DDOS攻击的分析与研究

2014-12-09 07:07杨铭
科技创新与应用 2014年34期
关键词:资源

摘 要:DDOS攻击是用很多计算机发起协作性的DOS攻击,它攻击一个或者多个目标,最终导致系统资源或网络带宽资源耗竭,破坏性极强。文章介绍了DDOS攻击的概念、产生的根源,分析了DDOS攻击的原理与工作过程,最后给出了DDOS攻击的防范方法。

关键词:DDOS;分布式拒绝服务;资源

1 DDoS攻击的概念

分布式拒绝服务(DDOS:Distributed Denial of Service)攻击,是指将多台计算机联合在一起,运用客户/服务器技术,同时向受害主机发起攻击。多台计算机作为攻击平台,受害主机处理数据过大而导致系统资源或网络带宽资源耗竭,从而大大提高了拒绝服务攻击的危害,是防范更加困难。它们利用很多有漏洞的计算机作为攻击平台和帮凶来进行攻击。

2 DDOS攻击产生的根源

DDOS攻击产生的根源不是简单的Internet的设计缺陷,通过设置普通的防御系统或修改协议是无法弥补的,它产生的根源在于Internet的核心架构。Internet的设计在带给我们信息财富和信息共享的同时,也隐含了拒绝服务的潜在威胁。

以下是对Internet设计进行分析后,得到的DDOS攻击产生的根源:

(1)Internet设计缺陷。Internet设计在早起设计时,有若干个目标。这些目标按照一定意义进行排序。Internet设计的首要目标是:即使网络内部损坏或是遭受外来破坏,仍可以确保数据传输的可达性和可靠性。而安全性(Security)和其他设计目标都被排在传输可达性和可靠性(Dependability)之后。

为了达到这个首要目标Internet在网络的边缘或端系统(End System)上集中了网络最智能的部分,而中间网络部分相对简单。中间网络只有一些必要的如路由的设备,所以Internet的承载协议都被设计成无连接的。这就给DDOS攻击留下了很大的空间,防御困难。

(2)Internet安全的相互依赖性。接入Internet的用户安全意识薄弱,没有及时的为计算机安装补丁,存在安全漏洞,使得这些计算机被黑客控制,成为傀儡主机。在DDOS攻击中,攻击者利用这些傀儡主机来协助其发动攻击。只要用户计算机与Internet相连,仅仅保证自身的系统安全并不能阻止发生DDOS攻击。

(3)资源的不协调性。Internet设计的重点在终端主机的服务保证上,忽视了中间网络的处理量,DDOS攻击会有大流量的需求,终端网络只按需要申请带宽,这与中间网络处理量狭小相悖。

(4)Internet资源的有限性。目前DDOS攻击的常见模式都是消耗系统资源或是网络带宽,有一些还表现为消耗系统CPU处理能力、缓存区、内存容量、操作系统数据结构、硬盘存储空间等。只要攻击耗尽以上某种资源,就可以达到DDOS攻击的效果。

但是,即使系统资源相当丰富,面临DDOS攻击,也有资源耗尽的时刻,这只是降低了DDOS攻击成功的可能性,或许对单纯的DoS攻击会起到一定效果,但对DDOS攻击可能起不到积极抵御的作用。

(5)责任的易逃避性。从源端到目的端的路由器上不检测验证IP包头的源地址字段(改字段用来填充产生包的主机源IP地址)。如果伪造数据包的源IP地址,通常没有被发现。这也使攻击事件频繁发生。

3 DDOS攻击原理

DDOS攻击是最先进的DOS攻击形式,它区别于其它攻击形式是它可以在Internet进行分布式的配置,从而加强了攻击的能力给网络以致命的打击。DDOS攻击从来不试图去破坏受害者的系统,因此使得常规的安全防御机制对它来说是无效。DDOS攻击的主要目的是对受害者的机器产生破坏,从而影响合法用户的请求。

DDOS攻击体系中有四种角色:

(1)攻击者:由黑客操控的主机,又被称为攻击的主控台。由它发动攻击,操控攻击的全过程,向位于控制层的主控端发送攻击指令。

(2)主控端:就是人们常说的傀儡机,它是攻击者通过非法手段控制的一些机器,这些机器负责控制大量的代理攻击主机。它们在这些主控端上安装特定的程序,由此接收攻击者发来的攻击命令,然后将这些命令发送到攻击层的代理攻击端主机上。

(3)代理攻击端:它们也是攻击者非法侵入并控制的计算机,攻击端负责接受主控端发来的指令,运行特定的攻击程序。代理攻击端主机是攻击的执行者,由它们向受害主机发起攻击。

(4)受害者:当交换机、路由器、主机等遭受DDOS攻击都是受害者。当出现DDOS进攻时,受害者的资源或网络带宽被无止境占用直至耗尽。防火墙和路由器遭到攻击阻塞后很可能导致恶性循环,加重网络阻塞情况,严重时还可能造成网络全面瘫痪。

4 DDOS攻击的步骤

一个典型的DDOS攻击主要有以下几个工作步骤:

(1)搜集资料,了解攻击目标。了解所要攻击的目标,以便对将来的攻击做到心中有数。主要搜集被攻击目标主机数目、地址情况、目标主机的配置、性能目标的宽带等方面。

(2)占领傀儡机。即攻占傀儡机,控制尽可能多的机器,然后安装相应的攻击程序,在主控机上安装控制攻击的程序。那些网络状态好、 性能好、安全管理水平差的主机往往成为黑客的目标。

(3)实施攻击。攻击者通过前两个步骤后,就开始通过主控机向攻击机发出攻击指令,或者按照原先设定好的攻击时间和目标,攻击机不停的向目标或者反射服务器发送大量的攻击包,来吞没被攻击者,达到拒绝服务的最终目的。

5 DDOS攻击的防范

针对DDOS攻击可以采取以下措施进行防范:

(1)设置主机

平时养成良好的习惯,关闭不必要的服务;电脑做到及时升级、更新系统补丁;限制同时打开的Syn半连接数目;缩短Syn半连接的time out时间。

(2)设置网络

a.防火墙的设置:限制同时打开的SYN最大连接数;限制特定IP地址的访问;启用防火墙的防DDOS的属性;严格限制对外开放的服务器的向外访问。

b.路由器:设置SYN数据包流量速率;将低版本的ISO及时升级;为路由器建立log server等方法。

TCP洪流攻击、UDP洪流攻击、ICMP洪流攻击、畸形报文攻击、应用层攻击是最典型的DDOS攻击,同时DDOS攻击也在不断变化升级,学者们研究针对DDOS攻击的防御措施变得越来越有应用价值和现实意义。

参考文献

[1]Zhang G,Parashar M.Coorporative defense against DDOSattacks. Journal of Research and Practice in Informa-tion Technology,2006.

[2]Yu, Shui,Zhou, Wanlei,Doss, Robin,et al.Traceback of DDOS attacks using entropy variations. IEEE Transactions on Parallel and Distributed Systems,2011.

[3]范斌,胡志刚,张健.一种基于数据融合的DDOS入侵检测系统的设计[J].科技信息(学术研究),2007(32).

作者简介:杨铭(1982,1-),女,籍贯:吉林长春,工作单位:吉林电子信息职业技术学院,职称:讲师,学历:研究生,研究方向:计算机应用技术。

猜你喜欢
资源
让有限的“资源”更有效
污水磷资源回收
基础教育资源展示
崛起·一场青铜资源掠夺战
一样的资源,不一样的收获
我给资源分分类
资源回收
做好绿色资源保护和开发
资源再生 欢迎订阅
激活村庄内部治理资源