如何在企业中应对DDoS攻击

张静静　中国电信股份有限公司江西分公司高级技术经理

产品与技术方案

如何在企业中应对DDoS攻击

张静静中国电信股份有限公司江西分公司高级技术经理

随着Internet互联网络带宽的增加和多种DDoS工具的不断发布，DDoS拒绝服务攻击的实施越来越容易，DDoS攻击随处可见，业界为克服DDoS攻击进行了大量研究，提出了多种解决方案。

DDoS拒绝服务 网络攻击

1　DDoS攻击的发展

随着Internet互联网络带宽的增加和多种DDoS工具的不断发布，DDoS拒绝服务攻击的实施越来越容易，DDoS攻击事件正在呈上升趋势。出于商业竞争、打击报复和网络敲诈等多种因素，导致很多IDC托管机房、商业站点、游戏服务器、聊天网络等网络服务商长期以来一直被DDoS攻击所困扰，随之而来的是客户投诉、同虚拟主机用户受牵连、法律纠纷、商业损失等一系列问题。因此，解决DDoS攻击问题成为网络服务商必须要考虑的头等大事。

分布式拒绝服务攻击DDoS是搞信息安全的人都非常头疼的问题。本文系统分析了DDoS攻击的原理和攻击思路，从管理和技术两个方面提出一些关于减少DDoS攻击方法。

在探讨DDoS之前首先要对DoS有所了解，DoS即DenialOfService，拒绝服务的缩写。DoS是指故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务或资源访问，使目标系统服务系统停止响应甚至崩溃，而在此攻击中并不包括侵入目标服务器或目标网络设备。通常而言，DoS的网络数据包是利用TCP/IP协议在Internet传输，这些数据包本身一般是无害的，但是如果数据包异常过多，就会造成网络设备或者服务器过载，迅速消耗了系统资源，造成服务拒绝，这就是DoS攻击的基本工作原理。

2　研究背景

DoS攻击之所以难于防护，其关键之处就在于非法流量和合法流量相互混杂，防护过程中无法有效地检测到DoS攻击。加之许多DoS攻击都采用了伪造源地址IP的技术，从而成功地躲避了基于统计模式工具的识别（见图1）。

（1）从攻击者和攻击方式分析

●利用被攻击目标的漏洞，以比较技术化的方式让被攻击目标不能提供服务。比如，将目标服务器中的一个应用系统服务进程搞宕。

●以分布式的僵尸网络为攻击源，对于目标系统发起没有针对性的攻击。比如，一个大范围的分布式僵尸网发起一个Ping或者TCP半连接攻击，造成目标系统的系统资源耗尽。

●以分布式的僵尸网络为攻击源，实现用录制、脚本等方式模拟出一个非常真实的访问过程，然后让这个大规模僵尸网络同时向目标系统发起请求。

（2）站在被攻击目标之前进行保护

如果针对这些拒绝服务攻击，第一种方式已经和一般性攻击的防护方式相同的。一般来说，用IDS、IPS 和UTM等安全设备是可以基本解决这第一种问题的。是否有效，就是看你能不能识别出这种攻击的特征，并且有针对性地阻断和处理。现在来说，这类的拒绝服务攻击已经不是大家最最头疼的问题了。

对于第二种攻击方式。已经比第一种攻击方式要难一些。但是，毕竟攻击流还是有特征可以总结出来的。判断至少有两个：其一是有攻击特征；其二是大量的数据流没有业务意义。那么，经过流量过滤和清洗就可以将这些恶意流分离出来。IPS系统或者IPS系统阵列，配合导流等机制可以在一定程度上解决这个问题。

图1　在被攻击目标之前进行保护

但是，如果攻击流没有特征，而且还和目标系统的业务有关联，这个时候就难于将攻击流和正常访问流量区别开。这个时候，系统拒绝服务完全是由于资源耗尽导致的，可能是主机资源耗尽，可能是带宽资源耗尽。那么站在目标系统主机之前进行防护几乎是不能产生效果的。那么怎么办呢？

（3）挡在被攻击目标前面的区域性防护

面对大规模分布式拒绝服务攻击，在目标系统紧跟前难于有效地抵御攻击，防御体系常常被性能压力打垮。所以，要降低单点的性能压力，就有必要将防御机制前移。那么我们可能就有必要将防护区域拓展到目标系统更前面的纵深网络中。

对于第二种形态的分布式拒绝服务攻击，可以在前端的纵深网络地区，增加检测和过滤机制。只要能够在之前了解攻击流的部分特征，那么在前端的纵深区域较早地进行清洗。当然，这时解决攻击问题的难点就是如何能够检测清楚哪些是攻击流。

（4）针对攻击源的反制

对于第一种和第二种形态的拒绝服务攻击，可以在采用有效的检测机制支持下，在防御体系中加以一定程度的防范。但是，对于第三种攻击，就基本上无法在防御方有所作为了。

现在的方式仅仅防御地区前移已经无效了。那么，唯一的方式就是既前移防御区域，也要前移应对时间。也就是在攻击尚未发生的时候，就对于攻击主体的僵尸网络和僵尸网络后面的幕后操纵者进行检测并处理。从原理上说，如果有足够的检测覆盖度，发现在覆盖范围内的僵尸网络并不是技术上的难点。也就是说，如果一个负责任的网络，是比较容易做到自己不成为僵尸网络的。所以，这个问题主要就变成了一个公共安全机制和法律依据问题了。

（5）通过调整被攻击目标的服务模式来规避

分布式拒绝服务攻击的原理，就是因为攻击者掌握着一个非常大的僵尸网络资源。这个僵尸网络的资源规模与被攻击目标的服务能力不能匹配。也就是由于出现N对“1”的关系，使得在“1”的位置会非常被动。那么，也许我们可以将这个1拆分开，这样可以分解整个目标服务体系的压力。例如，CDN内容分布式网络（ContentDistributedNetwork），用分布式的服务来对抗分布式拒绝服务。

3　应对DDoS攻击的技术实践

到目前为止，进行DDoS攻击的防御还是比较困难的，主要是由于这种攻击的特点是它利用了TCP/IP协议的漏洞，除非你不用TCP/IP，才有可能完全抵御住DDoS攻击。不过这不等于就没有办法阻挡DDoS攻击，可以从管理和技术两个方面减少DDoS的攻击。

对于普通用户，要加强每个网络用户的安全意识，安装杀毒软件，并保持病毒库及时更新，安装软件或者硬件防火墙，不从不名网站下载软件，不访问一些不名网站，不打开不名邮件，尽量避免黑客入侵种值木马最终成为“肉鸡”。

对于国家层面，需要国家立法单位，对网络犯罪进行立法，对传播病毒，木马，和进行黑客攻击的行为进行定性，并有法可依，保障国家信息高速网络平台的安全，为国内信息化建设保驾护航。对我们的一些网络运营平台用户，如经营性网站、门户网站、网上交易平台、网络游戏提供商、网吧、VoIP提供商等，也要加强网络出口的防护，发现和举证攻击行为，做好日志记录，并利用硬件防护设备，最大程度地减少黑客攻击的危害，保障经营性平台的正常运行。

在技术的手段上，还应加强以下几点：

（1）确保服务器的系统文件是最新的版本，并及时更新系统补丁。

（2）关闭不必要的服务。

（3）限制同时打开的SYN半连接数目。

（4）缩短SYN半连接的TimeOut时间。

（5）正确设置防火墙。

禁止对主机的非开放服务的访问，限制特定IP地址的访问，启用防火墙的防DDoS的属性，或者使用专用的抗DDoS设备。严格限制对外开放的服务器的向外访问，运行端口映射程序祸端口扫描程序，要认真检查特权端口和非特权端口。

（6）认真检查网络设备和主机/服务器系统的日志。只要日志出现漏洞或是时间变更，那这台机器就可能遭到了攻击。

（7）限制在防火墙外与网络文件共享。这样会给黑客截取系统文件的机会，主机的信息暴露给黑客，无疑是给了对方入侵的机会。

（8）路由器，以Cisco路由器为例，Cisco Express Forwarding（CEF），使用UnicastReverse-path，访问控制列表（ACL）过滤，设置SYN数据包流量速率，升级版本过低的ISO，为路由器建立logServer。我们的运营商有义务在网络平台升级和建设的过程中，有效在各个节点抵御黑客恶意攻击的行为，以净化我们的网络。不光仅仅是只加强可以看到效益的终端平台，如IDC机房的抗DDoS防护，而是应该在网络的各个节点都加强防护，在接入端进行DDoS防护和源地址检测，使得黑客的主机或者占领的“肉鸡”，无法拉起大量带宽，有效记录各种用户（特别是网吧用户）的网络行为，建立电子档案，以协助公安部门对网络犯罪进行调查，为指证犯罪提供证据。

4　结束语

对DDoS的原理与应付方法的研究一直在进行中，找到一个既有效又切实可行的方案不是一朝一夕的事情，因此此时需要我们公安、运营商、网络安全厂商、网络的用户，在意识到网络攻击问题的严重性前提下，多方配合，共同加强网络平台安全性的建设性，净化我们的网络，不给黑客以生存的攻击，保障我们十几年来信息网络平台建设的成果，为我国的经济建设提供坚固安全的网络信息化平台。减少企业因为信息泄露而导致的损失。

1 鲍旭华，洪海，曹志华.破坏之王:DDoS攻击与防范深度剖析.机械工业出版社

2 魏兴国.云盾防DDoS文献之敌情篇——DDoS攻击原理

3 防DDoS文献之敌情篇.DDoS攻击原理

4 防DDoS文献之应对篇.DDoS防御方案

5 浅谈DDoS攻击与防御

Howto Deal withDDoSAttack in the Enterprise

With the Internet bandwidth increase and a variety of DDoS tools are continuously being released， DDoS attack is implemented more and more easily， DDoS attack prevails everywhere， in order to overcome DDoS attack， the industry carrys out a largenumberof research， and put forward a variety of solutions.

DDoS，denialofservice，networkattack