国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

　　DDoS是英文Distributed Denial of Service的縮寫，即“分布式拒絕服務”。凡是能導致合法用戶不能夠正常訪問網(wǎng)絡服務的行為都是DoS攻擊，或拒絕服務攻擊。在各種DoS攻擊中，DDoS攻擊策略側(cè)重于通過很多“僵尸主機”(被攻擊者入侵過或可間接利用的主機)向受害主機發(fā)送大量看似合法的網(wǎng)絡包，從而造成網(wǎng)絡阻塞或服務器資源耗盡而導致拒絕服務。DDoS攻擊一旦被實施，攻擊網(wǎng)絡包就會猶如洪水般涌向受害主機，從而把合法用戶的網(wǎng)絡包淹沒，導致合法用戶無法正常訪問服務器資源，因此，拒絕服務攻擊又被稱之為“洪水式攻擊”，常見的DDoS攻擊手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等。由于網(wǎng)絡的分布式和開放式特性，使得DDos攻擊很難防范。

　　目前DDoS攻擊的發(fā)展主要有4個趨勢：(1)廣分布的高強度攻擊;(2)偽造源IP地址;(3)數(shù)據(jù)包結(jié)構(gòu)位的隨機性;(4)使用多種協(xié)議及多種形式。這4個趨勢使得DDoS攻擊的檢測和防御變得更加困難。

　　2. DDoS的檢測

　　DDoS的表現(xiàn)形式主要有兩種，一種為流量攻擊，主要是針對網(wǎng)絡帶寬的攻擊，即大量攻擊包導致網(wǎng)絡帶寬被耗盡，正常的網(wǎng)絡包無法到達主機;另一種為資源耗盡攻擊，主要是針對服務器主機的攻擊，即通過大量攻擊包導致主機的內(nèi)存、CPU或某個緩沖區(qū)耗盡而無法提供正常的服務。

　　在遭受流量攻擊，同一交換機上的主機都會受到影響。這時Ping同一個交換機上的主機會超時。理論上，如果攻擊者能夠發(fā)動超過主機帶寬的傀儡機(群)發(fā)動流量攻擊，并使用合法的方式與主機進行通信，主機一定難以幸免。流量攻擊通常是從傀儡機發(fā)送大量無用的數(shù)據(jù)包將主機帶寬或者主機所在的交換機(路由器)帶寬耗盡。如果主機所在網(wǎng)絡的帶寬較小，比如10M，則無論怎樣都無法應對流量攻擊。要對付流量攻擊，至少要有100M或更高的網(wǎng)絡帶寬。

　　假如主機的服務非常緩慢或無法訪問，而Ping還可以Ping通，則很可能遭受了資源耗盡攻擊。還有一種屬于資源耗盡攻擊的現(xiàn)象是，Ping受害主機Ping超時，而Ping與受害主機在同一交換機上的主機則正常，造成這種原因是受害主機遭受攻擊后CPU利用率達到100%無法回應Ping命令，其實帶寬還是有的，否則就Ping不通接在同一交換機上的主機了。很多情況下，資源耗盡型攻擊和流量攻擊是同時進行的，比如SYN flood。通常資源耗盡型攻擊比流量攻擊流量耗盡型攻擊需要的傀儡機要少，因此更容易攻擊成功。

　　當前資源耗攻擊主要有三種類型：

　　1、無連接攻擊：

　　這種攻擊方法主要利用IP、TCP、ICMP等協(xié)議的漏洞，在無連接情況下或者連接建立過程中完成攻擊。主要是通過向受害主機發(fā)送大量偽造源IP和源端口的SYN、ACK、UDP、 ICMP包等，導致主機的緩存資源被耗盡或忙于發(fā)送回應包而造成拒絕服務，由于源都是偽造的,故追蹤起來比較困難。對于SYN Flood攻擊，在服務器上用Netstat -na命令會觀察到存在大量的SYN_RECEIVED狀態(tài)。

　　2、TCP全連接攻擊：

　　當主機突然收到比平時多得多的“合法”連接請求時，基本可以判定是這種類型。由于攻擊采用的方式幾乎無法與真正的合法流量區(qū)分，使得這種攻擊很難自動防御。但是這種攻擊會暴露傀儡機的IP地址，從而相對容易跟蹤。然而DDoS攻擊的追蹤不僅是要找到傀儡機，還要找到隱藏在傀儡機背后的黑客主機。好的DDoS攻擊工具可以偽造黑客主機的IP地址，使得對黑客主機的追蹤要比對傀儡機的追蹤困難的多。TCP全連接攻擊的另一個缺點是需要控制大量的傀儡機來模擬合法的連接。

　　3、Script腳本攻擊：

　　這種攻擊是TCP全連接攻擊的升級版，但是需要的傀儡機數(shù)量相對少一些。主要是針對存在于ASP、JSP、PHP、CGI等的腳本程序，并調(diào)用MSSQLServer、MySQLServer、Oracle等數(shù)據(jù)庫的網(wǎng)站系統(tǒng)而設計的，對靜態(tài)網(wǎng)頁的服務器攻擊效果不大。其特征是和服務器建立正常的TCP連接，并不斷的向腳本程序提交查詢、列表等大量耗費數(shù)據(jù)庫資源的調(diào)用。一般來說，提交一個GET或POST指令對客戶端的耗費和帶寬的占用是幾乎可以忽略的，而服務器為處理此請求卻可能要從上萬條記錄中去查出某個記錄，這種處理過程對資源的耗費是很大的。攻擊之后常見的現(xiàn)象ASP程序失效、PHP連接數(shù)據(jù)庫失敗、數(shù)據(jù)庫主程序占用CPU偏高。

　　籠統(tǒng)的講，抵御無連接攻擊主要是分析IP包，而對于有連接的攻擊則需要分析包的內(nèi)容。

　　3. DDoS的追蹤

　　DDoS的追蹤主要有兩個目的：1是通過追蹤攻擊源獲取攻擊包的特征從而對流量進行過濾或者聯(lián)系ISP尋求幫助;2是找到攻擊源并搜集攻擊證據(jù)，從而有可能通過法律手段對攻擊者進行懲罰。無論能否最終找到攻擊源，DDoS攻擊的追蹤技術對于DDoS的防御都是十分重要的。目前主要的DDoS追蹤技術有Packet Marking、ICMP追蹤、Logging以及Controlled Flooding。這些跟蹤技術一般都需要路由器的支持，實際中也需要ISP的協(xié)助。

　　Packet Marking是一大類方法，其基本思想是路由器在IP包中的Identification域加入額外信息以幫助確定包的來源或路徑。由于IP包的Identification域在因特網(wǎng)中被使用到的比率只有0.25%，因此在大多數(shù)包中添加路由信息是十分可行。當然如果對每個包都做處理沒有必要，因此大多數(shù)Packet Marking方法都是以一個較低的概率在IP包中加入標記信息。Packet Marking方法需要解決的主要問題是：由于IP包的Identification域只有16比特，因此加入的信息量很受限制，如果要追蹤源地址或者路徑就要精心構(gòu)造加入的信息，這涉及到路由器如何更新已有的標記信息，如何降低標記信息被偽造的可能，如何應對網(wǎng)絡中存在不支持Packet Marking的路由器的情況。比如，采用用異或和移位來實現(xiàn)標記信息的更新。

　　Controlled Flooding是Burch和 Cheswick提出的方法。這種方法實際上就是制造flood攻擊，通過觀察路由器的狀態(tài)來判斷攻擊路徑。首先應該有一張上游的路徑圖，當受到攻擊的時候，可以從受害主機的上級路由器開始依照路徑圖對上游的路由器進行受控的flood，因為這些數(shù)據(jù)包同攻擊者發(fā)起的數(shù)據(jù)包共享了路由器，因此增加了路由器丟包的可能性。通過這種沿路徑圖不斷向上進行，就能夠接近攻擊發(fā)起的源頭。Controlled Flooding最大的缺點就是這種辦法本身就是一種DOS攻擊，會對一些信任路徑也進行DOS。而且，Controlled Flooding要求有一個幾乎覆蓋整個網(wǎng)絡的拓撲圖。Burch和 Cheswick也指出，這種辦法很難用于DDOS攻擊的追蹤。這種方法也只能對正在進行攻擊有效。

　　ICMP追蹤主要依靠路由器自身產(chǎn)生的ICMP跟蹤消息。每個路由器都以很低的概率(比如：1/20000)，將數(shù)據(jù)包的內(nèi)容復制到一個ICMP消息包中，并且包含了到臨近源地址的路由器信息。當DDoS攻擊開始的時候，受害主機就可以利用這些ICMP消息來重新構(gòu)造攻擊者的路徑。這種方法的缺點是ICMP可能被從普通流量中過濾掉，并且，ICMP追蹤消息依賴于路由器的相關功能，但是，可能一些路由器就沒有這樣的功能。同時ICMP Tracking必須考慮攻擊者可能發(fā)送的偽造ICMP Traceback消息。

　　Logging通過在主路由器上記錄數(shù)據(jù)包，然后通過數(shù)據(jù)采集技術來決定這些數(shù)據(jù)包的穿越路徑。雖然這種辦法可以用于對攻擊后的數(shù)據(jù)進行追蹤，但也有很明顯的缺點，如要求記錄和處理大量的信息。

　　需要指出，如果攻擊者對攻擊程序設計得足夠精細，則要想找到真正的攻擊者幾乎是不可能的。比如攻擊者可以使用兩層甚至更多層傀儡機實施攻擊，而對靠近攻擊者的傀儡機做徹底的日志清理，使得跟蹤技術無法找到攻擊者。另外對于反射式攻擊，由于攻擊包是合法的，想要追蹤到傀儡機本身就已經(jīng)非常困難了。

　　4. DDoS的緩解

　　一個好的DDoS防御系統(tǒng)應該能做到快速的DDoS攻擊檢測和緩解，對攻擊流量的處理不影響或少影響合法用戶的流量，對網(wǎng)絡配置的要求要低。目前還沒有哪個系統(tǒng)能夠很100%地達到以上目標，不過確實存在一些有效措施來緩解DDoS攻擊。

　　主要的DDoS緩解方法包括以下幾個方面：

　　1、Filter。對于特征明顯的DDoS攻擊包，在路由器或者防火墻就可以搞定。當然，如果跟蹤技術能夠確定攻擊包的來源則可以設置路由器或防火墻過濾掉所有來自攻擊源的包，在攻擊源被偽造的情況下，是通過識別攻擊包的一些特征來實現(xiàn)的。然而有些攻擊包并不容易識別出來。

　　2、隨機丟包。如果不能非常有把握地識別攻擊包，但是能對攻擊包的做概率性的判斷，則可以用隨機丟包的方法來過濾一大部分的攻擊流量，然而使用這種方法就必須考慮如何能夠使合法用戶的流量被盡可能好的保留?？梢约由弦恍┫拗茥l件，如果判定一個包“一定是”合法的，則不對它做丟包。

　　3、SYN Cookie等特定防御辦法。針對一些固定的攻擊手段來防御和過濾。這類方法主要是減少主機對一些可能的攻擊的容忍能力。比如為了減輕SYN Flood攻擊占用TCP半連接隊列，在SYN Cookie的執(zhí)行過程中，當服務器接收到一個SYN包的時候，返回一個SYN-ACK包，這個數(shù)據(jù)包的ACK序列號是經(jīng)過加密的，也就是說，它由源地址，端口源次序，目標地址，目標端口和一個加密種子計算得出。然后SYN釋放所有的狀態(tài)。如果一個ACK包從客戶端返回，服務器將重新計算它來判斷它是不是上個SYN-ACK的返回包。如果這樣，服務器就可以直接進入TCP連接狀態(tài)并打開連接。這樣，服務器就可以避免守侯半開放連接了。

　　4、被動消極忽略。一般正常連接失敗會重新嘗試，但是攻擊者一般不會重新。所以可以臨時拋棄第一次連接請求而接受第二次或者第三次連接請求。

　　5、統(tǒng)計分析。即通過統(tǒng)計分析來得到攻擊包的指紋，然后根據(jù)指紋來拋棄攻擊包。思路很簡單，關鍵是要保證合法的流量被誤檢和非法流量被漏檢的概率足夠低。這也是很多研究者研究的主要課題，目的就是識別攻擊包。識別攻擊報所需要的信息可能包括：流量速率大小、包大小和端口的分布、包到達時間的分布、并發(fā)流量數(shù)、高級協(xié)議特征、出入的速率、流量分類(源IP 源端口、目的端口、協(xié)議類型、連接量)、高層層協(xié)議分析：比如針對http的攻擊。所有模式識別中的分類方法以及優(yōu)化方法，比如人工神經(jīng)網(wǎng)絡等等都可以應用于統(tǒng)計和分析。不過，這種方法的實施難度較大，一個魯棒的，自動更新識別函數(shù)的統(tǒng)計分析系統(tǒng)構(gòu)造起來相當不容易。

　　5. 總結(jié)

　　DDoS攻擊，這一對互聯(lián)網(wǎng)危害極大的攻擊，正在變得越來越頻繁，越來越難以防范。本文介紹典型的DDoS檢測、跟蹤和緩解辦法。目前尚無一種方法能夠徹底根除DDoS隱患，大多數(shù)實際運作的系統(tǒng)都是多種防范和應對手段的集合體。一個實際的DDoS防御體系通常需要受保護主機與相鄰網(wǎng)絡以及ISP的有效溝通與合作。作者任沛然