　　随着网络应用的日益广泛，网络结构框架已经暴露在众多网络安全的威胁之下，其中拒绝服务(DoS)攻击和基于DoS的分布式拒绝服务(DDoS)攻击最为常见。例如，2000年黑客们使用DDoS连续攻击了Yahoo、ebay、Amazon等许多知名网站，致使一些站点中断服务长达数小时甚至几天，国内的新浪、163等站点也遭到类似的攻击。2001年5月对CERT Co-ordination Center的攻击，2002年5月对edNET的攻击都造成了很大的损失[1]。在2001年4月的中美黑客大战中，DDoS也被广泛使用。随着高速网络的不断普及，尤其是随着近年来网络蠕虫的不断发展，更大规模DDoS攻击的威胁也越来越大。

　　2、分布式拒绝服务(DDoS)攻击

　　DoS是指攻击者在一定时间内向网络发送大量的服务请求，消耗系统资源或网络带宽，占用及超越被攻击主机的处理能力，导致网络或系统不胜负荷，停止对合法用户提供正常的网络服务;DDoS是在DoS的基础上引入了Client/Server机制，使得攻击强度更大，隐藏性更高。

　　2.1 DDoS攻击原理

　　DDoS采用多层的客户/服务器模式，一个完整的DDoS攻击体系一般包含四个部分：攻击控制台、攻击服务器、攻击傀儡机和攻击目标，其攻击体系结构如图1所示。

分布式拒绝服务(DDOS)攻击及防范研究

　　◆ 攻击控制台。攻击者利用它来操纵整个攻击过程，它向攻击服务器下达攻击命令。

　　◆ 攻击服务器也叫主控端，它是攻击者非法入侵并且安装特定程序的一些主机。它接收从攻击控制台发过来的各种命令。同时，它也控制了大量的攻击傀儡机，并向它们转发攻击控制台的攻击指令。

　　◆ 攻击傀儡机也叫代理端，它也是攻击者非法入侵并且安装特定程序的一些主机。它们上面运行攻击程序，用于对目标发起攻击。它受控于主控端，从主控端接收攻击命令，是攻击的执行者。

　　2.2 DDoS攻击的特点

　　DDoS攻击作为一种特殊的DoS攻击方式，相对于传统的拒绝服务攻击有自己很多的特点：首先，分布式拒绝服务的攻击效果更加明显。使用分布式拒绝服务，可以从多个傀儡主机同时向攻击目标发送攻击数据，可以在很短的时间内发送大量的数据包，使攻击目标的系统无法提供正常的服务。另外，由于采用了多层客户机/服务器模式，减少了由攻击者下达攻击命令时可能存在的拥塞，也增加了攻击的紧凑性。即使攻击目标探测到攻击，也可能来不及采取有效措施来应对攻击。其次，分布式拒绝服务攻击更加难以防范。因为分布式拒绝服务的攻击数据流来自很多个源且攻击工具多使用随机IP技术，增加了与合法访问数据流的相似性，这使得对攻击更加难以判断和防范。

　　最后，分布式拒绝服务对于攻击者来说更加安全。由于采用了多层客户机/服务器模式，增大了回溯查找攻击者的难度，从而可以更加有效地保护攻击者。另外，采用多层客户机/服务器模式，使得下达攻击指令的数据流更加分散，不容易被监控系统察觉，从而暴露攻击者的位置与意图。

　　3、攻击策略及防范

　　目前，随着多种DDoS攻击工具如TFN、TFN2K、Stacheldraht、Trinoo等的广泛传播，所面临DDoS攻击的风险更是急剧增长[2]。所以，如何有效的防御DDoS攻击成为当前一个亟待解决的问题。下面，本文针对这几种常用的攻击工具给出具体的防范措施。

　　3.1 TFN(Tribe Flood Network)攻击及防范

　　TFN是德国著名黑客Mixter编写的，与Trinoo相似，都是在互联网的大量UNIX系统中开发和测试的。它由客户端程序和守护程序组成，通过绑定到TCP端口的Root Shell控制，实施ICMP Flood，SYN Flood，UDP Flood等多种拒绝服务的分布式网络攻击。

　　TFN客户端、主控端和代理端主机相互间通信时使用IC-MP Echo和Icmp EchoReply数据包。针对TFN攻击的基本特性可采用如下抵御策略：

　　◆ 发动TFN时，攻击者要访问Master程序并向它发送一个或多个目标IP地址，然后Master程序与所有代理程序通信，指示它们发动攻击。Master程序与代理程序之间的通信使用ICMP回音/应答信息包，实际要执行的指示以二进制形式包含在16位ID域中。ICMP使信息包协议过滤成为可能，通过配置路由器或入侵检测系统，不允许所有的ICMP回音或回音/应答信息包进入网络就可以达到挫败TFN代理的目的，但是这样会影响所有使用这些功能的Internet程序，如Ping。Master程序读取一个IP地址列表，其中包含代理程序的位置。这个列表可能使用如“Blowfish”的加密程序进行加密，如果没有加密，就可以从这个列表方便地识别出代理信息。

　　◆ 用于发现系统上TFN代理程序的是程序td，发现系统上Master程序的是程序TFN。代理并不查看ICMP回音/应答信息包来自哪里，因此使用伪装ICMP信息包冲刷掉这些过程是可能的[9]。

[1] [2] [3] 下一页

上一篇:Photoshop中性灰色阶精确调整偏色照片

下一篇:Windows Vista系统下4G内存寻址问题

分布式拒绝服务(DDOS)攻击及防范研究相关文章：

·研究生毕业个人自我鉴定[评语]范文

·不怕攻击家庭上网必学八招安全绝招

·图文详解 Windows 2003服务器集群安装

·Dell PowerEdge 2950 服务器 Windows 2003安装手册

·自己电脑做smtp服务器不求人

·解决与HTTP 500 – 内部服务器错误错误信息有关的问题

·Helix流媒体服务器架设及RMVB制作教程

·Linux各种服务器的架设

·Windows 2003安全设置大全-IIS、终端服务、FTP、SQL的配置

·绕道访问国外网站免费代理服务器放送

分布式拒绝服务(DDOS)攻击及防范研究相关软件：

·手机炸弹-短信息攻击懒人版

·勤哲Excel服务器 2007 V7.1.4 完整企业版

·黑客视频教程-网吧代理服务器使用灰鸽子端口映射方法

·Windows 2000 高级服务器版

·腾讯企业QQ 服务器端 V 3.0.3

·CS服务器插件AMX Mod X 1.76 中文版

特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员，我们尽快予以更正。
[打印本页] [关闭窗口] 转载请注明来源：http://www.vipcn.com

	\| 帮助(？) \| 版权声明 \| 友情连接 \| 关于我们 \| 信息发布
Copyright 2007 www.vipcn.com All Rights Reserved.	鄂ICP备05000083号Powered by:vipcn