信息工程 E电子测试 LECTRONIC TEST 20第513年3期 月 关于DDoS防御机制分析 简校荥 (华南理工大学计算机科学与工程学院510006) 摘要:DDoS攻击是当前因特网面临的主要威胁之一。据相关统计显示,DDoS攻击在近年来的数量一直呈上升趋势,人们在实 践中充分认识到了DDoS攻击的破坏性,其能够使得整个网络瘫痪好几个小时。随着诸如Trinoo、TFN2K等DDoS攻击工具的 广泛传播,计算机网络在面临DDoS攻击方面的风险不断增加。本篇文章就这个对网络造成巨大威胁的DDoS进行了深入的研 究,并科学分析了关于DDoS防御机制。 关键词:DDoS攻击;防御机制;研究分析 On the DDoS defense mechanism analysis Jian Xiaorong (South China University of Technology 510006) Abstract:DDoS attack iS one of the main threatS in the current Internet. According t0 re1ated Stati SticS,DDoS attackS in recent Years,the number haS been on the upward trend,Peop1e fu1lv llnderstand the practice t0 devastating DDoS attackS。the PamalySi S 0f the entire netWOrk Can be made Several hourS. With the widespread DDoS attack t001 S SUCh as Trinoo, TFN2K. increasing the riSk of Computer network faced DDoS attackS. Thi S artiC1e poSes a great threat t0 the network DDoS—depth research and SCientifiC ana1ysiS on DDoS defense mechani sms. Keywords:DDoS attacks:defense mechanism:research and analysiS DDoS是分布式拒绝服务攻击的简称,DDoS工具不仅随处 在获取有效特性有难度,或者没有其他有效的DDoS防御措施的 可得、操作容易,而且简单有效、隐蔽性相对较强,同时具有非常 情况下使用的一种方法,要想保证网络的正常工作,只好将数据 广的攻击范围。近年来,DDoS攻击发生的频率不断提高,对于网 包随机丢弃,进而提供服务。当前,这样的方法丢弃的数据包不一 络系统与业主主机系统造成了巨大的影响,被计算机网络工程领 定是攻击数据包,而放行的却很有可能是攻击数据包。 域视为当前互联网最难解决的关键问题之一。因此,我们必须要 2_2 加强对计算机网络安全的防护,综合分析DDoS攻击的防御机制, i 报文的过滤工作进一步拓展到网 进而为网络安全提供重要保障。 络上。基于路由报文过滤的机制在网络的核心路由器中进行了大 1 DDoS防御机制的科学分类 量报文过滤器的部署,能够根据报文的目的地址与源地址,以及 边界网关的协议,进行报文的判断。假如某个报文的来源与其自 随着DDoS攻击频率的不断增加,以及DDoS问题的日益严 称的的来源不相符合,那么这个报文就必须要被丢弃。基于路由 重,DDoS防御机制随之增加。根据DDoS防御机制的活动水平, 报文过滤的优点就在于这个机制不会使用个别的主机地址进行 DDoS防御机制又被分为预防型防御机制与反应型防御机制。 过滤,而是充分利用了AS的拓扑信息。 1。’叩DDoS啧 预防型预防机制又被分为 攻击预防型防御机制 为DDoS攻击预防型防御机制 2.3通常情输入调试法 况下,路由器都是有调试功能的,是允许设备管理 与拒绝服务预防机制。DDoS攻击预防型防御机制是指通过对网 员对转发包的信息进行查看的,诸如端口、IP地址等。如果发生 络系统配置进行修改来使得DDoS攻击行为消除。拒绝服务预防 了DDoS攻击,网络管理工作人员需要根据攻击报文的特点,对被 机制能够使得被DDoS攻击的网络承受住一定程度的攻击,同时 攻击网络的边界路由器进行一定的调试,对网络报文进行跟踪, 还能够对合法用户提供服务。拒绝服务预防机制可以通过使用强 进而找到攻击报文的输入接口,最后实现对相关路由器的调试。 制资源使用,或者通过增加资源,使得合法用户不受到影响。 为了能够有效提高分析效率,Stone等开发了一个新的工具,即 2 Center Track,这个工具能够通过路由信息的改变来将管理区域 D 暖 s攻击对受害端的影响大大减 内的路由攻击包转发到一个固定的路由器上,进而从这一个路由 少。DDoS反应型防御机制的分类主要是从攻击的检测策略、合 器上获取所有路由器被攻击的信息。输入调试法通常只能使用在 作程度,以及响应策略方面进行的。按照攻击的检测策略进行分 一个管理域内,分析工作主要由手工来完成。在跟踪的整个过程 类,反应型防御机制又被分为基于模式的攻击检测机制、基于第 中,攻击活动必须始终在线,所有的这些不利因素都使得这个方 三方的攻击检测机制,以及基于异常的攻击检测机制。按照响应 法很难成为通用的DDoS攻击防御方法。 策略进行分类,反应型防御机制又被分为DDoS攻击识别机制、限 2.4流机制、重新配置机制,以及数据包过滤机制。按照合作程度进行 Cheswi有效洪泛法 ch与Burch提出了一种跟踪方法,这个方法建立在 分类,反应型防御机制又被分为自治机制、互依赖机制,以及助合 链路测试的基础上,必须要改动现有路由器的配置与相关功能。 作机制。 有限洪泛法是指充分利用之前生成的互联网拓扑,对于一些可能 在DDoS攻击路径上的路由器进行突发性流量的发送,进而实现 2 目前使用的ODoS防御机制 对DDoS攻击流的有效观察。假如某个路由器位于攻击路径上面, 2_’ 薷 当前,有一部分网络设备为了能够有效防御 攻击,穿 设备为了能够有效防御DDoS攻击,使 那么在发送突发性流量的时候,此路由器的丢包率势必会增加, 进而使得被攻击网络的攻击流减弱。有效洪泛法的优点就在于其 用了随机丢包(Random Drop)的方法。随机丢包的方法充分发挥 不需要对现有路由器的功能与配置进行改动。其主要的缺点在于 了网络设备的特性,网络设备通常在流量较大的时候,会采取丢 追踪方法本身就是DDoS攻击,导致网络堵塞是必然的,而且这个 包的方法来使得其自身功能得到正常的发挥。随机丢包的方法是 方法是不能够用在DDoS攻击中的,只用于DDoS攻击的追踪。 (下转第153页) ・15l・ 信息工程 E电子测试 LECTRONIC TEST 20第513年3期 月 的第一步。近年来,陆续出现了集成防火墙的“互联网安全套装”, 友打电话核实后再进行操作。网络购物时尽量去网络交易安全 应用最广泛的“互联网安全套装’,就是360软件。 的平台,选择安全的交易环境,网购最好使用自己的电脑,尽量 少用网吧等公共电脑。网购时要仔细甄别网站,选择专业购物 3.2升级操作系统 ・ 由于系统程序有缺陷,操作系统开发商和应用系统开发商 网站,核实该网站是否具有通信管理部门颁发的经营许可证 会定期推出补丁程序,这些程序可以弥补系统和软件的安全漏 书,避免钓鱼网站。钓鱼网站终归是假网站,可尝试多点击几个 洞,定期升级,可以弥补安全漏洞,不给黑客留有可乘之机。 页面,以发现网页是否有错误。钓鱼网站的登录框通常无法校 验数据真实性,可尝试随意输入字符,如能登录,则可判断为假 3.3数据信息保护 尽量不共享数据,如果需要共享,应该给数据加密或者设置 网站。并且在购物时一定要启用网购保镖,它有能力解决70% 权限。并且要对重要的数据进行备份和加密,以防止数据丢失。大 左右的网购风险。多数备份软件都支持备份数据进行加密,比如BitLocker以及 BitLocker To Go可以用来保护笔记本设备和U盘。使用脆弱的 4结束语 密码和从来不更换密码也是丢失信息甚至损失财物的重要原因 计算机网络的建设与应用,极大地丰富和完善了各种各样 之一。设置密码不要用明显的模式来设置密码,将各种数字和字 的信息资源,拓宽了人们获取资源的渠道,方便了人们的工作、生 符以及符号相结合起来的密码是比较安全的,更不要用自己的名 活经验和学习。但是也存在着很多的安全隐患,我们在应用计算 字或者生日做为密码,这样很容易被了解你的人或是通过其他渠 机网络的时候,一定要注意使用网络的安全,提高防范意识,减少 道了解到你的信息的人所猜到。同时密码一定要定期更换,这样 甚至避免计算机网络隐患带来威胁。 密码才会是安全的。 3.4互联网的使用安全 3.4.1 IE的设置 参考文献 [1] 蒋国松.网络购物安全威胁与对策研究[J].信息与电 脑.2012年8月.1-2 好多计算机网络用户为了浏览网面的方便,将IE的安全级 别定义的很低,这样就使不法分子有机可乘。我们应该将IE的安 全级别最少设置为中级,并且将“对没有标记和安全的ActiveX 控件进行初始化和脚本运行”设置为禁用,籽‘下载未签名的 Act iveX控件”设置为禁用等等。这样我们在用IE的时候才不容 易中毒。 3.4.2电子邮件、聊天工具及网络购物的使用 在读取电子邮件时,不认识用户的邮件不要轻易读取。在 使用聊天工具时,尽量不要随意打开链接网站,如需打开,就先 检查其安全性,如遇到有朋友要求汇款或者网购代付,应给朋 [2] 龚翼.计算机网络信息技术安全及对策分析[J].信息与 电脑.2012年8月.12-13 [3] 李硕.网络安全威胁因素及其常见网络安全技术分析[J]. 信息与电脑.2012年8月.15—16 [4] 李俊林.关于计算机网络安全的几点思考[J].信息与电 脑.2012年8月.3—4 [5] 樊中奎.关于计算机信息网络安全的探讨[J].信息系统 工程.2012年8月.71-72 (上接第151页) 2-5中1蠹雷 &够使用防火墙来代替服务器对客户 仅是分析现有DDoS防御机制,更需要在现有防御机制的基础上, 3总结 有一种能够科学有效的防御DDoS攻击。因此,我们需要做的不仅 端的TCP连接请求给予响应。假如在一个特点的时间内,防护墙 研究新的DDoS防御方法,为我们的计算机网络系统提供切实有 没有得到从客户端发送过来的ACK数据包,那么防火墙会自动中 效的安全保障。 断连接,而且会给该地址发送RST数据包,要求连接终止。假如这 个TCP连接是出自于合法用户的连接,那么防火墙会在收到客户 端发送的ACK数据包之后,与服务器的一端建立起一个新的连 接,然后有效为客户端与服务器端服务。中继防火墙的主要优点 在于服务器能够与拒绝服务区有效隔开,是不会收到伪造源IP 地址发送来的TCP连接请求的。中继防火墙在一定程度上可以说 就是一个SYN代理,防火墙替服务器处理SYN攻击,而SYN的代 理程序是在用户层,所以处理连接的数量非常有限,因此被攻击 也是很容易的。此外,由于需要进行TCP的三层握手,TCP连接 的延迟也是不可避免的。 本篇文章总结了DDoS攻击防御机制的分类,以及当前常用 的防御方法与防御策略。到目前为止,还没有一种科学有效的DDoS 防御方法来对DDoS防御攻击进行有效抵御,DDoS攻击仍然是互 联网面临的重要威胁。因此,我们不仅要全面分析现有的DDoS攻 击防御方法,而且要将这些方法综合在一起来进行DDoS防御,同 时我们还必须要不断加强对DDoS防御机制的研究,创新DDoS攻 击防御策略,进而为计算机网络系统的安全提供有力的保障。 2_6 篙 雪鬈 一常会将数据包放到服务器端,当服务器做SYN+ACK数据包的回应 时,防火墙就将这个数据包发送到客户端,同时还会将一个ACK 数据包发送给服务器端,进而实现TCP连接的提前完成。假如在 个特定的时间之内,防火墙并没有二次接收到客户端发来的 ACK数据包,那么防火墙就会将一个RST数据包发送给服务器端, 将连接断开。假如是正常的用户,那么客户端就会收到两次ACK 数据包。当建立连接之后,数据传输是不会受到防火墙的控制的。 这个方法的主要优点在于不会延迟合法用户。但是缺点也是存在 的,其需要谨慎选择防火墙的周期,保证反应时间相对较长的正 常使用者不会受到拒绝服务。当然,这个方法还有一个重要的弊 端,那就是对于使用合法源IP地址发动的拒绝服务攻击是没有 办法有效防御的。 当前使用的DDoS防御机制除了以上叙述的六种之外,还有 诸如SYN Cookie和SYN Cache、入口报文过滤、网络节流技术、 基于聚集拥塞控制机制的DDoS防御算法、基于概率的数据包标 记算法等。尽管当前广泛使用的DDoS防御机制有很多,但是还没 臻 篷曩请求到了时,防火墙通 [1] 尚占锋.章登义.DDoS防御机制研究[J].计算机技术与 发展.2008.18(01). [2] 李小勇.刘东喜.谷大武.白英彩.DDoS防御与反应技术 研究[J].计算机工程与应用.2003.39(12). [3] 李硕.杜玉杰.刘庆卫.DDoS攻击防御机制综述[J].微 计算机信息2006.22(06). [4] 忽海娜.万鸿运.程明.基于拥塞控制的DDoS防御机制 参考文献 的研究[J].微计算机信息.2006.22(18). [5]韩竹.范磊.李建华.基于源端检测的DDoS防御机制[J]. 计算机工程.2007.33(19). [6]谢冬青.张娅婷。吴涛.一种基于分组漏斗的DDoS防御 机制[J].湖南大学学报(自然科学版).2007.34(11). 作者简介 姓名:简校荣;性别:男;出生年月:1987年3月;籍贯: 广东佛山。 ・153・
