“拒絕服務(Denial-Of-Service)攻擊就是消耗目標主機或者網(wǎng)絡的資源����,從而干擾或者癱瘓其為合法用戶提供的服務����������!眹H權威機構“Security FAQ”給出的定義����。
DDOS則是利用多臺計算機機����,采用了分布式對單個或者多個目標同時發(fā)起DoS攻擊。其特點是:目標是“癱瘓敵人”�����,而不是傳統(tǒng)的破壞和竊密;利用國際互聯(lián)網(wǎng)遍布全球的計算機發(fā)起攻擊�����,難于追蹤�����。
目前DDOS攻擊方式已經(jīng)發(fā)展成為一個非常嚴峻的公共安全問題,被稱為“黑客終極武器”�����。但是不幸的是�,目前對付拒絕服務攻擊的技術卻沒有以相同的速度發(fā)展,TCP/IP互聯(lián)網(wǎng)協(xié)議的缺陷和無國界性���,導致目前的國家機制和法律都很難追查和懲罰DDOS攻擊者�����。DDOS攻擊也逐漸與蠕蟲���、 Botnet相結合,發(fā)展成為自動化播���、集中受控�����、分布式攻擊的網(wǎng)絡訛詐工具��。據(jù)方正信息安全技術有限公司的有關專家介紹���,DOS從防御到追蹤,已經(jīng)有了非常多的辦法和理論�����。比如SynCookie�����,HIP(History-based IP filtering)�����、ACC控制等�,另外在追蹤方面也提出許多理論方法,比如IP Traceback�、ICMP Traceback、Hash-Based IP traceback�����、Marking等����。但目前這些技術僅能起到緩解攻擊���、保護主機的作用,要徹底杜絕DDOS攻擊將是一個浩大的工程技術問題��。
一�����、攻擊原理
針對DDOS攻擊原理��,對DDOS攻擊的防范主要分為三層:Source-end攻擊源端防范���、Router-based路由器防范�、 Target-end目標端防范���。其中攻擊端防護技術有DDOS工具分析和清除��、基于攻擊源的防范技術;骨干網(wǎng)防護技術有會推技術��、IP追蹤技術;目標端防護措施有DDOS攻擊探測���、路由器防范����、網(wǎng)關防范����、主機設置等方法�。
DoS攻擊、DDoS攻擊和DRDoS攻擊相信大家已經(jīng)早有耳聞了吧!DoS是Denial of Service的簡寫就是拒絕服務����,而DDoS就是Distributed Denial of Service的簡寫就是分布式拒絕服務,而DRDoS就是Distributed Reflection Denial of Service的簡寫,這是分布反射式拒絕服務的意思。
不過這3中攻擊方法最厲害的還是DDoS�����,那個DRDoS攻擊雖然是新近出的一種攻擊方法����,但它只是DDoS攻擊的變形,它的唯一不同就是不用占領大量的“肉雞”�。這三種方法都是利用TCP三次握手的漏洞進行攻擊的,所以對它們的防御辦法都是差不多的���。
DoS攻擊是最早出現(xiàn)的��,它的攻擊方法說白了就是單挑��,是比誰的機器性能好�����、速度快�。但是現(xiàn)在的科技飛速發(fā)展,一般的網(wǎng)站主機都有十幾臺主機�����,而且各個主機的處理能力���、內存大小和網(wǎng)絡速度都有飛速的發(fā)展�,有的網(wǎng)絡帶寬甚至超過了千兆級別��。這樣我們的一對一單挑式攻擊就沒有什么作用了���,搞不好自己的機子就會死掉�。舉個這樣的攻擊例子��,假如你的機器每秒能夠發(fā)送10個攻擊用的數(shù)據(jù)包���,而被你攻擊的機器(性能�����、網(wǎng)絡帶寬都是頂尖的)每秒能夠接受并處理100攻擊數(shù)據(jù)包�,那樣的話,你的攻擊就什么用處都沒有了�,而且非常有死機的可能�����。要知道�,你若是發(fā)送這種1Vs1的攻擊,你的機器的CPU占用率是90%以上的�����,你的機器要是配置不夠高的話����,那你就死定了。
二�����、綜合防范方法綜述
目前基于目標計算機系統(tǒng)的防范方法主要三類:網(wǎng)關防范、路由器防范�、主機防范。
1.網(wǎng)關防范
網(wǎng)關防范就是利用專門技術和設備在網(wǎng)關上防范DDOS攻擊��,例如用透明橋接入網(wǎng)絡的方正防火墻或方正黑鯊等硬件產(chǎn)品�。網(wǎng)關防范主要采用的技術有SynCookie方法、基于IP訪問記錄的HIP方法���、客戶計算瓶頸方法等��。
SynCookie方法是在建立TCP連接時�,要求客戶端響應一個數(shù)字回執(zhí)�,來證明自己的真實性。SynCookie方法解決了目標計算機系統(tǒng)的半開連接隊列的有限資源問題�����,從而成為目前被最廣泛采用的DDOS防范方法��,新的SCTP協(xié)議和DCCP協(xié)議也采用了類似的技術�。SynCookie 方法的局限性在于,對于建立連接的每一個握手包����,都要回應一個響應包��,即該方法會產(chǎn)生1:1的響應流��,會將攻擊流倍增����,極大的浪費帶寬資源;此外���,當分布式拒絕服務攻擊的發(fā)起者采用隨機源地址時�����,SynCookie方法產(chǎn)生的回應流的目標地址非常發(fā)散,從而會導致目標計算機系統(tǒng)及其周邊的路由設備的路由緩沖資源被耗盡����,從而形成新的被攻擊點,在實際的網(wǎng)絡對抗中也產(chǎn)生了真實的路由雪崩事件�����。
HIP方法采用行為統(tǒng)計方法區(qū)分攻擊包和正常包���,對所有訪問IP建立信任級別�。當發(fā)生DDOS攻擊時,信任級別高的IP有優(yōu)先訪問權��,從而解決了識別問題����。
客戶計算瓶頸方法則將訪問時的資源瓶頸從服務器端轉移到客戶端,從而大大提升分布式拒絕服務攻擊的代價�����,例如資源訪問定價方法�。客戶計算瓶頸方法協(xié)議復雜����,需要對現(xiàn)有操作系統(tǒng)和網(wǎng)絡結構進行很大的變動,這也在很大程度上影響了該方法的可操作性��。
綜上所述�,網(wǎng)關防范DDOS技術能夠有效緩解攻擊壓力,適合被攻擊者的自身防護���。
2.路由器防范
基于骨干路由的防范方法主要有pushback和SIFF方法�����。但由于骨干路由器一般都有電信運營商管理����,較難按照用戶要求進行調整;另外,由于骨干路由的負載過大�����,其上的認證和授權問題難以解決�,很難成為有效的獨立解決方案。因此�����,基于骨干路由的方法一般都作為輔助性的追蹤方案�,配合其他方法進行防范。
基于路由器的ACL和限流是比較有效的防范措施��,例如對特征攻擊包進行訪問限制��,發(fā)現(xiàn)攻擊者IP的包就丟棄;或者對異常流量進行限制等��。也可以打開Intercept模式��,由路由器代替服務器響應Syn包����,并代表客戶機建立與服務器的連接。類似一種SynProxy技術����,當兩個連接都成功實現(xiàn)后,路由器再將兩個連接透明合并��。
三�����、防范技術發(fā)展和趨勢
DDOS攻擊的發(fā)展非��?��,為增加攻擊威力���,目前已經(jīng)采用了許多新攻擊技術:偽造數(shù)據(jù)����,消除攻擊包特征;綜合利用協(xié)議缺陷和系統(tǒng)處理缺陷;使用多種攻擊包混合攻擊;采用攻擊包預產(chǎn)生法���,提高攻擊速率�。目前已經(jīng)出現(xiàn)的攻擊工具在單點情況下能發(fā)起6-7萬個/秒攻擊包,足以堵塞一個百兆帶寬的大中型網(wǎng)站���。
DDOS防范技術主要向攻擊追蹤�����、網(wǎng)關防范發(fā)展�。利用ICMP數(shù)據(jù)包追蹤�����、或是Burch 和 Cheswick提出的通過標志數(shù)據(jù)包來追蹤的方法����,都是目前研究的熱點。在骨干網(wǎng)上攻擊追蹤研究的目標就是����,在攻擊者剛開始發(fā)起攻擊時就能定位攻擊源,從而阻擋攻擊擴散和減輕目標損失�����。而網(wǎng)關DDOS防范技術將是未來產(chǎn)品發(fā)展的重點���,將成為各類網(wǎng)站的ddos防護盾牌����,目前研究熱點的也是利用行為統(tǒng)計等方法區(qū)分攻擊包����,例如方正黑鯊采用的CIP技術等。隨著技術的發(fā)展�,網(wǎng)關DDOS防范產(chǎn)品將得到廣泛的應用。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡舉報APP下載
