張靜靜　中國電信股份有限公司江西分公司高級技術經理

產品與技術方案

如何在企業(yè)中應對DDoS攻擊

張靜靜中國電信股份有限公司江西分公司高級技術經理

隨著Internet互聯(lián)網絡帶寬的增加和多種DDoS工具的不斷發(fā)布，DDoS拒絕服務攻擊的實施越來越容易，DDoS攻擊隨處可見，業(yè)界為克服DDoS攻擊進行了大量研究，提出了多種解決方案。

DDoS拒絕服務 網絡攻擊

1　DDoS攻擊的發(fā)展

隨著Internet互聯(lián)網絡帶寬的增加和多種DDoS工具的不斷發(fā)布，DDoS拒絕服務攻擊的實施越來越容易，DDoS攻擊事件正在呈上升趨勢。出于商業(yè)競爭、打擊報復和網絡敲詐等多種因素，導致很多IDC托管機房、商業(yè)站點、游戲服務器、聊天網絡等網絡服務商長期以來一直被DDoS攻擊所困擾，隨之而來的是客戶投訴、同虛擬主機用戶受牽連、法律糾紛、商業(yè)損失等一系列問題。因此，解決DDoS攻擊問題成為網絡服務商必須要考慮的頭等大事。

分布式拒絕服務攻擊DDoS是搞信息安全的人都非常頭疼的問題。本文系統(tǒng)分析了DDoS攻擊的原理和攻擊思路，從管理和技術兩個方面提出一些關于減少DDoS攻擊方法。

在探討DDoS之前首先要對DoS有所了解，DoS即DenialOfService，拒絕服務的縮寫。DoS是指故意的攻擊網絡協(xié)議實現(xiàn)的缺陷或直接通過野蠻手段殘忍地耗盡被攻擊對象的資源，目的是讓目標計算機或網絡無法提供正常的服務或資源訪問，使目標系統(tǒng)服務系統(tǒng)停止響應甚至崩潰，而在此攻擊中并不包括侵入目標服務器或目標網絡設備。通常而言，DoS的網絡數(shù)據(jù)包是利用TCP/IP協(xié)議在Internet傳輸，這些數(shù)據(jù)包本身一般是無害的，但是如果數(shù)據(jù)包異常過多，就會造成網絡設備或者服務器過載，迅速消耗了系統(tǒng)資源，造成服務拒絕，這就是DoS攻擊的基本工作原理。

2　研究背景

DoS攻擊之所以難于防護，其關鍵之處就在于非法流量和合法流量相互混雜，防護過程中無法有效地檢測到DoS攻擊。加之許多DoS攻擊都采用了偽造源地址IP的技術，從而成功地躲避了基于統(tǒng)計模式工具的識別（見圖1）。

（1）從攻擊者和攻擊方式分析

●利用被攻擊目標的漏洞，以比較技術化的方式讓被攻擊目標不能提供服務。比如，將目標服務器中的一個應用系統(tǒng)服務進程搞宕。

●以分布式的僵尸網絡為攻擊源，對于目標系統(tǒng)發(fā)起沒有針對性的攻擊。比如，一個大范圍的分布式僵尸網發(fā)起一個Ping或者TCP半連接攻擊，造成目標系統(tǒng)的系統(tǒng)資源耗盡。

●以分布式的僵尸網絡為攻擊源，實現(xiàn)用錄制、腳本等方式模擬出一個非常真實的訪問過程，然后讓這個大規(guī)模僵尸網絡同時向目標系統(tǒng)發(fā)起請求。

（2）站在被攻擊目標之前進行保護

如果針對這些拒絕服務攻擊，第一種方式已經和一般性攻擊的防護方式相同的。一般來說，用IDS、IPS 和UTM等安全設備是可以基本解決這第一種問題的。是否有效，就是看你能不能識別出這種攻擊的特征，并且有針對性地阻斷和處理?，F(xiàn)在來說，這類的拒絕服務攻擊已經不是大家最最頭疼的問題了。

對于第二種攻擊方式。已經比第一種攻擊方式要難一些。但是，畢竟攻擊流還是有特征可以總結出來的。判斷至少有兩個：其一是有攻擊特征；其二是大量的數(shù)據(jù)流沒有業(yè)務意義。那么，經過流量過濾和清洗就可以將這些惡意流分離出來。IPS系統(tǒng)或者IPS系統(tǒng)陣列，配合導流等機制可以在一定程度上解決這個問題。

圖1　在被攻擊目標之前進行保護

但是，如果攻擊流沒有特征，而且還和目標系統(tǒng)的業(yè)務有關聯(lián)，這個時候就難于將攻擊流和正常訪問流量區(qū)別開。這個時候，系統(tǒng)拒絕服務完全是由于資源耗盡導致的，可能是主機資源耗盡，可能是帶寬資源耗盡。那么站在目標系統(tǒng)主機之前進行防護幾乎是不能產生效果的。那么怎么辦呢？

（3）擋在被攻擊目標前面的區(qū)域性防護

面對大規(guī)模分布式拒絕服務攻擊，在目標系統(tǒng)緊跟前難于有效地抵御攻擊，防御體系常常被性能壓力打垮。所以，要降低單點的性能壓力，就有必要將防御機制前移。那么我們可能就有必要將防護區(qū)域拓展到目標系統(tǒng)更前面的縱深網絡中。

對于第二種形態(tài)的分布式拒絕服務攻擊，可以在前端的縱深網絡地區(qū)，增加檢測和過濾機制。只要能夠在之前了解攻擊流的部分特征，那么在前端的縱深區(qū)域較早地進行清洗。當然，這時解決攻擊問題的難點就是如何能夠檢測清楚哪些是攻擊流。

（4）針對攻擊源的反制

對于第一種和第二種形態(tài)的拒絕服務攻擊，可以在采用有效的檢測機制支持下，在防御體系中加以一定程度的防范。但是，對于第三種攻擊，就基本上無法在防御方有所作為了。

現(xiàn)在的方式僅僅防御地區(qū)前移已經無效了。那么，唯一的方式就是既前移防御區(qū)域，也要前移應對時間。也就是在攻擊尚未發(fā)生的時候，就對于攻擊主體的僵尸網絡和僵尸網絡后面的幕后操縱者進行檢測并處理。從原理上說，如果有足夠的檢測覆蓋度，發(fā)現(xiàn)在覆蓋范圍內的僵尸網絡并不是技術上的難點。也就是說，如果一個負責任的網絡，是比較容易做到自己不成為僵尸網絡的。所以，這個問題主要就變成了一個公共安全機制和法律依據(jù)問題了。

（5）通過調整被攻擊目標的服務模式來規(guī)避

分布式拒絕服務攻擊的原理，就是因為攻擊者掌握著一個非常大的僵尸網絡資源。這個僵尸網絡的資源規(guī)模與被攻擊目標的服務能力不能匹配。也就是由于出現(xiàn)N對“1”的關系，使得在“1”的位置會非常被動。那么，也許我們可以將這個1拆分開，這樣可以分解整個目標服務體系的壓力。例如，CDN內容分布式網絡（ContentDistributedNetwork），用分布式的服務來對抗分布式拒絕服務。

3　應對DDoS攻擊的技術實踐

到目前為止，進行DDoS攻擊的防御還是比較困難的，主要是由于這種攻擊的特點是它利用了TCP/IP協(xié)議的漏洞，除非你不用TCP/IP，才有可能完全抵御住DDoS攻擊。不過這不等于就沒有辦法阻擋DDoS攻擊，可以從管理和技術兩個方面減少DDoS的攻擊。

對于普通用戶，要加強每個網絡用戶的安全意識，安裝殺毒軟件，并保持病毒庫及時更新，安裝軟件或者硬件防火墻，不從不名網站下載軟件，不訪問一些不名網站，不打開不名郵件，盡量避免黑客入侵種值木馬最終成為“肉雞”。

對于國家層面，需要國家立法單位，對網絡犯罪進行立法，對傳播病毒，木馬，和進行黑客攻擊的行為進行定性，并有法可依，保障國家信息高速網絡平臺的安全，為國內信息化建設保駕護航。對我們的一些網絡運營平臺用戶，如經營性網站、門戶網站、網上交易平臺、網絡游戲提供商、網吧、VoIP提供商等，也要加強網絡出口的防護，發(fā)現(xiàn)和舉證攻擊行為，做好日志記錄，并利用硬件防護設備，最大程度地減少黑客攻擊的危害，保障經營性平臺的正常運行。

在技術的手段上，還應加強以下幾點：

（1）確保服務器的系統(tǒng)文件是最新的版本，并及時更新系統(tǒng)補丁。

（2）關閉不必要的服務。

（3）限制同時打開的SYN半連接數(shù)目。

（4）縮短SYN半連接的TimeOut時間。

（5）正確設置防火墻。

禁止對主機的非開放服務的訪問，限制特定IP地址的訪問，啟用防火墻的防DDoS的屬性，或者使用專用的抗DDoS設備。嚴格限制對外開放的服務器的向外訪問，運行端口映射程序禍端口掃描程序，要認真檢查特權端口和非特權端口。

（6）認真檢查網絡設備和主機/服務器系統(tǒng)的日志。只要日志出現(xiàn)漏洞或是時間變更，那這臺機器就可能遭到了攻擊。

（7）限制在防火墻外與網絡文件共享。這樣會給黑客截取系統(tǒng)文件的機會，主機的信息暴露給黑客，無疑是給了對方入侵的機會。

（8）路由器，以Cisco路由器為例，Cisco Express Forwarding（CEF），使用UnicastReverse-path，訪問控制列表（ACL）過濾，設置SYN數(shù)據(jù)包流量速率，升級版本過低的ISO，為路由器建立logServer。我們的運營商有義務在網絡平臺升級和建設的過程中，有效在各個節(jié)點抵御黑客惡意攻擊的行為，以凈化我們的網絡。不光僅僅是只加強可以看到效益的終端平臺，如IDC機房的抗DDoS防護，而是應該在網絡的各個節(jié)點都加強防護，在接入端進行DDoS防護和源地址檢測，使得黑客的主機或者占領的“肉雞”，無法拉起大量帶寬，有效記錄各種用戶（特別是網吧用戶）的網絡行為，建立電子檔案，以協(xié)助公安部門對網絡犯罪進行調查，為指證犯罪提供證據(jù)。

4　結束語

對DDoS的原理與應付方法的研究一直在進行中，找到一個既有效又切實可行的方案不是一朝一夕的事情，因此此時需要我們公安、運營商、網絡安全廠商、網絡的用戶，在意識到網絡攻擊問題的嚴重性前提下，多方配合，共同加強網絡平臺安全性的建設性，凈化我們的網絡，不給黑客以生存的攻擊，保障我們十幾年來信息網絡平臺建設的成果，為我國的經濟建設提供堅固安全的網絡信息化平臺。減少企業(yè)因為信息泄露而導致的損失。

1 鮑旭華，洪海，曹志華.破壞之王:DDoS攻擊與防范深度剖析.機械工業(yè)出版社

2 魏興國.云盾防DDoS文獻之敵情篇——DDoS攻擊原理

3 防DDoS文獻之敵情篇.DDoS攻擊原理

4 防DDoS文獻之應對篇.DDoS防御方案

5 淺談DDoS攻擊與防御

Howto Deal withDDoSAttack in the Enterprise

With the Internet bandwidth increase and a variety of DDoS tools are continuously being released， DDoS attack is implemented more and more easily， DDoS attack prevails everywhere， in order to overcome DDoS attack， the industry carrys out a largenumberof research， and put forward a variety of solutions.

DDoS，denialofservice，networkattack