【原创】DDoS攻击与防范

黄振宇

摘要：以电子商务为代表的各种网络服务业的飞速发展，对网络的安全性提出了更高的要求。特别是对于DDoS（Distributed Denial of Service ,分布式拒绝服务）这种对网络破坏极大的攻击，更应该有效的防范。本文分析了DDoS的原理，详细阐述了DDoS的特点，论述了对DDoS攻击的防范方法。
关键词：DDoS  攻击  安全  防范
Abstract : With E-business as its representative, a variety of Internet services are forging rapidly ahead. This development calls for further demands on high-level security, especially the DDoS attack which is harmful to the internetwork . This article gives an introduction of the characteristics of DDos. Then, the article puts forth the analysis of DDoS and gives paths to prevent DDoS attack.
Keywords DoS  Attack  Security  Prevent


0.引言
    随着Internet的蓬勃发展，出现了越来越多对网络体系进行故意破坏的黑客团体。他们研究出了各种攻击方法，其中最难防范的也是最具破坏性的要属DDoS攻击了。它是一种特殊形式的拒绝服务攻击，采用一种分布、协作的大规模攻击方式，主要瞄准比较大的站点，象商业公司、搜索引擎和政府部门的站点。在全球知名网站雅虎第一个宣告因为遭受DDoS攻击而彻底崩溃后, Amazon.com、CNN、E-Trade、ZDNet、Buy.com、Excite和eBay等其它七大知名网站也几乎在同一时间彻底崩溃。2002年美国当地时间10月21日，全世界13台路由DNS服务器同时受到了DDoS攻击。DDoS攻击造成了很大的损失。为了最大限度的阻止DDoS攻击，了解DDoS的攻击方式和防范手段成为安全人员的当务之急。

1. DDoS攻击原理

1.1 DoS攻击
DOS：即Denial Of Service，拒绝服务。简单的讲，拒绝服务就是用超出被攻击目标处理能力的海量数据包消耗可用系统、带宽资源，致使网络服务瘫痪的一种攻击手段。在早期， 拒绝服务攻击主要是针对处理能力比较弱的单机，如个人PC，或是窄带宽连接的网站，对拥有高带宽连接，高性能设备的网站影响不大.但在99年底，伴随着DDoS的出现，这种高端网站高枕无忧的局面不复存在，DDoS实现是借助数百，甚至数千台被植入攻击守护进程的攻击主机同时发起的集团作战行为。

1.2 DDoS攻击
与DoS攻击一样，DDoS也是向攻击目标连续发送大量伪造的IP包，导致服务器不能够为合法用户提供正常服务。
1.2.1攻击中的角色
为完成DDoS攻击,黑客首先需要拥有和控制三种类型的计算机：
攻击者（ATTACKER），黑客本人使用，黑客通过它发布实施DDoS的指令。
主控端 （MASTER），一般不属黑客所有，数目通常为3～4台, 并且在这些计算机上安装上特定的主控制软件。
代理端（DAEMON），每个代理端也是一台已被入侵并运行守护程序的系统主机。每个响应攻击命令的代理端会向被攻击目标主机发送拒绝服务攻击数据包。
1.2.2攻击过程
    黑客的攻击分为以下几个阶段：
    准备阶段：在这个阶段，黑客搜集和了解目标的情况，主要是目标主机数目、地址情况、配制性能和带宽等等。这个阶段对于黑客来说非常重要，因为完全了解目标的情况，才能有效进行彻底的进攻。
    占领傀儡机阶段：这一阶段实际上是使用了另一大类的攻击手段：利用形攻击。简单地说，就是占领和控制被攻击的主机。取得最高的管理权限，或者至少得到一个有权限完成DDoS攻击任务的帐号。黑客想要占领的傀儡机是链路状态好、性能高、安全性差的主机。
    植入程序阶段：在占领傀儡机之后，黑客在主控端上安装主控制软件master;在代理端上安装守护程序daemon。代理端主机上的守护程序在指定端口上监听来自主控端主机发送的攻击命令,而主控端主机接受从攻击者计算机发送的指令。为了安全起见,黑客要傀儡机上安装ROOT KIT程序,使主控制软件和守护程序本身不被傀儡机的管理员发现。
    攻击阶段：黑客TELNET到主控端主机并给出口令后就可以发出大规模的DoS攻击命令。整个攻击的指令流向为 :攻击者→主控端→代理端→目标端。

2. DDoS攻击防范
到目前为止，进行DDoS攻击的防御还是比较困难的。这种攻击的特点是它利用了TCP/IP协议的漏洞，除非不用TCP/IP，才有可能完全抵御住DDoS攻击。
    即使难于防范，也不是完全没有办法，我们必须在以下几个方面防范DDoS。

2.1主机上防范
2.1.1使用网络和主机扫描工具检测脆弱性
DDoS能够成功的关键是在Internet上寻找到大量安全防御措施薄弱的计算机。因此，经常使用安全检测工具检测网络和主机，找出目前存在的安全隐患并给出相应的应对措施，可以减少甚至避免主机被黑客利用成为傀儡机的可能性。安全扫描工具能够检测并删除主机上被黑客安装的进行DDoS攻击的软件。安全扫描工具应该随着攻击方式的演变而升级。
2.1.2采用NIDS和嗅探器
当系统收到未知地址的可疑流量时，NIDS(Network Intrusion Detection Systems，网络入侵检测系统)会发出报警信号, 提醒系统管理员及时采取应对措施，如切断连接或反向跟踪等。NIDS的安全策略或规则应该是最新的，并包含当前最新攻击技术的特征描述。
    嗅探器(sniffer)可用来在网络级识别网络攻击行为并成为NIDS原始检测信息的来源。例如，当黑客修改IP 包的数据部分，使其包含某些隐蔽信息，嗅探器就可以探测到这些信息并将此信息提供给有关人员进行分析， 成为采取阻断、分流恶意流量或追查黑客的依据。
2.1.3及时更新系统补丁
现有的操作系统都有很多漏洞，这很容易让黑客找到后门，所以及时下载和更新系统补丁也是抵御黑客很重要的一点。

2.2网络设备上防范
单机上防御主要是减少被作为傀儡机的可能，在路由器上采取防范措施才是抵御DDoS的关键，这里以Cisco路由器为例分析一下阻止攻击的方法：
2.2.1检查每一个经过路由器的数据包
在路由器的CEF（Cisco Express Forwarding）表里，某数据包所到达网络接口的所有路由项中，如果没有该数据包源IP地址的路由，路由器将丢弃该数据包。例如，路由器接收到一个源IP地址为a.b.c.d的数据包，如果CEF路由表中没有为IP地址a.b.c.d提供任何路由（即反向数据包传输时所需的路由），则路由器会丢弃它。
2.2.2设置SYN数据包流量速率
    许多DDoS攻击采用SYN洪水攻击的形式，所以有必要在路由器上限制SYN数据包流量速率。采用这种方法时必须在进行测量时确保网络的正常工作以避免出现较大误差。
    rate-limit output access-group 153 45000000 100000 100000 conform-action
transmit exceed-action drop
rate-limit output access-group 152 1000000 100000 100000 conform-action
transmit exceed-action drop
access-list 152 permit tcp any host eq www
access-list 153 permit tcp any host eq www established
2.2.3在边界路由器上部署策略
    网络管理员可以在边界路由器上部署过滤策略：

    ISP端边界路由器应该只接受源地址属于客户端网络的通信，而客户端网络则应该只接受源地址未被客户端网络过滤的通信。
ISP端边界路由器的访问控制列表：
access-list 190 permit ip 客户端网络 客户端网络掩码 any
access-list 190 deny ip any any [log]
interface 内部网络接口 网络接口号
ip access-group 190 in
客户端边界路由器的访问控制列表：
access-list 187 deny ip 客户端网络 客户端网络掩码 any
access-list 187 permit ip any any
access-list 188 permit ip 客户端网络 客户端网络掩码 any
access-list 188 deny ip any any
interface 外部网络接口 网络接口号
ip access-group 187 in
ip access-group 188 out
2.2.4使用CAR限制ICMP数据包流量速率
    CAR（Control Access Rate），可以用来限制包的流量速率，是实现QoS(Quality of Service，服务质量)一种工具。可以用它来限制ICMP包来防止DDoS。
    rate-limit output access-group 2020 3000000 512000 786000 conform-action
transmit exceed-action drop
access-list 2020 permit icmp any any echo-reply
2.2.5用ACL过滤RFC 1918中列出的所有地址
    ACL（Acess Control List，访问控制列表），是路由器过滤特定目标地址、源地址、协议的包的工具，可以用它来过滤掉RFC 1918中列出的所有地址，即私有IP地址（10.0.0.0/8，172.16.0.0/12, 192.168.0.0/16）。
    ip access-group 101 in
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 permit ip any any
2.2.6搜集证据
    可以为路由器建立log server，建议使用SUN工作站或Linux等高速计算机捕获数据包。常用的数据包捕获工具包括TCPDump和snoop等。基本语法为：
tcpdump -i interface -s 1500 -w capture_file
snoop -d interface -o capture_file -s 1500

结语
    DDoS攻击凭借着它的隐蔽性、破坏性、广域性给Internet带来了很大的伤害。网络安全事件响应小组必须和他们的ISP共同阻止攻击。如果失去ISP的支持，即使防火墙功能再强大，网络出口的带宽仍旧可能被全部占用。而因为包过滤等防御手段会降低路由器的效率，使得许多ISP放弃对DDoS的防范，行动不能统一，响应速度变慢，所以真正杜绝DDoS还需要一段时间。不过网络管理员至少要做到把自己的网络与主机维护好，让自己的主机不成为攻击的跳板；在受到攻击的时候，尽量地保存证据，以便事后追查。这对保护网络的安全是很重要的。


参考文献：Jeff Doyel <<Routing TCP/IP, Volume I,II >>
          Halabi <<Internet Routing Architectures>>
          Cisco <<Improving Security on Cisco Routers>>
          Cisco << Characterizing and Tracing Packet Floods Using Cisco Routers>>

xsffly

学习中……

hbjmwmt

保存了，谢谢楼主。

nello

^_^,收了!

nello

现在DDOS的攻击还是很频繁的,一般受攻击后也不好查!
感谢黄版的这个帖子,希望能够帮助大家!

awcoin

这个好像不是原创把，

James0213

学习学习...

wsjiajv

这估计是黄斑的论文   哈哈

黄振宇

QUOTE:

Originally posted by awcoin at 2005-1-23 04:41 PM:
这个好像不是原创把，

请对你的言语负责，谢谢

net8boy

是不是原创,懂行的朋友心里自然有数,何必要说呢?

目前国内做得好的防DDOS产品有 黑洞硬件防火墙, 冰顿软件防火墙

大家被攻击的时候可以试试

zhaoxiaoting

呵呵，不错！保存下来当教科书读读，学习。。。。。谢谢！