1、科技与创新Science and Technology&Innovation1082023 年 第 03 期文章编号:2095-6835(2023)03-0108-03DDOS 分布式拒绝服务网络攻击策略郑雪弘(广州华立学院,广东 广州 510000)摘要:受到科学技术创新与发展的影响,中国计算机网络技术水平得到明显的提升。在计算机使用过程中容易受到分布式拒绝服务网络攻击,即 DDOS,容易造成计算机服务器和计算机网络瘫痪,导致计算机网络无法正常提供服务、网络服务器受到一定的损失。针对 DDOS 分布式拒绝服务网络攻击进行讨论分析,明确常见的 DDOS 分布式拒绝服务网络攻击方法,提出针对性的
2、网络攻击防御策略。关键词:DDOS;DOS;攻击方法;防御策略中图分类号:TP393文献标志码:ADOI:10.15913/ki.kjycx.2023.03.0331DDOS 分布式拒绝服务网络攻击概述随着科学技术不断发展,中国信息网络技术也得到明显的提升。自 21 世纪起,黑客们为了达到自己不正当目的,开始使用一种分布式拒绝服务网络攻击,即 DDOS。受到 DDOS 分布式拒绝服务网络攻击的影响,大量的网络服务器不能正常提供网络服务,容易造成严重的损失。DDOS 分布式拒绝服务攻击主要借助服务器技术,把多个计算机联合对一个或是多个计算机展开 DDOS 网络攻击,导致多个计算机会在同一时间内受
3、到攻击。DDOS 分布式拒绝服务攻击容易产生成倍的拒绝服务攻击,对于计算机网络的攻击力度非常强1。1.1DDOS 分布式拒绝服务网络攻击特点分析在深入研究后发现,DDOS 分布式拒绝服务网络攻击准备时间非常长,在主机网络攻击完成之后才能进行从机网络攻击。需要注意的是,只有从机安装必要的系统程序之后才能进行网络攻击,在网络服务攻击指令的支配下,通过系统程序向计算机服务器发送大量的虚假地址,而服务器接收到信息后需要进行信息回转,由于地址是虚假的,所以计算机服务器在进行信息回传时处于等待状态,在经过一定时间的服务器等待期后,服务器连接超时致使服务器信息传输渠道切断,但是从机由于受到服务网络攻击持续向
4、服务器发送服务请求,在反复的服务请求发送过程下,不断消耗服务器资源,进而导致计算机网络系统崩溃。1.2DDOS 分布式拒绝服务网络攻击方式分析从攻击方式角度来说,DDOS 分布式拒绝服务网络攻击具有很多的攻击方式。DOS 攻击主要是通过合理化的服务请求来占用服务器资源,导致合法用户不能得到应有的服务响应。相比之下,DDOS 攻击是基于 DOS 攻击的一种特殊形式,具有更强的攻击力度以及更大的攻击范围。以往的 DOS 网络攻击是通过单一式攻击实现的,如果要攻击的计算机服务器 CPU 运转速度低、内存小等数据指标性能不高,DOS 网络攻击的效果会比较明显。如果计算机受到 DDOS 分布式拒绝服务网
5、络攻击,将会出现一些特定的网络现象,例如受到 DDOS 分布式拒绝服务网络攻击的计算机主机会存在大量的 TCP 连接等待,导致计算机网络出现大量无用的网络数据包,大量的网络数据包使计算机网络运行时出现网络堵塞问题。DDOS 分布式拒绝服务网络攻击下的主机不能与外界取得联系,并且主机在提供服务以及传输协议方面存在一定缺陷,进而使主机持续发送服务请求,无法及时进行服务请求处理,从而造成计算机服务系统崩溃。1.3DDOS 分布式拒绝服务网络攻击现象分析从 DDOS 分布式拒绝服务网络攻击现象来看,DDOS 分布式拒绝服务网络攻击也具有一定特性。展开 DDOS 分布式拒绝服务网络攻击需要集中攻击目标流
6、量地址,使攻击的过程中不存在拥塞控制。黑客在实际的 DDOS 分布式拒绝服务网络攻击过程中可以选择使用随机端口来攻击,之后利用数千端口向攻击目标发送大量的服务数据包,使用固定的端口进行攻击的时候,会向同一个端口发送大量的数据包。DDOS 分布式拒绝服务网络攻击现象如表 1所示。Science and Technology&Innovation科技与创新2023 年 第 03 期109表 1DDOS 分布式拒绝服务网络攻击现象现象重定向型漏洞利用资源消耗关键TCP网络协议缺陷计算机软件漏洞服务占用资源基本原理利用 TCP 网络协议缺陷或是修改ARP 缓存、DNS缓存等关键参数,使目标传输数据被重
7、定向到错误的网络地址利用软件中存在的漏洞,致使服务器崩溃或是系统异常通 过 大 量请求 占 用 网络宽 带 或 系统资源,从而导致 服 务 可用性 下 降 甚至丧失利用方式ARP 欺骗、DNS欺骗漏洞利用程序洪水攻击、僵尸网络特点条件苛刻,效果明显依赖漏洞,更脆弱,效果明显效果不明显、难以实现防御策略依赖静态表、防火墙、入侵检测安全更新、补丁程序预防、检测、响应、容忍2DDOS 分布式拒绝服务网络攻击常用方法DDOS 分布式拒绝服务网络攻击存在多种攻击方法。在计算机技术与网络技术不断发展与创新下,计算机系统对于各项系统问题的处理能力也明显提升。在计算机软硬件与计算机技术共同进步下,信息网络规模
8、逐渐扩大,对于单一的 DOS 攻击已经具备了较强的防御能力,使 DOS 攻击难度明显提升。在这样的形势下,DDOS 分布式拒绝服务网络攻击顺应形势而生。DDOS 分布式拒绝服务网络攻击采用大量的傀儡机进行攻击,比 DOS 的攻击规模明显提升,对计算机业务系统的伤害也更大,导致受攻击的计算机网络业务系统瘫痪,甚至崩溃。DDOS 分布式拒绝服务网络攻击方法主要有以下 4 种。2.1SYN-Flood 洪水攻击SYN-Flood 洪水攻击作为目前比较常见的 DOS 以及 DDOS 分布式拒绝服务网络攻击,主要是利用 TCP协议缺陷展开攻击。首先,由客户端发送一个包含 SYN同步标志的 TCP 报文,
9、请求和服务器端连接;服务器将返回一个 SYN+ACK 的报文,表示接受客户端的连接请求;客户端随即返回一个确认报文 ACK 给服务器端,至此一个 TCP 连接完成。SYN-Flood 攻击者攻击前伪造一个源 IP 非自身 IP 的 SYN 报文,将此报文发送给服务器端,服务器端在发出 SYN+ACK 应答报文后是无法收到客户端的 ACK 报文的(第三次握手无法完 成),这 种 情 况 下服 务 器 端 一 般 会 重 新 发 送SYN+ACK 给客户端,并等待一段时间后丢弃这个未完成的连接,当攻击者发出大量这种伪造的 SYN 报文时,服务器端将产生大量的“半开连接”,消耗非常多的 CPU 和内
10、存资源,结果导致服务器端计算机无法响应合法用户的请求了。此时从正常客户的角度看来,服务器失去响应。针对计算机网络系统 SYN 攻击,可以通过减少服务器端计算机 SYN+ACK 应答报文重发次数和等待时间进行一定程度上的防范,但对于高速度发来的 SYN 包,这种方法也无能为力。2.2Land 攻击Land 攻击作为 DOS 以及 DDOS 攻击中常用的一种攻击方法。在 Land 攻击中,发送给目标主机的 SYN包中的源地址和目标地址都被设置成目标主机的IP 地址,这将使目标主机向它自己的IP地址发送SYN-ACK消息,之后该地址会发回 ACK 消息并创建一个空连接,每一个这样的连接都将保留直到超
11、时。这样也会占用大量资源,严重时 UNIX 系统往往崩溃,而计算机网络系统也会运行缓慢。为了能够预防 Land 攻击,通常会配置计算机网络系统防火墙,将外部发来的确含有内部源 IP 地址的数据包进行过滤,以此来防止Land 攻击。2.3Smurf 攻击在 DDOS 分布式拒绝服务网络攻击中,Smurf 攻击实际上是 DOS 攻击的一种放大效果的攻击方式,能够利用 TCP 协议中的定向广播特性,攻击者利用计算机网络中的广播设备发送源地址假冒为被攻击者地址的 ICMP 响应请求数据包,由于广播的原因,网络上所有收到这个数据包的计算机都会向被攻击者作出回应,从而导致受害者不堪重负而崩溃。为了防范这种
12、攻击,最好关闭外部路由器或防火墙的地址广播功能。还有一种 Fraggle 攻击原理和 Smurf 攻击原理相同,只不过使用的 UDP 应答消息而不是 ICMP。可以通过在防火墙上过滤 UDP 应答消息实现对这种攻击的防范。2.4UDP-Flood 攻击如今在 Internet 上 UDP(用户数据包协议)的应用比较广泛,很多提供 WWW 和 Mail 等服务设备通常是使用 Unix 的服务器,它们默认打开一些被黑客恶意利用的 UDP 服务。如 Echo 服务会显示接收到的每一个数据包,而原本作为测试功能的 Chargen 服务会在收到每一个数据包时随机反馈一些字符。UDP-Flood假冒攻击就
13、是利用这2 个简单的 TCP/IP 服务的漏洞进行恶意攻击,通过伪造与某一主机的 Chargen 服务之间的一次的 UDP 连接,回复地址指向开着 Echo 服务的一台主机,通过将 Chargen 和 Echo 服务互指,来回传送毫无用处且占满带宽的垃圾数据,在 2 台主机之间生成足够多的无用数据流,这一拒绝服务攻击飞快地导致网络可用带宽耗尽。3DDOS 分布式拒绝服务网络攻击防御策略随着 DDOS 恶性攻击事情的不断出现,互联网环科技与创新Science and Technology&Innovation1102023 年 第 03 期境以及网站的安全性问题也在不断曝光,当前网站的安全处于一
14、种非常脆弱的状态,未来的 DDOS 防范工作应从每个运行的关键点上层层加深防御力度,在深谙 DDOS 的攻击路数以及规律特点之后,采取相应的措施,将 DDOS 攻击所带来的影响降到最低。在计算机网络运用过程中,DDOS 分布式拒绝服务网络攻击的主要防御策略是入侵检测、流量过滤以及多重验证,主要是将堵塞网络宽带的流量进行过滤,确保正常流量能够正常运行。3.1防火墙在 DDOS 分布式拒绝服务网络攻击过程中,可以选择防火墙串联的方式来进行防御。尤其是对一些流量达到几十个 G 的运营商骨干网络来说,受到计算机网络系统防火墙技术以及防御能力水平的限制,导致现有的防火墙设备超载,计算机网络系统不能正常运
15、行。防火墙在对 DDOS 分布式拒绝服务网络攻击的防御功能下吞吐量也将更低,即便是技术含量非常高的防火墙设备也会存在超负荷的问题。除此之外,防火墙安全防御设备对于网络系统上行设备的保护能力比较差,拓展性比较差,并且对于计算机网络用户资源的保护能力也比较差。3.2交换机在计算机网络系统应用过程中,大部分的交换机都具备一定的网络传输速度限制以及访问控制能力。交换机设备具有自动速度限制、后期连接以及假 IP 过滤等功能,能够有效检测并过滤 DDOS 分布式拒绝服务网络攻击。比如,SYN-Flood 洪水攻击是能够利用交换机后期连接功能进行预防。并且,一些基于服务占用资源展开的 DDOS 分布式拒绝服
16、务网络攻击也能够通过深度包检测来被阻止。3.3路由器路由器也是 DDOS 分布式拒绝服务网络攻击重要防御策略。一些企业型网络用户会通过服务提供商进行骨干网络配置,进行路由器部署。当前中国现有的路由器部署有数据限制以及作访问控制列表 2 种,以上 2 种都能够归纳为 ACL。ACL 在 DDOS 分布式拒绝服务网络攻击防御方面也存在一些问题。对于来自互联网的 DDOS 攻击,无法制作面向源地址的用户访问列表,因为计算机网络源地址出处具有非常强的随意性与随机性,无法做到精准定位,只能进行面向目的地址的 ACL,将面向该服务器的访问控制量一一罗列,把请求连接的数据包全部屏蔽在外,导致网络用户服务受到影响。另外,将 ACL 设置在电信骨干网络,会导致电信网络访问控制量管理工作难度提升2。同时,ACL 在使用的过程中带有非常强的局限性,对于虚假攻击以及针对应用层的攻击不具备识别能力。4结束语在面对 DDOS 分布式拒绝服务网络攻击时,应尽量保持网络服务,并迅速恢复网络服务。DDOS 分布式拒绝服务网络攻击能够入侵大量的网络机器以及网络设备,因此要进行 DDOS 攻击防御,还是要从根本上提升计算机
