本文首先介紹了網(wǎng)絡(luò)攻擊對目前網(wǎng)絡(luò)安全的影響及分布式拒絕服務(wù)攻擊的工作原理和現(xiàn)狀，接著分析了分布式拒絕服務(wù)的攻擊類型，并探析新型攻擊類型的核心技術(shù)和防范對策。將新型的DDOS的3 類攻擊方式：基于堵流量的攻擊方式、基于網(wǎng)站腳本的攻擊方式、另類攻擊方式進(jìn)行了探析，最后給出攻擊方式相應(yīng)的安全策略和防御對策。

一、背景

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，人們的生活和工作已經(jīng) 同它密不可分，人們在享受信息技術(shù)所帶來便捷的 同時，也遭受著各類網(wǎng)絡(luò)信息被黑客惡意攻擊、信息 被竊取等不同形式的網(wǎng)絡(luò)攻擊，并且這種攻擊變得 越來越嚴(yán)重。網(wǎng)絡(luò)上的惡意攻擊實際上就是尋找一 切可能存在的網(wǎng)絡(luò)安全缺陷來達(dá)到對系統(tǒng)及資源的 損害，從而達(dá)到惡意的目的。分布式拒絕服務(wù)攻擊 (以下稱 DDOS) 就是從1996 年出現(xiàn)，在中國 2002 年開始頻繁出現(xiàn)的一種攻擊方式。

分布式拒絕服務(wù)攻擊(DDOS 全名是 Distribut- ed Denial of service)，DDOS 攻擊手段是在傳統(tǒng)的DoS 攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。單一的DOS攻擊一般是采用一對一方式的，當(dāng)攻擊目標(biāo) CPU 速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項性 能指標(biāo)不高它的效果是明顯的。

隨著計算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展，計算機(jī)的處理能力迅速增長，內(nèi)存 大大增加，同時也出現(xiàn)了千兆級別的網(wǎng)絡(luò)，這使得 DOS 攻擊的困難程度加大了，目標(biāo)對惡意攻擊包的 " 消化能力 " 加強(qiáng)了不少，例如：你的攻擊軟件 每秒鐘可以發(fā)送4000 個攻擊包，但我的主機(jī)與網(wǎng) 絡(luò)帶寬每秒鐘可以處理 20000 個攻擊包，這樣一來 攻擊就不會產(chǎn)生什么效果。 分布式拒絕服務(wù)攻擊使用了分布式客戶服務(wù)器 功能，加密技術(shù)及其它類的功能，它能被用于控制任 意數(shù)量的遠(yuǎn)程機(jī)器，以產(chǎn)生隨機(jī)匿名的拒絕服務(wù)攻 擊和遠(yuǎn)程訪問。為了有效防范網(wǎng)絡(luò)入侵和攻擊，就必 須熟悉網(wǎng)絡(luò)入侵和攻擊的手段和原理，在此基礎(chǔ)上 才能制定行之有效的防范對策和防御措施，從而確 保網(wǎng)絡(luò)信息的安全。#p#

二、DDOS攻擊的現(xiàn)象及攻擊方式

目前防火墻技術(shù)、性能的提升、計算機(jī)安全檢測方式的多樣化、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的不斷優(yōu)化，計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性能得到了一定程度的提升。傳統(tǒng)的DOS攻擊已經(jīng)很難起到多大的效果。

2011 年5月30日，美國政府表示，已經(jīng)向全球最大軍火商洛克希德 - 馬丁公司(以下簡稱“洛馬”)提供幫助，克服網(wǎng)絡(luò)攻擊帶來的負(fù)面影響。洛馬5 月21日宣布，該公司的計算機(jī)網(wǎng)絡(luò)持續(xù)遭遇“猛烈攻擊”。美國國土安全部的一名發(fā)言人稱，該部及國防部已經(jīng)了解洛馬遭遇網(wǎng)絡(luò)攻擊，并向該公司提供幫助。網(wǎng)絡(luò)安全使 們每時每刻都關(guān)心的問題，因為我們的生活已經(jīng)與它有越來越多的交集。被DDOS攻擊時的現(xiàn)象是能瞬間造成對方電腦死機(jī)或者假死，我曾經(jīng)測試過，攻擊不到1秒鐘，電腦就已經(jīng)死機(jī)和假死，鼠標(biāo)圖標(biāo)不動了，系統(tǒng)發(fā)出滴滴滴滴的聲音，主要攻擊方式包括：TCP 全連接攻擊、SYN 變種攻擊、TCP混亂數(shù)據(jù)包攻擊、針對用UDP協(xié)議的攻擊、針對WEB Server的多連接攻擊及變種攻擊、針對游戲服務(wù)器的攻擊。新型的DDOS攻擊方式大致分為3類：基于堵流量的攻擊方式、基于網(wǎng)站腳本的攻擊方式、另類攻擊方式。為便于說明， 以下特別以寄信者(攻擊者)—郵局(硬件防火墻) —收信者(服務(wù)器)作為事例輔助說明。

(一)基于堵流量的攻擊方式

這類攻擊方式傷人先傷己，犧牲自己的帶寬流 量去堵別人的帶寬流量，造成他人無法訪問。就好象 某個寄信者通過郵局給你寄了數(shù)量極其龐大的垃圾 信件，而收件者的信箱容量是有限的，從而導(dǎo)致收信 者的信箱被塞滿，其他的正常信件無法投遞過來。

1.SYN 變種攻擊模式

這種攻擊方式發(fā)送偽造源 IP 的 SYN 數(shù)據(jù)包，與傳統(tǒng)的 SYN 攻擊不同的是，它的數(shù)據(jù)包不是過去 的六十四字節(jié)，而是多達(dá)上千字節(jié),這樣的攻擊方式 會造成一些防火墻處理錯誤進(jìn)而導(dǎo)致鎖死，在消耗 掉服務(wù)器 CPU 和內(nèi)存的同時還會阻塞網(wǎng)絡(luò)帶寬。除 此之外，還可以通過發(fā)送偽造源 IP 的 TCP 數(shù)據(jù)包， 并且在 TCP 頭的 TCP 標(biāo)志位進(jìn)行隨機(jī)設(shè)置，造成其 標(biāo)志位的混亂。而再強(qiáng)大的防火墻的數(shù)據(jù)吞吐量也 是有限的，因此在這樣的攻擊方式面前，防火墻常常無計可施。

2.TCP 并發(fā)攻擊模式

每臺電腦的套接字?jǐn)?shù)量都是有限的，Windows 規(guī)定每個應(yīng)用程序最大使用的套接字?jǐn)?shù)量是 1024 個。這種攻擊方式就是利用了Windows的這一特 性，在短時間內(nèi)不斷對目標(biāo)主機(jī)的特定端口創(chuàng)建TCP 連接，消耗其套接字資源，直到其用盡為止。這樣也就導(dǎo)致此端口無法正常提供服務(wù)了。這種攻擊是為了繞過常規(guī)防火墻的檢查而設(shè)計的，因為常規(guī)的防火墻大多具備如SYN、UDP、ICMP 等傳統(tǒng)的DDOS 攻擊的防御過濾功能，但對于正常的TCP連接是放過的。

3.分布式反射拒絕服務(wù)攻擊(DRDOS)

DRDOS是英文“Distributed Reflection Denial of Servie Attack”的縮寫。根據(jù)TCP三次握手的規(guī)則，一臺主機(jī)向另外一臺目標(biāo)主機(jī)發(fā)送了 SYN 請求后，目標(biāo)主機(jī)會根據(jù) SYN 請求包的源地址發(fā)出SYN+ACK. 82. 包來響應(yīng)這個請求。DRDOS就是利用了這個規(guī)則的 缺陷，將請求包的源地址偽造為被害機(jī)器的地址，那么目標(biāo)服務(wù)器就會將 SYN+ACK 應(yīng)答包發(fā)往被害機(jī)器。當(dāng)然，以現(xiàn)在的硬件條件，這么點的數(shù)據(jù)包對于被害主機(jī)的影響微乎其微。可是，當(dāng)被害者被多個網(wǎng) 絡(luò)核心基礎(chǔ)設(shè)施路由器攻擊，而這些連接又都是完 全合法的SYN+ACK 連接應(yīng)答包。路由器使用BGP (BGP 是中介路由器支持的“邊界網(wǎng)關(guān)協(xié)議”Border Gateway Protocol) 與它們的鄰居進(jìn)行即時的信息交 流來交換它們的路由表，這是為了通知它們彼此路 由器可以在哪個 IP 范圍內(nèi)進(jìn)行轉(zhuǎn)交。BGP 自身規(guī)則 本沒有問題，每個良好連接的中介器都會接受它們 179 端口上的連接。也就是說，任何一個SYN數(shù)據(jù)包到達(dá)一個網(wǎng)絡(luò)路由器上后，都會引出一個該路由 的 SYN+ACK 應(yīng)答包來，從而利用 BGP 的特性實現(xiàn) 了反射放大，形成洪水攻擊，造成該主機(jī)忙于處理這 些回應(yīng)而最終形成拒絕式服務(wù)攻擊。這好比給某人 寫信時，故意將寄信人的地址偽造為目標(biāo) A 的地 址，而收信人收到信后按照 A 的地址回信，從而造 成目標(biāo) A 的信箱被大量的“回信”所阻塞。

4.針對游戲服務(wù)器的攻擊

網(wǎng)絡(luò)游戲開發(fā)商通常為了吸引游戲玩家而設(shè)計 多種多樣的游戲元素，其協(xié)議設(shè)計非常復(fù)雜，這便給攻擊者提供了可乘之機(jī)，在提供豐富游戲元素的同 時也給攻擊者提供了多種攻擊手段。當(dāng)前最流行的 一種攻擊方式叫做“假人攻擊”，這種攻擊方式是通 過技術(shù)手段，完全模擬游戲客戶端的注冊、登陸、建立人物、進(jìn)入游戲活動的整個過程協(xié)議數(shù)據(jù)，從數(shù)據(jù)協(xié)議層面模擬正常的游戲玩家。此攻擊方式即使是在一臺奔騰 3 的機(jī)器上也能輕易地模擬出數(shù)百個游 戲玩家，從而可以利用傀儡主機(jī)在極短時間內(nèi)制造 出大量的虛假玩家來消耗游戲服務(wù)器資源，但這種 攻擊方式是很難從游戲數(shù)據(jù)包來分析出哪些是攻擊 者哪些是正常玩家，因為在服務(wù)端看來，二者的數(shù)據(jù)包是完全一樣的。#p#

(二)基于網(wǎng)站腳本的攻擊方式

基于網(wǎng)站腳本的攻擊方式主要是針對 ASP、 PHP、JSP 等腳本語言制作，并調(diào)用ACCESS、 MSSQL、MYSQL、ORACLE 等數(shù)據(jù)庫的網(wǎng)頁系統(tǒng)設(shè)計的。相比較于基于堵流量的攻擊方式，此類方式主要是通過發(fā)送網(wǎng)頁請求來消耗服務(wù)器系統(tǒng)資源(CPU、內(nèi)存)，形成拒絕式服務(wù)，它是通過自己極少 資源的消耗造成對方較大的資源消耗。

1.CC 攻擊

CC 攻擊全稱是 ChallengeCollaPsar(cc 拒絕服務(wù) 攻擊), CC 攻擊的原理是，首先和服務(wù)器建立正常的TCP 連接，并通過多臺主機(jī)(主要是 HTTP、SOCKS5 代理服務(wù)器)不斷地向數(shù)據(jù)庫提交注冊、查詢、刷新等消耗資源的命令，且保持連接，使得服務(wù)器無法釋放資源，最終將服務(wù)器的資源消耗掉從而導(dǎo)致拒絕 服務(wù)。就象你找寫手不斷地給一個人寫信，整個郵局 為你一個人的信件而奔波，無暇顧及其他人的信件， 導(dǎo)致對方無法收到其他人的信件了。這種攻擊和正 常訪問網(wǎng)站是一樣的，只是瞬間訪問量增加幾十倍 甚至上百倍，有些防火墻可以通過限制每個連接過來的IP連接數(shù)來防護(hù)，但是這樣會造成正常用戶稍微多打開幾次網(wǎng)站就會被防火墻封鎖，而且 CC 攻 擊往往是借助代理服務(wù)器的網(wǎng)頁代理服務(wù)來發(fā)動攻 擊的，這種封鎖方式意義不大。

2.變異CC攻擊

傳統(tǒng)的CC攻擊并非無懈可擊，它的特征是很 明顯的，攻擊是建立在代理資源上，因此有很有針對 性的防御措施。所謂變異 CC，核心是在構(gòu)造提交數(shù) 據(jù)的時候把一切可能被服務(wù)器支持的操作都加進(jìn) 去，想辦法讓服務(wù)器多耗資源。當(dāng)然，這其中針對防 御設(shè)備的安全策略，可以繼續(xù)進(jìn)行變異。比如不發(fā)送 GET 請求，而是發(fā)送亂七八糟的字符。這么做是因 為大部分防火墻分析攻擊數(shù)據(jù)包前三個字節(jié)是 GET 字符，然后來進(jìn)行 httP 協(xié)議的分析。這種攻擊 不用發(fā)送 GET 請求就可以繞過防火墻到達(dá)服務(wù)器， 且同樣可以消耗大量服務(wù)器資源。#p#

(三)另類攻擊方式

之所以稱此類攻擊方式為“另類”，是因為它不 需要象前兩種攻擊方式一樣編寫大量復(fù)雜的網(wǎng)絡(luò) 協(xié)議代碼，更多是注重攻擊的技巧。它們或許有的 算不上 DDOS 攻擊，但是在以上兩種方式都行不通 時，這些“另類”的攻擊方式或許可以起到意想不 到的效果。

1. 下載文件：

不管是通過FTP方式還是通過HTTP方式下載服務(wù)器文件，特別是大型文件，都會 在一段時間內(nèi)連續(xù)地產(chǎn)生大量的網(wǎng)絡(luò)流量，且會消 耗大量系統(tǒng)資源。攻擊者可以利用大量傀儡主機(jī)多 線程地下載服務(wù)器的某個大型文件，從流量帶寬和 系統(tǒng)資源兩個方面拖垮服務(wù)器。

2.發(fā)郵件堵郵箱：

隨著電子郵件服務(wù)系統(tǒng)的產(chǎn) 生和發(fā)展，支持大附件的郵件服務(wù)越來越多的在各 類電子郵件服務(wù)商的系統(tǒng)中推廣開來。這也給攻擊 者帶來了可乘之機(jī) 。 在堵流量和消耗系統(tǒng)資源 (CPU、內(nèi)存)這兩種攻擊方式都行不通時，消耗硬盤 資源也成了攻擊者新的選擇。攻擊者鎖定目標(biāo)后，只 需要利用網(wǎng)上現(xiàn)成的郵件群發(fā)工具，通過簡單操作 就能對某一個郵件服務(wù)器可采集到的帳戶進(jìn)行海量 郵件發(fā)送，消耗其硬盤資源。雖然現(xiàn)在絕大多數(shù)的郵 件服務(wù)器都配置的是大容量硬盤，但是對于某些小 型的服務(wù)器效果還是不錯的。

3. 攻擊DNS服務(wù)器：

在目標(biāo)服務(wù)器的防御措 施非常嚴(yán)格時，攻擊其域名的DNS服務(wù)器也是個 不錯的選擇。只要用前面提到的堵流量或者耗資 源的方法能令其 DNS 服務(wù)器拒絕服務(wù)，同樣可以 導(dǎo)致訪問其主服務(wù)器的用戶因無法解析其域名而 無法訪問網(wǎng)站。

4.盜鏈：

網(wǎng)絡(luò)上很多小網(wǎng)站由于其空間資源緊張，為節(jié)約其系統(tǒng)資源，往往采用盜鏈的技術(shù)，盜鏈?zhǔn)侵阜?wù)提供商自己不提供服務(wù)的內(nèi)容，通過技術(shù)手段繞過其它有利益的最終用戶界面(如廣告)，直接在自己的網(wǎng)站上向最終用戶提供其它服務(wù)提供商的服務(wù)內(nèi)容，騙取最終用戶的瀏覽和點擊率。受益者不提供資源或提供很少的資源，而真正的服務(wù)提供商卻得不到任何的收益。網(wǎng)站盜鏈會大量消耗被盜鏈 網(wǎng)站的帶寬，而真正的點擊率也許會很小，嚴(yán)重?fù)p害了被盜鏈網(wǎng)站的利益。常見的盜鏈有：圖片盜鏈、音頻盜鏈、視頻盜鏈、文件盜鏈。#p#

三、安全策略與防御措施

防御DDOS攻擊是一個系統(tǒng)工程，單單依靠某 種系統(tǒng)軟件來防御 DDOS 攻擊是不現(xiàn)實的，在目前 的技術(shù)水平下完全杜絕 DDOS 攻擊是不可能的，通 過采取適當(dāng)?shù)姆烙胧┑钟?0%的DDOS攻擊是可以做到的。

(一)把網(wǎng)站做成靜態(tài)頁面

事實證明，把網(wǎng)站盡可能做成靜態(tài)頁面，不僅能大大提高網(wǎng)站的抗攻擊能力，而且還給黑客入侵帶來不少麻煩，至少到現(xiàn)在為止關(guān)于HTML的溢出還沒出現(xiàn)。目前我國的幾家門戶網(wǎng)站如新浪、搜狐、網(wǎng)易等主要都是靜態(tài)頁面。

(二) 增加服務(wù)器數(shù)量并采用

DNS 輪巡或負(fù)載均衡技術(shù)需購買七層交換機(jī)設(shè)備，從而使得抗DDOS攻擊能力成倍提高，只要投資足夠深入，便可高效防御DDOS攻擊。

(三)在攻擊源頭采取安全策略。

DDOS攻擊的防御必須通過網(wǎng)絡(luò)上各個團(tuán)體和使用者的共同合作，制定更嚴(yán)格的網(wǎng)絡(luò)標(biāo)準(zhǔn)來解決。 每臺網(wǎng)絡(luò)設(shè)備或主機(jī)都需要隨時更新其系統(tǒng)漏洞、關(guān)閉不需要的服務(wù)、安裝必要的防毒和防火墻軟件、隨時注意系統(tǒng)安全，避免被黑客和自動化的DDOS程序植入攻擊程序，以免成為黑客攻擊的幫兇。

(四)采取加密技術(shù)

對于游戲服務(wù)商而言，在游戲通訊協(xié)議上，應(yīng)采用高強(qiáng)度的加密算法，提高認(rèn)證機(jī)制，加大攻擊者的模擬難度。

(五)優(yōu)化路由和網(wǎng)絡(luò)結(jié)構(gòu)。

 如果你管理的不僅僅是一臺主機(jī)，而是網(wǎng)絡(luò)，就需要調(diào)整路由表以將拒絕服務(wù)攻擊的影響減到最 小。為了防止SYN flood 攻擊，應(yīng)設(shè)置TCP偵聽功能。詳細(xì)資料請參閱相關(guān)路由器技術(shù)文檔。另外禁止 網(wǎng)絡(luò)不需要使用的 UDP 和 ICMP 包通過，尤其是不應(yīng)該允許出站 ICMP“不可到達(dá)”消息。

(六)用足夠的機(jī)器承受黑客攻擊

這是一種較為理想的應(yīng)對策略。如果用戶擁有足夠的容量和足夠的資源給黑客攻擊，在它不斷訪問用戶、奪取用戶資源之時，自己的能量也在逐漸耗失，或許未等用戶被攻死，黑客已無力支招兒了。不過此方法需要投入的資金比較多，平時大多數(shù)設(shè)備處于空閑狀態(tài)，和目前中小企業(yè)網(wǎng)絡(luò)實際運(yùn)行情況不相符。

四、結(jié)束語

計算機(jī)網(wǎng)絡(luò)信息安全是一項復(fù)雜的系統(tǒng)工程，防御DDOS網(wǎng)絡(luò)攻擊只是保障網(wǎng)絡(luò)信息安全的一部分。隨著計算機(jī)網(wǎng)絡(luò)的快速應(yīng)用和普及，網(wǎng)絡(luò)信息安全的不確定因素也越來越多，我們必須綜合考慮各種安全因素，認(rèn)真分析各種可能的入侵和攻擊形式，采取有效的技術(shù)措施，制定合理的網(wǎng)絡(luò)安全策略和配套的管理辦法，防止各種可能的入侵和攻擊行為， 避免因入侵和攻擊造成的各種損失。