计算机光盘软件与应用 2010年第8期 Computer CD Software and Appl i cat i ons 工程技术 DDOS攻击的应用与防范 褚江 (宁夏大学成人教育学院,银川 750011) 摘要:高速发展的网络技术给人们带来了方便,也为黑客攻击创造了条件,DDOS攻击时常发生。为消 除DDOS攻击的危害人们进行大量探索研究,提出了多种解决方案。本文在分析DDOS攻击原理和实例的基础 上,阐述了防范DDOS攻击的方法与对策。 关犍词:DDOS攻击;防范对策 中图分类号:TN918.1 文献标识码:A 文章鳊号:1007—9599(2010)08—0089—02 The Application&Precaution of DDoS Attacking Chu diang (Dult Education College of Ningxia University,Yinchuan 75001 1,China) Abstract:The rapid development of network technology has brought convenience for people and created favorable conditions for hackers attacking,in which DDOS attacking happens all the time.In order to eliminate the harm of DDOS attacking,people did lots of research and presented several kinds of solutions.On the base of analyzing the theory of DDOS attacking and instance,this paper expounds the strategy and solution which on guard against DDOS attacking. Keywords:DDOS attacking;Precaution strategies 一、概述 现在电脑用户有时会发现自己正在网上冲浪,在没有任何征 兆的情况下,速度突然很慢,电脑几乎瘫痪,只有通过冷启动重 新上网,或能躲过一劫。亦有很多服务器的管理员或网站的站长, 莫名其妙的接到恐吓电话,要求他们把规定数目的钱在规定的时 间打到规定的存折里。如果站长或管理员拒绝,那么很快,网站 就无法访问,管理员的服务器也会瘫痪,不得不重新启动,因为 服务器的重启是一个漫长的过程,尤其是在服务器重启过程中, 该服务器上的数百个网站都无法访问,这对于服务器提供商和网 站站长都是一个巨大的损失,所以,很多站长或管理员往往都不 得不打钱息事宁人。 暴利,省力,入门快,无风险。这些DDOS攻击的特点无疑吸 引着无数的电脑技术发烧友。所以,防范DDOS攻击已经刻不容缓。 下面,笔者将介绍攻击者使用DDOS攻击工具攻击受害者的大致过 程,并将针对这些攻击手段给出尽可能有效的防范方法。(这里, 笔者以“雪花DDOS攻击器体验版”为例对DDOS攻击进行介绍。) 二、攻击者使用DDOS攻击的大致过程 (一)攻击前准备工作 图2 接下来就可以配置并声称用于控制他人电脑的服务端了。双 击“服务器生成器.exe”,如图2,其中的域名,即为本地电脑的 IP地址。这个IP地址大家可以到“wWW.ip138.com”来查看。图 3中的“端口”,即填前面“雪花DDOS攻击器体验版。exe”中所 填的端口号。接下来,点击“生成服务端”即可生成用于控制他 人电脑的服务端文件。如图3 图3 首先,从百度搜索并下载“雪花DDOS攻击器体验版”下载完 成后双击运行“雪花DDOS攻击器体验版.exe”。它的界面如图1, 点击“端口设置”程序的默认端口为1800,我们亦可以任意在l _l65535这些端口之间选择更换,填写完端口后,点击“应用” 即可。 攻击者常见的传播服务端的手段有两种: 1.挂马。这种方法是攻击者首先入侵一个网站,拿下该网站 的“写”操作权限,然后用批量挂马技术将网站的每一个网页都 挂上浏览网页木马的恶意代码 如果攻击者拿下了一个网站的 Webshel1,那么他就可以每天控制数十台电脑,但若果攻击者的 技术比较“高”,他们会通过一个网站的Webshel1“提权”来拿 下整个服务器上存储的所有网页的“写”操作权限,一台服务器 中一般会有数百个网站,攻击者在该服务器挂上了马之后,开始 的几天里每天就会有六七千甚至近万台电脑被攻击者所控制。 2.捆绑。攻击者还可以通过捆绑器实现木马的传播。首先, 他会找一个比较吸引人眼球的视频文件。然后,用冰枫文件防火 墙对用于控制他人电脑的“落雪肋os攻击器体验版”的服务端做 免杀。随后,再用捆绑工具将服务端与视频文件做一捆绑,再 给捆绑结果冠一个火辣的名字。接下来,他们会把这些“带毒的 苹果”上传到“电驴”“脱兔”等下载工具和一些大的论坛上。最 终,用这种方法,他们也会获得大量的他人电脑的控制权。 (二)开始攻击 准备工作完成了,下面攻击者将会组织对目标的攻击。通常, 他们的攻击目标有:网站,服务器,网吧,个人PC机。 1.攻击网站与服务器。攻击网站与攻击服务器的方法差不多, 因为网站的内容都在服务器的硬盘上。所以网站的IP地址,就是 一该网站所在服务器的IP地址。攻击网站实际上就是攻击该网站所 一89一 计算机光盘软件与应用 工程技术 Computer CD Software and Appl ications 2010年第8期 处的服务器。我们回到前面的“雪花DDOS攻击器体验版”的操作 自身安全:无IP地址,网络隐身。 (2)防护种类。能够对SYN风暴,UDP风暴,ICMP风暴,HTTP 界面。如图4,如果抓到的肉鸡上线了,我们就可以在“上线信 息”选项中看到上线的主机。在软件界面的下方,可以看到在“设 GET风暴等攻击进行防护。 可以防止连接耗尽,主动清除服务器上的残余连接。提高网 置”栏中,有“全选在线主机”“反选在线主机”“全选SYN主机” 和“全选UDP主机”等多个选项。攻击者可以通过对这些选项的 络服务的质量。可以抑制网络蠕虫的扩散。可以防护DNS查询风 操控,对受害者进行傀儡机对目标的批量攻击,或对所控制的用 暴,保护DNS服务器正常运行。于控制肉鸡的服务端文件进行批量卸载。 可以给各个端口扫描软件反馈迷惑性信息,因此可对其他类 切换到“攻击设置”选项卡,如图4,如要攻击网站,只需 型的攻击起到防护作用。 (3)防护性能。黑洞现在有百兆,千兆两款产品,分别可以 在“攻击目标”后面的输入栏里,输入要攻击网站的域名即可。 般的网站,使用“无限cc”这种攻击方式即可。并且,并非线 在相应网络环境下实现对高强攻击的有效防护。千兆黑洞主要用 程数越大攻击效果便越好,线程数越大,要求攻击者的硬件配置 于保护骨干线路上的网络设备,如防火墙,路由器,百兆黑洞主 越好(包括:CPU,内存,带宽等物理参数)。落雪DDOS攻击器的 要用于保护子网和服务器。2.天清防拒绝服务攻击系统。天清防拒绝服务攻击系统是启 正式版可以跨越软件防火墙的拦截,在攻击网站时,最好选择动 态页面的连接来进行攻击,这样效果会更好,线程数一般情况下 明星辰信息技术有限公司开发的防拒绝服务攻击的产品。该产品 保持默认就可以。 获得了颁发的销售许可证和国家信息安全产品测评认证中 心授予的安全产品型号证书。 天清防拒绝服务供给系统的使用特点: (1)即插即用,天清采用透明工作模式。在安装时可把本产 品看成一段网线。无需配置,无需管理,即插即用。 (2)无IP数量 (3)可实现多主机防护,一台天清可以保护单台主机,也可 以保护整个网段内任意数量的设备。 (4)主机识别机制,可以用来保护一个网段。如果DOS攻击 受保护主机中的一台或几台,那么对同网段内其它主机的正常访 问不会受到DOS的影响。 天清的管理功能包括: (1)访问控制。用户可以灵活地设定访问控制策略。 (2)支持MAC过滤,支持IP过滤。天清能够支持多重路由, NAT等比较复杂的网络环境。 (3)支持曰志查询,事件统计。 (4)自动生成报表,报表发送。 3.Mazu Enforcer。Mazu Enforcer是专为针对拒绝服务攻击 的,基于行为特征的入侵防御系统,其是 ̄azur网络公司的产品。 图4 Mazu Enforcer不单纯地通过流量进行拒绝服务攻击的检测, 攻击服务器与攻击网站的区别是:在图4的“攻击目标”后 而是通过多个网络特征的检查,包括:(1)带宽。(2)可疑数据 的输入栏中,填写服务器的IP地址即可。要想获得服务器的IP 流。(3)用户自定义。 地址。只需找到该服务期内所存的某一网站域名,然后在cmd窗 当检测到拒绝服务攻击后,Mazu Enforcer通过数据包的过 口,输入“ping域名”即可在返回的信息中找到网站服务器的 滤保护受害者。其过滤器包括:(1)数据包特征过滤(2)SYN流 IP地址。 量控制(3)行为过滤(4)载荷特征过滤 2.攻击网吧。网吧都是采用光纤接入的上网方式,所以网吧 类似的产品还有北大方正的方正黑鲨(方正抗DDOS攻击产 的IP地址都是固定的。要想知道某网吧的IP地址,有两种办法, 品),傲盾的DDOS防火墙,金盾抗DDOS防火墙,天网抗DDOS防 第一种:从纯真官网下载最新舨的纯真IP数据库。打开,将功能 火墙等。 切换至“地址=>IP段”这个选项,然后再查询字段后的输入栏中, (三)中招以后的防范 输入攻击目标网吧所在的城市名称,然后点击“查询”。 当发现自己的网站或服务器已遭到DDOS攻击,最好的办法是 三、对DDOS攻击的防御办法 将我们的域名改为“雪花DDOS攻击器“的唯一的本地域名 DDOS攻击的防点有三,它们分别是:传播根源,传播途径及 “127.0.0.1”让攻击着自己攻击自己。这样,由于资源的迅速消 中招之后。 耗,攻击者很快就会停止对受害者的DDOS攻击。 (一)传播根源的防范 四、小结 因为DDOS攻击往往是一“群”电脑集体攻击的结果。所以我 从根本上说,DDOS攻击只能减轻不能彻底根治,即使拥有了 们要尽量避免运行攻击者散发的用于控制他人电脑的服务短文 强大的硬件也只是起到防御作用 但任何事物的出现都有其两面 件。为了防止挂马网页,我们应该勤打补丁,定期杀毒。并且养 性,核能的出现可以用于核电也可以用于核战,炸药的出现可以 成好的上网习惯:看邮件应先下载,杀毒,之后再浏览。对于下 用于开矿也可以用于杀戮。DDOS同样如此,恶人用在手中是他们 载的东西及别人传过来的文件,也一定要先扫毒,再打开。 敲诈的工具,而他在英雄们的手中就是攻击黄色网站,网络骗子, (二)传播途径的防范 民族敌人的利器。 安装防火墙,路由器等设备。因为DOS攻击会首先对他们进 参考文献: 行攻击。服务器不是PC机,它的重启时是一个漫长的过程,有时 『11李德全.拒绝服务攻击fM】.电子工业出版社,2007 服务器的重启还会导致服务器上的资源丢失。但是重启路由器却 【2】贾月琴,张宁,宋晓虹.对网络安全技术的讨论U】.微计算机 很快,可以象重启服务器那样暂时摆脱DDOS攻击。现在对抗DOS 信息,2005,3 攻击比较成熟的产品有: 1.黑洞抗拒绝服务攻击产品。它是一款国产的产品,由绿盟 作者简介 科技于2002年完成。有如下特点: 褚江(1985一),男,籍贯山东宁阳,现求学于宁夏大学计 (1)可操作性强。即插即用,无需配置即可实现全面防护(也 算机科学与技术专业,本科。 可通过配置实现特殊防护策略) 一
