摘 要：DDOS攻擊是用很多計(jì)算機(jī)發(fā)起協(xié)作性的DOS攻擊，它攻擊一個(gè)或者多個(gè)目標(biāo)，最終導(dǎo)致系統(tǒng)資源或網(wǎng)絡(luò)帶寬資源耗竭，破壞性極強(qiáng)。文章介紹了DDOS攻擊的概念、產(chǎn)生的根源，分析了DDOS攻擊的原理與工作過程，最后給出了DDOS攻擊的防范方法。

關(guān)鍵詞：DDOS；分布式拒絕服務(wù)；資源

1 DDoS攻擊的概念

分布式拒絕服務(wù)（DDOS：Distributed Denial of Service）攻擊，是指將多臺(tái)計(jì)算機(jī)聯(lián)合在一起，運(yùn)用客戶/服務(wù)器技術(shù)，同時(shí)向受害主機(jī)發(fā)起攻擊。多臺(tái)計(jì)算機(jī)作為攻擊平臺(tái)，受害主機(jī)處理數(shù)據(jù)過大而導(dǎo)致系統(tǒng)資源或網(wǎng)絡(luò)帶寬資源耗竭，從而大大提高了拒絕服務(wù)攻擊的危害，是防范更加困難。它們利用很多有漏洞的計(jì)算機(jī)作為攻擊平臺(tái)和幫兇來進(jìn)行攻擊。

2 DDOS攻擊產(chǎn)生的根源

DDOS攻擊產(chǎn)生的根源不是簡(jiǎn)單的Internet的設(shè)計(jì)缺陷，通過設(shè)置普通的防御系統(tǒng)或修改協(xié)議是無法彌補(bǔ)的，它產(chǎn)生的根源在于Internet的核心架構(gòu)。Internet的設(shè)計(jì)在帶給我們信息財(cái)富和信息共享的同時(shí)，也隱含了拒絕服務(wù)的潛在威脅。

以下是對(duì)Internet設(shè)計(jì)進(jìn)行分析后，得到的DDOS攻擊產(chǎn)生的根源：

（1）Internet設(shè)計(jì)缺陷。Internet設(shè)計(jì)在早起設(shè)計(jì)時(shí)，有若干個(gè)目標(biāo)。這些目標(biāo)按照一定意義進(jìn)行排序。Internet設(shè)計(jì)的首要目標(biāo)是：即使網(wǎng)絡(luò)內(nèi)部損壞或是遭受外來破壞，仍可以確保數(shù)據(jù)傳輸?shù)目蛇_(dá)性和可靠性。而安全性（Security）和其他設(shè)計(jì)目標(biāo)都被排在傳輸可達(dá)性和可靠性（Dependability）之后。

為了達(dá)到這個(gè)首要目標(biāo)Internet在網(wǎng)絡(luò)的邊緣或端系統(tǒng)（End System）上集中了網(wǎng)絡(luò)最智能的部分，而中間網(wǎng)絡(luò)部分相對(duì)簡(jiǎn)單。中間網(wǎng)絡(luò)只有一些必要的如路由的設(shè)備，所以Internet的承載協(xié)議都被設(shè)計(jì)成無連接的。這就給DDOS攻擊留下了很大的空間，防御困難。

（2）Internet安全的相互依賴性。接入Internet的用戶安全意識(shí)薄弱，沒有及時(shí)的為計(jì)算機(jī)安裝補(bǔ)丁，存在安全漏洞，使得這些計(jì)算機(jī)被黑客控制，成為傀儡主機(jī)。在DDOS攻擊中，攻擊者利用這些傀儡主機(jī)來協(xié)助其發(fā)動(dòng)攻擊。只要用戶計(jì)算機(jī)與Internet相連，僅僅保證自身的系統(tǒng)安全并不能阻止發(fā)生DDOS攻擊。

（3）資源的不協(xié)調(diào)性。Internet設(shè)計(jì)的重點(diǎn)在終端主機(jī)的服務(wù)保證上，忽視了中間網(wǎng)絡(luò)的處理量，DDOS攻擊會(huì)有大流量的需求，終端網(wǎng)絡(luò)只按需要申請(qǐng)帶寬，這與中間網(wǎng)絡(luò)處理量狹小相悖。

（4）Internet資源的有限性。目前DDOS攻擊的常見模式都是消耗系統(tǒng)資源或是網(wǎng)絡(luò)帶寬，有一些還表現(xiàn)為消耗系統(tǒng)CPU處理能力、緩存區(qū)、內(nèi)存容量、操作系統(tǒng)數(shù)據(jù)結(jié)構(gòu)、硬盤存儲(chǔ)空間等。只要攻擊耗盡以上某種資源，就可以達(dá)到DDOS攻擊的效果。

但是，即使系統(tǒng)資源相當(dāng)豐富，面臨DDOS攻擊，也有資源耗盡的時(shí)刻，這只是降低了DDOS攻擊成功的可能性，或許對(duì)單純的DoS攻擊會(huì)起到一定效果，但對(duì)DDOS攻擊可能起不到積極抵御的作用。

（5）責(zé)任的易逃避性。從源端到目的端的路由器上不檢測(cè)驗(yàn)證IP包頭的源地址字段（改字段用來填充產(chǎn)生包的主機(jī)源IP地址）。如果偽造數(shù)據(jù)包的源IP地址，通常沒有被發(fā)現(xiàn)。這也使攻擊事件頻繁發(fā)生。

3 DDOS攻擊原理

DDOS攻擊是最先進(jìn)的DOS攻擊形式，它區(qū)別于其它攻擊形式是它可以在Internet進(jìn)行分布式的配置，從而加強(qiáng)了攻擊的能力給網(wǎng)絡(luò)以致命的打擊。DDOS攻擊從來不試圖去破壞受害者的系統(tǒng)，因此使得常規(guī)的安全防御機(jī)制對(duì)它來說是無效。DDOS攻擊的主要目的是對(duì)受害者的機(jī)器產(chǎn)生破壞，從而影響合法用戶的請(qǐng)求。

DDOS攻擊體系中有四種角色：

（1）攻擊者：由黑客操控的主機(jī)，又被稱為攻擊的主控臺(tái)。由它發(fā)動(dòng)攻擊，操控攻擊的全過程，向位于控制層的主控端發(fā)送攻擊指令。

（2）主控端：就是人們常說的傀儡機(jī)，它是攻擊者通過非法手段控制的一些機(jī)器，這些機(jī)器負(fù)責(zé)控制大量的代理攻擊主機(jī)。它們?cè)谶@些主控端上安裝特定的程序，由此接收攻擊者發(fā)來的攻擊命令，然后將這些命令發(fā)送到攻擊層的代理攻擊端主機(jī)上。

（3）代理攻擊端：它們也是攻擊者非法侵入并控制的計(jì)算機(jī)，攻擊端負(fù)責(zé)接受主控端發(fā)來的指令，運(yùn)行特定的攻擊程序。代理攻擊端主機(jī)是攻擊的執(zhí)行者，由它們向受害主機(jī)發(fā)起攻擊。

（4）受害者：當(dāng)交換機(jī)、路由器、主機(jī)等遭受DDOS攻擊都是受害者。當(dāng)出現(xiàn)DDOS進(jìn)攻時(shí)，受害者的資源或網(wǎng)絡(luò)帶寬被無止境占用直至耗盡。防火墻和路由器遭到攻擊阻塞后很可能導(dǎo)致惡性循環(huán)，加重網(wǎng)絡(luò)阻塞情況，嚴(yán)重時(shí)還可能造成網(wǎng)絡(luò)全面癱瘓。

4 DDOS攻擊的步驟

一個(gè)典型的DDOS攻擊主要有以下幾個(gè)工作步驟：

（1）搜集資料，了解攻擊目標(biāo)。了解所要攻擊的目標(biāo)，以便對(duì)將來的攻擊做到心中有數(shù)。主要搜集被攻擊目標(biāo)主機(jī)數(shù)目、地址情況、目標(biāo)主機(jī)的配置、性能目標(biāo)的寬帶等方面。

（2）占領(lǐng)傀儡機(jī)。即攻占傀儡機(jī)，控制盡可能多的機(jī)器，然后安裝相應(yīng)的攻擊程序，在主控機(jī)上安裝控制攻擊的程序。那些網(wǎng)絡(luò)狀態(tài)好、 性能好、安全管理水平差的主機(jī)往往成為黑客的目標(biāo)。

（3）實(shí)施攻擊。攻擊者通過前兩個(gè)步驟后，就開始通過主控機(jī)向攻擊機(jī)發(fā)出攻擊指令，或者按照原先設(shè)定好的攻擊時(shí)間和目標(biāo)，攻擊機(jī)不停的向目標(biāo)或者反射服務(wù)器發(fā)送大量的攻擊包，來吞沒被攻擊者，達(dá)到拒絕服務(wù)的最終目的。

5 DDOS攻擊的防范

針對(duì)DDOS攻擊可以采取以下措施進(jìn)行防范：

（1）設(shè)置主機(jī)

平時(shí)養(yǎng)成良好的習(xí)慣，關(guān)閉不必要的服務(wù)；電腦做到及時(shí)升級(jí)、更新系統(tǒng)補(bǔ)?。幌拗仆瑫r(shí)打開的Syn半連接數(shù)目；縮短Syn半連接的time out時(shí)間。

（2）設(shè)置網(wǎng)絡(luò)

a.防火墻的設(shè)置：限制同時(shí)打開的SYN最大連接數(shù)；限制特定IP地址的訪問；啟用防火墻的防DDOS的屬性；嚴(yán)格限制對(duì)外開放的服務(wù)器的向外訪問。

b.路由器：設(shè)置SYN數(shù)據(jù)包流量速率；將低版本的ISO及時(shí)升級(jí)；為路由器建立log server等方法。

TCP洪流攻擊、UDP洪流攻擊、ICMP洪流攻擊、畸形報(bào)文攻擊、應(yīng)用層攻擊是最典型的DDOS攻擊，同時(shí)DDOS攻擊也在不斷變化升級(jí)，學(xué)者們研究針對(duì)DDOS攻擊的防御措施變得越來越有應(yīng)用價(jià)值和現(xiàn)實(shí)意義。

參考文獻(xiàn)

[1]Zhang G，Parashar M.Coorporative defense against DDOSattacks. Journal of Research and Practice in Informa-tion Technology，2006.

[2]Yu， Shui，Zhou， Wanlei，Doss， Robin，et al.Traceback of DDOS attacks using entropy variations. IEEE Transactions on Parallel and Distributed Systems，2011.

[3]范斌，胡志剛，張健.一種基于數(shù)據(jù)融合的DDOS入侵檢測(cè)系統(tǒng)的設(shè)計(jì)[J].科技信息（學(xué)術(shù)研究），2007（32）.

作者簡(jiǎn)介：楊銘（1982，1-），女，籍貫：吉林長(zhǎng)春，工作單位：吉林電子信息職業(yè)技術(shù)學(xué)院，職稱：講師，學(xué)歷：研究生，研究方向：計(jì)算機(jī)應(yīng)用技術(shù)。