DDoS拒絕服務的攻擊和安全防範技術

　　一、 DDoS拒絕服務的攻擊簡介

　　“拒絕服務(Denial-Of-Service)攻擊就是消耗目標主機或者網路的資源，從而幹擾或者癱瘓其為合法使用者提供的服務。”國際權威機構“Security FAQ”給出的定義。

　　DDOS則是利用多台電腦機，採用了分布式對單個或者多個目標同時發起DoS攻擊。其特點是:目標是“癱瘓敵人”，而不是傳統的破壞和竊密;利用國際互連網遍布全球的電腦發起攻擊，難於追蹤。

　　目前DDoS攻擊方式已經發展成為一個非常嚴峻的公用安全問題，被稱為“駭客終極武器”。但是不幸的是，目前對付拒絕服務的攻擊的技術卻沒有以相同的速度發展，TCP/IP互連網協議的缺陷和無國界性，導致目前的國家機制和法律都很難追查和懲罰DDoS攻擊者。DDoS攻擊也逐漸與蠕蟲、Botnet相結合，發展成為自動化播、集中受控、分布式攻擊的網路訛詐工具。據方正資訊安全技術有限公司的有關專家介紹，DOS從防禦到追蹤，已經有了非常多的辦法和理論。比如SynCookie，HIP(History-based IP filtering)、ACC控制等,另外在追蹤方面也提出許多理論方法，比如IP Traceback、ICMP Traceback、Hash-Based IP traceback、Marking等。但目前這些技術僅能起到緩解攻擊、保護主機的作用，要徹底杜絕DDoS攻擊將是一個浩大的工程技術問題。

　　二、攻擊原理

　　目前DDoS攻擊主要分為兩類:頻寬耗盡型和資源耗盡型。

　　頻寬耗盡型主要是堵塞目標網路的出口，導致頻寬消耗不能提供正常的上網服務。例如常見的Smurf攻擊、UDP Flood攻擊、MStream Flood攻擊等。針對此類攻擊一般採取的措施就是QoS，在路由器或防火牆上針對此類資料流限制流量，從而保證正常頻寬的使用。單純頻寬耗盡型攻擊較易被識別，並被丟棄。

　　資源耗盡型是攻擊者利用伺服器處理缺陷，消耗目標伺服器的關鍵資源，例如CPU、記憶體等，導致無法提供正常服務。例如常見的Syn Flood攻擊、NAPTHA攻擊等。資源耗盡型攻擊利用系統對正常網路通訊協定處理的缺陷，使系統難於分辨正常流和攻擊流，導致防範難度較大，是目前業界最關注的焦點問題，例如方正SynGate產品就是專門防範此類的產品。

　　針對DDoS的攻擊原理，對DDoS攻擊的防範主要分為三層:Source-end攻擊源端防範、Router-based路由器防範、Target-end目標端防範。其中攻擊端防護技術有DDoS工具分析和清除、基於攻擊源的防範技術;骨幹網防護技術有會推技術、IP追蹤技術;目標端防護措施有DDoS攻擊探測、路由器防範、網關防範、主機設定等方法。