DDoS拒绝服务攻击及其安全防范

一、对DDoS拒绝服务攻击的简要介绍

Ldquo；拒绝服务（DoS）攻击消耗目标主机或网络的资源，从而干扰或麻痹的合法用户提供的服务。国际权威faq 安全；定义。

DDoS使用多台计算机机器，在单个或多个目标上使用分布式DoS攻击，其特点是：目标是禁用，而不是传统的破坏和盗窃；使用互联网在全球范围内进行计算机攻击，很难跟踪。

目前，DDoS攻击的模式已经发展成为一个非常严重的公共安全问题，被称为终极黑客武器；不幸的是，处理拒绝服务攻击的技术尚未以同样的速度发展。缺点的TCP / IP网络协议和国家边界的缺乏使得目前的国家机制和法律的追踪和惩罚DDoS attackers.ddos攻击也逐渐结合蠕虫和僵尸网络的发展为网络敲诈的工具自动、集中和分布式攻击。

两。进攻原则

目前，DDoS攻击主要分为两类：带宽耗尽和资源耗尽。

带宽消耗主要是阻断目标网络的出口，导致带宽消耗，不提供正常的网络服务。例如，常见的Smurf攻击，UDP洪水攻击Mstream洪水攻击，等等。这种攻击的一般方法是QoS，这限制了交通在路由器或防火墙这样的数据流，以保证正常的使用带宽。简单的带宽消耗攻击更容易被识别和丢弃。

资源枯竭是攻击者利用服务器处理的缺陷，消耗目标服务器的关键资源，如CPU、内存等，导致无法提供正常的服务。例如，常见的SYN洪水攻击，石脑油的攻击，等等。资源耗尽攻击使正常的网络协议处理系统的缺陷，使用，使其难以对系统区分正常流和攻击流，导致难以预防。

针对DDoS攻击的原理，DDoS攻击的预防主要分为三个层次：源端攻击源侧保护、基于路由器的路由器防御、目标端目标端防御，其中攻击侧保护技术包括DDOS工具分析和清除、攻击源保护技术。骨干网络保护技术包括推送技术和IP跟踪技术，目标端保护措施包括DDoS攻击检测、路由器保护、网关防御、主机设置等方法。
三。综合防治方法综述

目前，基于目标计算机系统的防护方法主要有三种：网关保护、路由器保护和主机保护。

1。网关守卫

网关的预防是使用特殊的技术和设备在网关阻止DDoS攻击，如透明网桥接入网创始人创始人鲨鱼防火墙或其他硬件产品。用于网关主要预防技术syncookie方法、基于IP的访问记录髋关节的方法，客户的计算瓶颈等等。

的syncookie的做法是要求客户应对数字返回来证明其真实性的时候建立一个TCP connection.syncookie解决目标计算机系统的半开连接队列资源有限的问题，从而成为最广泛使用的DDoS防护方法。新的SCTP协议DCCP协议也采用了类似的技术，syncookie法的局限性，建立连接握手包，回应一个应答包，该方法将生成1:1反应流将攻击流量增加了一倍，大大浪费带宽资源；此外，当引发剂，利用随机源地址服务分布式拒绝攻击，产生响应流程非常不同的目标地址syncookie方法，使路由缓存资源路由设备及其周围目标计算机系统排出，从而形成一个新的攻击，也产生了一个真实的事件在实际网络对抗路由雪崩。

HIP方法使用行为统计来区分攻击包和正常包，并为所有访问IP建立信任级别。当发生DDoS攻击时，高信任级别的IP具有优先权访问，解决了识别问题。

客户端的计算瓶颈的方法传输资源瓶颈从服务器端到客户端，从而大大提高了分布式拒绝服务攻击的成本，如资源的接入定价方法。客户计算的瓶颈是复杂的协议，这就需要在现有的操作系统和网络结构的巨大变化，这也在很大程度上影响着该方法的可操作性。

总之，防止DDoS攻击的网关可以有效缓解攻击压力，适合攻击者的自我保护。

2。路由器防范

基于主干路由的主要防治方法是推和SIFT方法。但由于骨干路由器通常有电信运营商管理，难以根据用户要求调整。此外，由于骨干网路由负载过大，认证授权问题难以解决，很难成为一种有效的独立解决方案，因此，基于骨干路由的方法通常被用作辅助跟踪方案，与其他方法相违背。

基于路由器的ACL和限流是有效的预防措施，如限制访问特征的攻击数据包，发现攻击者的IP的数据包丢弃，或限制异常流量。它也可以用在应对SYN包服务器建立代表客户机到服务器的连接更换服务器开放拦截模式。类似于synproxy技术，成功实现了两连接时，路由器将透明地将两个连接。

四，防止技术的发展和趋势

DDoS攻击的发展非常快，为了增加攻击力，采取了许多新的攻击技术：伪造数据，消除攻击数据包的特征；协议的缺陷和缺陷处理系统综合利用；利用各种攻击数据包使用混合攻击；攻击包预生成方法，提高攻击速度。目前已经有攻击可以启动6-7万/二攻击数据包在一个点的情况下，足以阻止数百兆的大中型网站的带宽。

DDoS攻击防范技术主要是跟踪、网关防范发展。ICMP报文跟踪使用，或采用伯奇和切斯威克提出的，是当前研究的一个热点。攻击跟踪对骨干网络的研究目标是找出攻击者的攻击者首先发起攻击，从而防止蔓延和降低目标攻击损失。网关DDoS防御技术的产品将是未来发展的重点，将成为各类网站的DDoS防护。当前的研究重点是通过行为统计来区分攻击数据包，随着技术的发展，网关DDOS防护产品将得到广泛应用。