分布式拒绝服务攻击与防范措施

分布式拒绝服务攻击与防范 措施 《全国民用建筑工程设计技术措施》规划•建筑•景观全国民用建筑工程设计技术措施》规划•建筑•景观软件质量保证措施下载工地伤害及预防措施下载关于贯彻落实的具体措施 王麦玲 (渭南师范学院计算机科学系 渭南 714000) 摘要分布式拒绝服务攻击是目前严重影响网络安全和威胁网站服务质量的一种攻击手段。文章中讨论分布式拒绝服务攻击的 产生过程和特点，在分析具体的攻击工具的基础上给出防御方法。 关键词拒绝服务攻击分布式拒绝服务攻击防范黑客 中图分类号TP393．08文献标识码A 文章编号080跎1—1679 DistributedDeniaIofServiceAttacksandtheDefenseMeasures WangMailing (DepartmentofComputerScienceWeinanteachersUniversityWeinan714000) AbstractDistributedDenialofService(DDoS)isoneofthemostseriousattacksagainstnetworksecurityandQualityof Service(QoS)oftheISP．ThispaperdiscussestheProcessesandcharacteristicsofDDoS．Itanalysesmeasuresof protectionagainstthespecificattacktools． KeywordsDenimofServiceDistributedDenialofServiceDefenseHacker 一、引言 随着网络技术和网络应用的发展，网络安全问题显得越来 越重要。分布式拒绝服务攻击由于容易实施、难以防范、难以追 踪等而成为最难解决的网络安全问题之一，这种攻击方法的可 怕之处是会造成用户无法对外进行提供服务，时间一长将会影 响到网络流量，造成用户经济上的严重损失。从实际情况来说 DDoS是不可能完全防范的，不过用户必须要从最大程度上做好 防范DDoS攻击的措施，使用户在遭受DDoS攻击后的损失减至 最低。因此，研究拒绝服务攻击及其防范措施是极为重要的。 二、分布式拒绝服务攻击 1、DDoS攻击概念 DD05攻击手段是在传统的DoS攻击基础之上产生的一类 攻击方式。 分布式拒绝服务攻击(英文意思是DistributedDenimofSe卜 vice。简称DDoS)是指处于不同位置的多个攻击者同时向一个或 数个目标发动攻击，或者一个攻击者控制了位于不同位置的多 台机器并利用这些机器对受害者同时实施攻击，由于攻击的发 出点是分布在不同地方的，这类攻击称为分布式拒绝服务攻击。 图一是典型的DDoS的示意图，其中的攻击者可以有多个。 2、DDoS攻击的典型过程 (1)准备阶段，收集目标信息 通常，攻击者的攻击并非盲目地胡乱进行的，他不会用一台 ·42· 办公自动化杂志 通过Modem连接的PC机去轰炸(flooding)--个大型网站(当然， 如果该网站有一些漏洞使得剧毒包型攻击也能奏效的话，用一 台PC机通过剧毒包攻击大型网站奏效的情况也是存在的)为了 使得攻击奏效，攻击者需要了解受害者许多的信息如被攻击目 标主机数目、配置、性能、操作系统、地址情况以及目标网络的带 宽等。因此，在攻击发生前。攻击者需要先对目标进行侦察，如利 用扫描工具对目标进行扫描。 (2)占领傀儡机和控制台 在DDoS中，攻击者可以通过自己的机器直接对目标发起 攻击，这样攻击者可能会冒着被发现的风险。通常，为了掩蔽自 己不被发现，攻击者需要占领一些傀儡机，用来实施攻击。另外， 为了达到需要的攻击力度，攻击者也需要大量的傀儡机器用于 增强攻击的”火力”。这些傀儡机器最好具有良好的性能和充足 的资源，如强的计算能力、大的带宽等等，这样攻击者会获得较 大的攻击力。当然，如果这些机器的管理水平、安全程度低，则更 是攻击者的最佳选择，因为这样的机器更容易被攻击者攻破。并 且，攻击者还需要向傀儡机发送命令的控制台，因此攻击者还需 利用某些被其攻破的机器或者其拥有访问权限的机器作为控制 台。攻击者占领这些傀儡机的一般方法是先通过扫描，得到一些 容易攻破的机器，然后采用一些较为简单的方法予以攻破。此 外，由于新的软件越来越多，必然的，整个系统的漏洞也越来越 多；软件的漏洞使得恶意程序可以自动地攻破大量的主机，然后 提供给攻击者作为傀儡机(攻击机)使用。 万方数据 (3)攻击的实施 在前面的准备工 作完成之后，实际的攻 击过程却相对比较简 单，攻击者只需通过控 制台向傀儡机发出指 令，令其立即或在某个 时间向指定的受害者 大量发送特定的攻击 数据包即可。或者，攻 击者可以在傀儡机上 图1分布式拒绝服务攻击体系结构作一定时设置，时间一 到，这些傀儡机就自行对既定目标发起攻击。 我们这里描述的是分布式拒绝服务攻击的一个典型过程。 实际上，并非每一次攻击都要遵循这样—个过程的。 3、DDoS攻击的特点 (1)分布式拒绝服务的攻击效果更加明显。使用分布式拒绝 服务，可以从多个傀儡主机同时向攻击目标发送攻击数据，可以 在很短的时间内发送大量的数据包，使攻击目标的系统无法提 供正常的服务。另外，由于采用了多层客户机，服务器模式，减 少了由攻击者下达攻击命令时可能存在的拥塞，也增加了攻击 的紧凑性。 (2)分布式拒绝服务攻击更加难以防范。因为分布式拒绝服 务的攻击数据流来自很多个源且攻击工具多使用随机IP技术， 增加了与合法访问数据流的相似性，这使得对攻击更加难以判 断和防范。 (3)分布式拒绝服务对于攻击者来说更加安全。由于DDoS 采用了多层客户机／服务器模式，增大了回溯查找攻击者的难 度，从而可以更加有效地保护攻击者。另外，采用多层客户机， 服务器模式，使得下达攻击指令的数据流更加分散，不容易被监 控系统察觉。 三、DDoS的防范 1、攻击策略及防范 目前，随着多种DDoS攻击工具如rI'F'N、TFN2K、Tdnoo等的 广泛传播，下面针对这几种常用的攻击工具给出具体的防范措施。 (1)TFN(TribeRoodNetwork)攻击及防范 TFN由客户端程序和守护程序组成，通过绑定到TCP端口 的RootShen控制，实施ICMPHood．SYNHood，UDPHood等多 种拒绝服务的分布式网络攻击。TFN客户端、主控端和代理端主 机相互间通信时使用IC—MPEcho和IcmpEchoReply数据包。 针对1硎攻击的基本特性可采用如下抵御策略：发动TFN 时，攻击者要访问Master程序并向它发送—个或多个目标IP地 址，然后Master程序与所有代理程序通信，指示它们发动攻击。 Master程序与代理程序之间的通信使用ICMP回音／应答信息包， ICMP使信息包 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 过滤成为可能，通过配置路由器或入侵 检测 工程第三方检测合同工程防雷检测合同植筋拉拔检测方案传感器技术课后答案检测机构通用要求培训 系 统，不允许所有的ICMP回音或回音，应答信息包进入网络就可以 达到挫败TFN代理的目的，但是这样会影响所有使用这些功能的 Internet程序，可以通过加密，就不能方便地识别出代理信息。 (2)7rFN2k攻击及防范 TFN2k也是由两部分组成，即客户端程序和在代理端主机 上的守护进程。客户端向守护进程发送攻击指定的目标主机列 表，代理端守护进程据此对目标进行拒绝服务攻击。由一个客户 端程序控制的多个代理端主机，能够在攻击过程中相互协同，保 证攻击的连续性。客户端程序和代理端的网络通信是经过加密 的，还可能混杂许多虚假数据包。 TFN2k非常隐蔽，因为没有端口号，所以很难探测，即使在正 常的基础上使用端口扫描程序也无法探测到用户的系统正被用 作TFN2k服务器。目前仍没有能有效防御TFN2k拒绝服务攻击 的方法，最有效的策略是防止网络资源被用作客户端或代理端。 根据TFN2k的基本特性，可采用的预防手段有以下几种： ①只使用应用代理型防火墙，这能够有效地阻止所有的 TFN2k通信。 ②禁止不必要的ICMP，代P和UDP通信，特别是对于 ICMP数据，可只允许ICMP类型3(DestinationUnreachable，目标 不可到达)数据包通过。 ③禁止不在允许端口列表中的所有UDP和TEP包。 ③配置防火墙过滤所有可能的伪造数据包。 ⑤对系统进行补丁和安全配置，以防止攻击者入侵并安装 ’11州2k。 (3)Trinoo攻击及防范 Trinoo是发布最早的主流工具，因而功能没有TFN2k那么 强大。Trinoo使用TCP和UDP，因而如果在正常的基础上用扫描 程序检测端口，攻击程序很容易被检测到。 针对Trinoo攻击的基本特性可采用如下抵御策略： ①使用入侵检测软件寻找使用UDP的数据流偻型17)。 ②Master程序的监听端口是27655，攻击者一般借助Tehet 通过TCP连接到Master程序所在的计算机。入侵检测软件能够 搜索到使用TCP(类型6)并连接到端口27655的数据流。 ③所有从Master程序到代理程序的通信都包含字符串 “144”，并且被引导到代理的UDP端口27444。入侵检测软件检查 到UDP端口27444的连接，如果有包含字符串144的信息包被 发送过去，那么接受这个信息包的计算机可能就是DDoS代理。 (2)其他防范措施 ①采用高性能的网络设备； ②尽量避免NAT的使用； ③充足的网络带宽保证； ③升级主机服务器硬件； ⑤把网站做成静态页面。 四、结语 DDoS由于具有攻击方式简单、易于实现、防范困难和不易 追查的特点，已成为当今网络中最常见、危害最大的攻击方式， 但任何攻击行为都有他们自身的弱点，只要理解了DDoS攻击 原理及实现过程，即可制定出行之有效的防范策略。另外努力提 高网络用户的安全意识和基本防范技巧对提高整个网络安全性 有着十分重要的意义。—一 参考文献 【l】刘昕，吴秋峰等．分布式拒绝服务研究与探讨叨．计算机 工程与应用，2000，36(5)：131—133． 【2】J．Scambraryetal，HackingExposed：NetworkSecuritySe- crets＆Solutions．McGraw—Hill，2001．中译本《黑客大曝光》【蜘，清 华大学出版社，2002，pp527． p】李德全．拒绝服务攻击对策及网络追踪的研究【q：(学位 论文 政研论文下载论文大学下载论文大学下载关于长拳的论文浙大论文封面下载 )．北京：中国科学院软件研究所2004，15～25． 【4】吴虎，云超．对DDOS攻击防范策略的研究及若干实现 叨．计算机应用研究，2002，3801)：24—26． 作者简介 王麦玲(1978一)女陕西渭南人，陕西渭南师范学院计算机 科学系教师。 办公自动化杂志 ·43· 万方数据