DOS攻击及其防范::河北通信2004年第三期:: ,,,攻击及其防范翟晓磊河北信息产业股份有限公司摘要 DOS 攻击是一种常见的有效而简单的网络攻击技术。

本文介绍了DOS 攻击的概念、原理和分类，阐述了DOS 攻击的技术扩展和防范技术，提出了针对整个系统的DOS 攻击防范策略建议，并展望了未来DOS 攻击技术和防范技术的发展趋势。

关键词 DOS DDOS DRDOS 防范 , 引言随着互联网的快速发展，网络安全已经成为我们生活中密不可分的部分。

而,,,攻击由于其攻击简单、易达目的而逐渐成为现在常见的攻击方式。

这种攻击最早可回溯到,,,,年,月。

在,,,,至,,,,年间，美国,,,,,,,陆续公布出现不同手法的,,,攻击事件。

,,,,年,月，,,,攻击发展到极致，全球包括,,,,,、,,,、,,,,在内的十多个著名网站相继被黑客以,,,,(分布式拒绝服务)的手法进行攻击，致使公司损失惨重，,,,攻击的严重性才真正浮上台面。

,,,,年,,月份，,,,,攻击又开始猖獗，全球,,台互联网域名解析服务器差点全被攻破。

对于业界来说，,,,攻击的原理极为简单，不过，迄今为止仍然没有一项技术能很好防范这类简单攻击。

本文针对正在抬头的,,,攻击，结合近日出现的新技术和产品，分析未来的攻击手段变化以及可能的防范措施。

, ,,,攻击概述 ,(, ,,,攻击的概念 ,,,(,,,,,, ,, ,,,,,;,，拒绝服务)攻击广义上指任何可以导致对方的服务器不能正常提供服务的攻击。

确切地说，,,,攻击是指故意攻击网络协议实现的缺陷或直接通过各种手段耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务，使目标系统停止响应甚至崩溃。

这些服务资源包括网络带宽、文件系统空间容量、开放的进程或者允许的连接等。

,(, ,,,攻击的原理与思想file:///C/Documents andSettings/Administrator/My Do... Sites/mysite2/txqk/2004-3/three--03-13 DOS攻击及其防范.htm(第 1,10 页)2007-6-28 9:54:49::河北通信2004年第三期:: ,,,攻击的基本原理是使被攻击服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。

要对服务器实施拒绝服务攻击，实质上的方式就是有两个: (,)迫使服务器的缓冲区满，不接收新的请求。

(,)使用，,欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接，这也是,,,攻击实施的基本思想。

图, 一个简单的,,,攻击的基本过程为便于理解，介绍一个简单的,,,攻击基本过程，如图,所示。

攻击者先向受害者发送众多带图, 一个简单的,,,攻击的基本过程有虚假地址的请求，受害者发送回复信息后等待回传信息，由于是伪?斓刂罚允芎φ咭恢钡炔坏交卮畔?峙涓獯吻肭蟮淖试淳褪贾詹槐皇头拧,笔芎φ叩却欢ㄊ奔浜螅踊嵋虺北磺卸希セ髡呋嵩俣却鸵慌钡刂返男虑肭螅庋锤唇校芎φ咦试唇缓木。

钪盏贾率芎φ咛被尽?,(, ,,,攻击分类在这里我们根据,,,攻击产生的原因，将其主要分为以下,种: (,) 利用协议中的漏洞进行的,,,攻击一些传输协议在其制定过程中存在着一些漏洞。

攻击者可以利用这些漏洞进行攻击致使接受数据端的系统当机、挂起或崩溃。

这种攻击较为经典的例子是半连接,,, ,,,,,攻击，如图,所示，该攻击以多个随机的源主机地址向目的主机发送,,,包，而在收到目的主机的,,, ,,,后并不回应，这样，目的主机就为这些源主机建立了大量的连接队列，而且由于没有收到,,,就一直维护着这些队file:///C/Documents and Settings/Administrator/My Do...Sites/mysite2/txqk/2004-3/three--03-13 DOS攻击及其防范.htm(第 2,10 页)2007-6-28 9:54:49::河北通信2004年第三期::列，造成了资源的大量消耗而不能向正常请求提供服务。

这种攻击利用的是,,,,，,协议的”三次握手”的漏洞完成。

由于攻击所针对的是协议中的缺陷，短时无法改变，因此较难防范。

图, ,,, ,,,,,攻击原理 (,)利用软件实现的缺陷进行的,,,攻击软件实现的缺陷是软件开发过程中对某种特定类型的报文或请求没有处理，导致软件遇到这种类型的报文时运行出现异常，从而导致软件崩溃甚至系统崩溃。

这些异常条件通常在用户向脆弱的元素发送非期望的数据时发生。

攻击者攻击时就是利用这些缺陷发送经过特殊构造的数据包，从而导致目标主机的瘫痪，如,,,攻击、,,,,,,,,攻击、,,,,攻击、，,,,碎片包攻击等。

(,)发送大量无用突发数据攻击耗尽资源这种攻击方式凭借着手中丰富的资源，发送大量的垃圾数据侵占完你的资源，导致电脑崩溃。

比如，,,, ,,,,,、,,,,,;,,,, ,,,,,等。

为了获得比目标系统更多资源，通常攻击者会发动,,,,攻击，从而控制多个攻击傀儡发动攻击，这样能产生更大破坏。

(,)欺骗型攻击这类攻击通常是以伪造自身的方式来取得对方的信任从而达到迷惑对方瘫痪其服务的目的最常见的是伪造自己的，,或目的，,(通常是一个不可到达的目标或受害者的地址)，或者伪造路由项目，或者伪造,,,解析地址等，受攻击的服务器因为无法辨别这些请求或无法正常响应这些请求就会造成缓冲区阻塞或者死机。

如，, ,,,,,,,, ,,,攻击。

,(, ,,,攻击的危害性及其难以防范的原因 ,,,攻击的危害性主要在于使被攻击主机系统的网速变慢甚至当机，无法正常的提供服务;最终目file:///C/Documents and Settings/Administrator/My Do...Sites/mysite2/txqk/2004-3/three--03-13 DOS攻击及其防范.htm(第 3,10 页)2007-6-28 9:54:49::河北通信2004年第三期::的是使被攻击主机系统瘫痪、停止服务。

现在网络上,,,攻击工具种类繁多，攻击者往往不需要掌握复杂技术，利用这些工具进行攻击就能够奏效。

也许可以通过增加带宽来减少,,,攻击的威胁，但是攻击者总是可以利用更多的资源进行攻击。

这就是为什么,,,攻击难以防范的原因。

, ,,,攻击技术扩展随着,,,攻击防范技术的不断加强，,,,攻击手法也在不断发展。

迄今，,,,攻击主要有,,,,、,,,,,、,,,,,,、,,,,,,以及，,,, ,,,等攻击手法。

其中,,,,由于破坏性大，难以抵挡，也难以查找攻击源，被认为是当前最有效的主流攻击手法。

而,,,,,作为,,,,的变体，是一种新出现的攻击手法，其破坏力更大，更具隐蔽性。

这里重点介绍,,,,攻击和,,,,,攻击。

,(, ,,,,攻击 ,,,,(,,,,,,,,,,, ,,,,,, ,, ,,,,,;,，分布式拒绝服务)，是在传统的,,,攻击基础之上产生的一种分布、协作的大规模攻击方式，主要目标是较大的站点，像商业公司、搜索引擎和政府部门的站点。

,,,,攻击是利用一批受控制的机器向一台机器发起攻击，这种攻击来势迅猛、令人难以防备，且具有较大的破坏性。

,,,,的攻击原理如图,所示。

从图,可以看出，一个比较完善的,,,,攻击体系包括以下四种角色: (,)攻击者:黑客所用的主机，也称为攻击主控台。

它操纵整个攻击过程，向主控端发送攻击命令。

(,)主控端:是攻击者非法侵入并控制的一些主机，这些主机分别控制大量的代理攻击主机。

其上面安装特定的程序，可以接受攻击者发来的特殊指令，并且可以把这些命令发送到代理攻击端主机上。

图, ,,,,攻击原理图file:///C/Documents andSettings/Administrator/My Do... Sites/mysite2/txqk/2004-3/three--03-13 DOS攻击及其防范.htm(第 4,10 页)2007-6-28 9:54:49::河北通信2004年第三期:: (,)代理攻击端:也是攻击者侵入并控制的一批主机，其上面运行攻击程序，接受和运行主控端发来的命令。

代理攻击端主机是攻击的执行者，真正向受害者主机发送攻击。

(,)受害者:被攻击的目标主机。

为发起,,,,攻击，攻击者首先寻找在，,,,,,,,上有漏洞的主机，进入系统后在其上面安装后门程序。

接着在入侵主机上安装攻击程序，其中一部分主机充当攻击的主控端，另一部分充当攻击的代理攻击端。

最后各部分主机在攻击者调遣下对攻击对象发起攻击。

由于攻击者在幕后操纵，所以在攻击时不会受到监控系统的跟踪，身份不易被发现。

现在实施,,,,攻击的工具主要有,,,,,,、,,,(,,, ,,,,, ,,,,, ,,,,,,,)、,,,;,,,,,,,,、,,,,,、,,,,,,, ,,、,,,,,、,,,,,,,,,等。

,(, ,,,,, ,,,,,(,,,,,,,,,,, ,,,,,;,,,, ,,,,,, ,, ,,,,,;, ,,,,;,，分布式反射拒绝服务攻击)是,,,,攻击的变形，与,,,,的不同之处就是它不需要在实际攻击之前占领大量傀儡机。

攻击时，攻击者利用特殊发包工具把伪造了源地址(受害者地址)的,,,连接请求包发送给那些大量的被欺骗的服务器，根据,,,三次握手规则，这些服务器群会向源，,(也就是受害者)发出大量的,,,，,,,或,,,包来响应此请求。

结果原来用于攻击的洪水数据流被大量服务器所分散，并最终在受害者处汇集为洪水，使受害者难以隔离攻击洪水流，并且更难找到洪水流的来源。

,,,,,攻击的结构如图,所示。

这里反射服务器是指当收到一个请求数据报后就会产生一个回应数据报的主机，如,,,服务器。

不象以往,,,,攻击，利用反射技术，攻击者不需要把服务器做为网络流量的放大器，甚至可以使洪水流量图, ,,,,,攻击结构图变弱，最终才在目标服务器处合为大容量的洪水。

这样的机制让攻击者可以利用不同网络结构的服务器作为反射服务器以发起攻击。

现在有三种特别有威胁的反射服务器:,,,服务器、,,,,,,,,服务器和基于,,,,，,的服务器(特别是,,, 服务器)。

,(, 其它的,,,攻击file:///C/Documents andSettings/Administrator/MyDo... Sites/mysite2/txqk/2004-3/three--03-13 DOS攻击及其防范.htm(第5,10 页)2007-6-28 9:54:49::河北通信2004年第三期:: 其它的,,,攻击手法主要有利用,,,,，,协议进行的,,, ,,,攻击，如,,, ,,,,,攻击、,,,,攻击、,,,,,,,,攻击;利用,,,服务进行的,,, ,,,攻击，如,,,,,,,, ,,,攻击;利用，,,,协议进行的，,,, ,,,攻击，如,,,, ,, ,,,,,攻击、,,,,,攻击等等。