DDoS攻击原理和安全防范技术
2019-06-19 10:33:42 【

“拒绝服务(Denial-Of-Service)攻击就是消耗目标主机或者网络的资源,从而干扰或者瘫痪其为合法用户提供的服务。”国际权威机构“Security FAQ”给出的定义。

DDOS则是利用多台计算机机,采用了分布式对单个或者多个目标同时发起DoS攻击。其特点是:目标是“瘫痪敌人”,而不是传统的破坏和窃密;利用国际互联网遍布全球的计算机发起攻击,难于追踪。

目前DDOS攻击方式已经发展成为一个非常严峻的公共安全问题,被称为“黑客终极武器”。但是不幸的是,目前对付拒绝服务攻击的技术却没有以相同的速度发展,TCP/IP互联网协议的缺陷和无国界性,导致目前的国家机制和法律都很难追查和惩罚DDOS攻击者。DDOS攻击也逐渐与蠕虫、 Botnet相结合,发展成为自动化播、集中受控、分布式攻击的网络讹诈工具。据方正信息安全技术有限公司的有关专家介绍,DOS从防御到追踪,已经有了非常多的办法和理论。比如SynCookie,HIP(History-based IP filtering)、ACC控制等,另外在追踪方面也提出许多理论方法,比如IP Traceback、ICMP Traceback、Hash-Based IP traceback、Marking等。但目前这些技术仅能起到缓解攻击、保护主机的作用,要彻底杜绝DDOS攻击将是一个浩大的工程技术问题。


一、攻击原理


针对DDOS攻击原理,对DDOS攻击的防范主要分为三层:Source-end攻击源端防范、Router-based路由器防范、 Target-end目标端防范。其中攻击端防护技术有DDOS工具分析和清除、基于攻击源的防范技术;骨干网防护技术有会推技术、IP追踪技术;目标端防护措施有DDOS攻击探测、路由器防范、网关防范、主机设置等方法。

DoS攻击、DDoS攻击和DRDoS攻击相信大家已经早有耳闻了吧!DoS是Denial of Service的简写就是拒绝服务,而DDoS就是Distributed Denial of Service的简写就是分布式拒绝服务,而DRDoS就是Distributed Reflection Denial of Service的简写,这是分布反射式拒绝服务的意思。

不过这3中攻击方法最厉害的还是DDoS,那个DRDoS攻击虽然是新近出的一种攻击方法,但它只是DDoS攻击的变形,它的唯一不同就是不用占领大量的“肉鸡”。这三种方法都是利用TCP三次握手的漏洞进行攻击的,所以对它们的防御办法都是差不多的。

DoS攻击是最早出现的,它的攻击方法说白了就是单挑,是比谁的机器性能好、速度快。但是现在的科技飞速发展,一般的网站主机都有十几台主机,而且各个主机的处理能力、内存大小和网络速度都有飞速的发展,有的网络带宽甚至超过了千兆级别。这样我们的一对一单挑式攻击就没有什么作用了,搞不好自己的机子就会死掉。举个这样的攻击例子,假如你的机器每秒能够发送10个攻击用的数据包,而被你攻击的机器(性能、网络带宽都是顶尖的)每秒能够接受并处理100攻击数据包,那样的话,你的攻击就什么用处都没有了,而且非常有死机的可能。要知道,你若是发送这种1Vs1的攻击,你的机器的CPU占用率是90%以上的,你的机器要是配置不够高的话,那你就死定了。

二、综合防范方法综述


目前基于目标计算机系统的防范方法主要三类:网关防范、路由器防范、主机防范。

1.网关防范


网关防范就是利用专门技术和设备在网关上防范DDOS攻击,例如用透明桥接入网络的方正防火墙或方正黑鲨等硬件产品。网关防范主要采用的技术有SynCookie方法、基于IP访问记录的HIP方法、客户计算瓶颈方法等。

SynCookie方法是在建立TCP连接时,要求客户端响应一个数字回执,来证明自己的真实性。SynCookie方法解决了目标计算机系统的半开连接队列的有限资源问题,从而成为目前被最广泛采用的DDOS防范方法,新的SCTP协议和DCCP协议也采用了类似的技术。SynCookie 方法的局限性在于,对于建立连接的每一个握手包,都要回应一个响应包,即该方法会产生1:1的响应流,会将攻击流倍增,极大的浪费带宽资源;此外,当分布式拒绝服务攻击的发起者采用随机源地址时,SynCookie方法产生的回应流的目标地址非常发散,从而会导致目标计算机系统及其周边的路由设备的路由缓冲资源被耗尽,从而形成新的被攻击点,在实际的网络对抗中也产生了真实的路由雪崩事件。

HIP方法采用行为统计方法区分攻击包和正常包,对所有访问IP建立信任级别。当发生DDOS攻击时,信任级别高的IP有优先访问权,从而解决了识别问题。

客户计算瓶颈方法则将访问时的资源瓶颈从服务器端转移到客户端,从而大大提升分布式拒绝服务攻击的代价,例如资源访问定价方法。客户计算瓶颈方法协议复杂,需要对现有操作系统和网络结构进行很大的变动,这也在很大程度上影响了该方法的可操作性。

综上所述,网关防范DDOS技术能够有效缓解攻击压力,适合被攻击者的自身防护。

2.路由器防范


基于骨干路由的防范方法主要有pushback和SIFF方法。但由于骨干路由器一般都有电信运营商管理,较难按照用户要求进行调整;另外,由于骨干路由的负载过大,其上的认证和授权问题难以解决,很难成为有效的独立解决方案。因此,基于骨干路由的方法一般都作为辅助性的追踪方案,配合其他方法进行防范。

基于路由器的ACL和限流是比较有效的防范措施,例如对特征攻击包进行访问限制,发现攻击者IP的包就丢弃;或者对异常流量进行限制等。也可以打开Intercept模式,由路由器代替服务器响应Syn包,并代表客户机建立与服务器的连接。类似一种SynProxy技术,当两个连接都成功实现后,路由器再将两个连接透明合并。

三、防范技术发展和趋势


DDOS攻击的发展非常快,为增加攻击威力,目前已经采用了许多新攻击技术:伪造数据,消除攻击包特征;综合利用协议缺陷和系统处理缺陷;使用多种攻击包混合攻击;采用攻击包预产生法,提高攻击速率。目前已经出现的攻击工具在单点情况下能发起6-7万个/秒攻击包,足以堵塞一个百兆带宽的大中型网站。

DDOS防范技术主要向攻击追踪、网关防范发展。利用ICMP数据包追踪、或是Burch 和 Cheswick提出的通过标志数据包来追踪的方法,都是目前研究的热点。在骨干网上攻击追踪研究的目标就是,在攻击者刚开始发起攻击时就能定位攻击源,从而阻挡攻击扩散和减轻目标损失。而网关DDOS防范技术将是未来产品发展的重点,将成为各类网站的ddos防护盾牌,目前研究热点的也是利用行为统计等方法区分攻击包,例如方正黑鲨采用的CIP技术等。随着技术的发展,网关DDOS防范产品将得到广泛的应用。


】【打印关闭】 【返回顶部
上一篇DNS防护可防止网络犯罪造成的千亿.. 下一篇防御吧高防cdn防cc攻击