络给大家带来了方便,但同时也为ddos攻击创造了极为有利的条件。在低速网络时代时,黑客占领攻击用的傀儡机时,总是会优先考虑离目标网络距离近的机器,因为经过路由器的跳数少,效果好。而现在电信骨干节点之间的连接都是以g为级别的,大城市之间更可以达到2.5g的连接,这使得攻击可以从更远的地方或者其他城市发起,攻击者的傀儡机位置可以在分布在更大的范围,选择起来更灵活了,攻击也更加隐蔽。
当主机服务器被ddos攻击时,通常会有如下现象:
●被攻击主机上有大量等待的tcp连接
●网络中充斥着大量的无用的数据包,源地址一般为伪造的
●高流量无用数据造成网络拥塞,使受害主机无法正常和外界通讯
●反复高速的发出特定的服务请求,使受害主机无法及时处理所有正常请求
●系统服务器cpu利用率极高,处理速度缓慢,甚至宕机
到目前为止,进行ddos攻击的防御还是比较困难的,主要是由于这种攻击的特点是它利用了tcp/ip协议的漏洞,除非你不用tcp/ip,才有可能完全抵御住 ddos攻击。不过这不等于我们就没有办法阻挡ddos攻击,我们可以从管理和技术两个方面减少ddos的攻击:
首先,要加强每个网络用户的安全意识,安装杀毒软件,安装软件或者硬件防火墙,不从不名网站下载软件,不访问一些不名网站,不打开不名邮件,尽量避免木马的种植。
其次,要求国家立法单位,对网络犯罪进行立法,对传播病毒,木马,和进行黑客攻击的行为进行定性,并有法可依,保障国家信息高速网络平台的安全,为国内信息化建设保驾护航。对我们的一些网络运营平台用户,如经营性网站,门户网站,网上交易平台,网络游戏提供商,网吧,voip提供商等,也要加强网络出口的防护,发现和举证攻击行为,做好日志记录,并利用硬件防护设备,最大程度的减少黑客攻击的危害,保障经营性平台的正常运行。
在技术的手段上,我们还应加强以下几点:
(1)确保服务器的系统文件是最新的版本,并及时更新系统补丁。
(2)关闭不必要的服务。
(3)限制同时打开的syn半连接数目。
(4)缩短syn半连接的time out 时间。
(5)正确设置防火墙
禁止对主机的非开放服务的访问,限制特定ip地址的访问,启用防火墙的防ddos的属性,或者使用专用的抗ddos设备。严格限制对外开放的服务器的向外访问,运行端口映射程序祸端口扫描程序,要认真检查特权端口和非特权端口。
(6)认真检查网络设备和主机/服务器系统的日志。只要日志出现漏洞或是时间变更,那这台机器就可能遭到了攻击。
(7)限制在防火墙外与网络文件共享。这样会给黑客截取系统文件的机会,主机的信息暴露给黑客,无疑是给了对方入侵的机会。
(8)路由器,以cisco路由器为例,cisco express forwarding(cef),使用unicast reverse-path ,访问控制列表(acl)过滤,设置syn数据包流量速率,升级版本过低的iso ,为路由器建立log server。我们的运营商有义务在网络平台升级和建设的过程中,有效在各个节点抵御黑客恶意攻击的行为,以净化我们的网络。不光仅仅是只加强可以看到效益的终端平台,如idc机房的抗ddos防护,而是应该在网络的各个节点都加强防护,在接入端进行ddos防护和源地址检测,使得黑客的主机或者占领的“肉鸡”,无法拉起大量带宽,有效记录各种用户(特别是网吧用户)的网络行为,建立电子档案,以协助公安部门对网络犯罪进行调查,为指证犯罪提供证据。
对ddos的原理与应付方法的研究一直在进行中,找到一个既有效又切实可行的方案不是一朝一夕的事情,因此此时要求我们的公安机关,运营商和网络安全厂商和网络的用户,在意识到网络攻击问题的严重性前提下,多方配合,共同加强网络平台安全性的建设性,净化我们的网络,不给黑客以生存的攻击,保障我们十几年来信息网络平台建设的成果,为我国的经济建设提供坚固安全的网络信息化平台。
参考文献:
[1]贾月琴张宁宋晓虹:对网络安全技术的讨论 [j].微计算机信息.2005,3:108-110
[2]吴虎云超:对ddos攻击防范策略的研究及若干实现[j].计算机应用研究,2002,38(11):24-26
[3]赵江岩:ddos及防御ddos攻击[j].《商场现代化》2008年6月(中旬刊)总第542
[4]陈明奇:分布式拒绝服务攻击处理实侈ij分析.信息网络安全,2007.6
[5]乔书建:ddos攻击的原理与防范.科教文汇(下旬刊),2007、5
[6]ddos真是无可防范吗?
上一篇:试析信息素质与计算机应用能力