攻击基于DDoS攻击的防护体系研究

基于DDo S攻击的防护体系研究

摘要分布式拒绝服务攻击(DDoS)是当今网络面临的最严峻的威胁之一,研究防御DDo S攻击的技术非常重

要。介绍了DDoS攻击原理和方法,并深入总结了当前DDoS攻击的防范技术。

关键词DDoS;防御体系;检测方法

随着网络的广泛应用和多种DDoS黑客工具的不断发布,分布式拒绝服务攻击(Distributed Denial ofService,简称DDoS)实施越来越容易,给网站造成了巨大的经济损失。对于用户来说,要想正常开展业务,使网络不受DDoS攻击的影响,就必须采取有效措施,确保网络的连续性和可用性。

1 DDo S攻击原理及特点

DDoS的前身是DoS(Denial of Service,拒绝服务)。所谓DoS攻击,是指在一段时间内向被攻击的目标主机或其他网络设备发送大量的服务请求,耗尽其系统资源而造成服务器响应阻塞,从而使其无法提供其他正常服务。而DDo S攻击,则是一种基于DoS分布式的协作的大规模攻击方式。攻击者首先渗透到无保护的主机(包括主控机和傀儡机)中,进而植入攻击程序。发动攻击时,攻击者向主控机发出攻击指令,由主控机向傀儡机发布攻击命令,傀儡机上的攻击程序从休眠状态启动,开始向受害者发送特殊的数据分组,这些分组不能被受害者正常处理,从而浪费了受害者大量的系统资源,严重威胁到网络安全。

2DDo S攻击检测方法

从基于目标系统的防护策略来看,可以在网络上设置网络状态监测器,用于监测网络的异常流量。从基于攻击源防护策略的角度来看,就是在网络出口设置数据包监测器,用于发现非法的数据包。

(1)流量攻击。主要是针对网络带宽的攻击,即大量攻击包导致网络带宽被阻塞,合法网络包被虚假的攻击包淹没而无法到达主机。可通过P ing命令来检测网站是否遭受了流量攻击。若发现P ing超时或丢包严重,则可能遭受了流量攻击,此时若和主机接在同一交换机上的服务器也无法访问,基本可以确定是遭受了流量攻击。测试的前提是计算机到服务器主机之间的ICMP协议没有被路由器和防