DDOS攻击原理与防范

摘 要 就网络安全而言目前最让人担心和害怕的入侵攻击就要算是拒绝服务攻击了。他和传统的攻击不同，采取的是仿真多个客户端来连接服务器，造成服务器无法完成如此多的客户端连接，从而无法提供服务。

关键词 DDOS攻击 原理 防范

中图分类号：TP3 文献标识码：A

1 DDOS的概念与产生

DDOS是英文Distributed Denial of Service的缩写，即“分布式拒绝服务”。凡是能导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击。也就是说拒绝服务攻击的目的非常明确，就是要阻止合法用户对正常网络资源的访问，从而达成攻击者不可告人的目的。虽然同样是拒绝服务攻击，但DDOS和DOS有所不同，DDOS攻击手段是在传统的DOS攻击基础之上产生的一类攻击方式。单一的DOS攻击一般是采用一对一方式的，当被攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高，它的效果是明显的。随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DOS攻击的困难程度加大了，因为目标对恶意攻击包的“消化能力”加强了不少。

2 DDOS的攻击原理

DDOS的攻击策略侧重于通过很多被攻击者入侵过或可间接利用的主机向受害主机发送大量看似合法的网络包，从而造成网络阻塞或服务器资源耗尽而导致拒绝服务。一般来说，黑客进行DDOS攻击时会经过这样的步骤：

（1）搜集了解目标的情况

对于DDOS攻击者来说，攻击互联网上的某个站点时，搜集情报对DDOS攻击者来说是非常重要的，这关系到使用多少台傀儡机才能达到效果的问题。简单地考虑一下，在相同的条件下，攻击同一站点的2台主机需要2台傀儡机的话，攻击5台主机可能就需要5台以上的傀儡机。有人说做攻击的傀儡机越多越好，不管你有多少台主机我都用尽量多的傀儡机来攻就是了，反正傀儡机超过了时候效果更好。

（2）占领傀儡机

简单地说，就是占领和控制被攻击的主机。取得最高的管理权限，或者至少得到一个有权限完成DDOS攻击任务的帐号。对于一个DDOS攻击者来说，准备好一定数量的傀儡机是一个必要的条件，下面说一下他是如何攻击并占领它们的。

首先，黑客做的工作一般是扫描，随机地或者是有针对性地利用扫描器去发现互联网上那些有漏洞的机器，像程序的溢出漏洞、cgi、Unicode、ftp、数据库漏洞等，都是黑客希望看到的扫描结果。随后就是尝试入侵了。

当黑客占领了一台傀儡机之后，除了留后门擦脚印这些基本工作之外，他会把DDOS攻击用的程序上载过去，一般是利用ftp。在攻击机上，会有一个DDOS的发包程序，黑客就是利用它来向受害目标发送恶意攻击包的。

（3）实际攻击

前面的准备做得好的话，实际攻击过程反而是比较简单的。黑客登录到做为控制台的傀儡机，向所有的攻击机发出命令，这时候埋伏在攻击机中的DDOS攻击程序就会响应控制台的命令，一起向受害主机以高速度发送大量的数据包，导致它死机或是无法响应正常的请求。黑客一般会以远远超出受害方处理能力的速度进行攻击。

老到的攻击者一边攻击，还会用各种手段来监视攻击的效果，在需要的时候进行一些调整。简单些就是开个窗口不断地ping目标主机，在能接到回应的时候就再加大一些流量或是再命令更多的傀儡机来加入攻击。

3 DDOS的防范

目前对于DDOS的防范还是没有什么好办法的，主要靠平时维护和扫描来对抗。简单的通过软件防范的效果非常不明显，即便是使用了硬件安防设施也仅仅能起到降低攻击级别的效果，DDOS攻击只能被减弱，无法被彻底消除。下面列出了对付它的一些常规方法：

（1）定期扫描

要定期扫描现有的网络主节点，清查可能存在的安全漏洞，对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽，是黑客利用的最佳位置，因此对这些主机本身加强主机安全是非常重要的。而且连接到网络主节点的都是服务器级别的计算机，所以定期扫描漏洞就变得更加重要了。

（2）在骨干节点配置防火墙

防火墙本身能抵御DDOS攻击和其他一些攻击。在发现受到攻击的时候，可以将攻击导向一些牺牲主机，这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的，或者是linux以及unix等漏洞少和天生防范攻击优秀的系统。

（3）过滤不必要的服务和端口

可以使用Inexpress、Express、Forwarding等工具来过滤不必要的服务和端口，即在路由器上过滤假IP。只开放服务端口成为目前很多服务器的流行做法，例如WWW服务器那么只开放80而将其他所有端口关闭或在防火墙上做阻止策略。

（4）检查访问者的来源

使用Unicast Reverse Path Forwarding等通过反向路由器查询的方法检查访问者的IP地址是否是真，如果是假的，它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户，很难查出它来自何处。因此，利用Unicast Reverse Path Forwarding可减少假IP地址的出现，有助于提高网络安全性。