DDoS安全防範

1、DDoS拒絕服務***簡介

「拒絕服務（Denial-Of-Service）***就是消耗目標主機或者網絡的資源，從而干擾或者癱瘓其爲合法用戶提供的服務。」國際權威機構「Security FAQ」給出的定義。

DDOS則是利用多臺計算機機，採用了分佈式對單個或者多個目標同時發起DoS***。其特色是：目標是「癱瘓敵人」，而不是傳統的破壞和竊密；利用國際互聯網遍及全球的計算機發起***，難於追蹤。

目前DDoS***方式已經發展成爲一個很是嚴峻的公共安全問題，被稱爲「***終極武器」。可是不幸的是，目前對付拒絕服務***的技術卻沒有以相同的速度發展，TCP/IP互聯網協議的缺陷和無國界性，致使目前的國家機制和法律都很難追查和懲罰DDoS***者。DDoS***也逐漸與蠕蟲、 Botnet相結合，發展成爲自動化播、集中受控、分佈式***的網絡訛詐工具。據方正信息安全技術有限公司的有關專家介紹，DOS從防護到追蹤，已經有了很是多的辦法和理論。好比SynCookie，HIP(History-based IP filtering)、ACC控制等,另外在追蹤方面也提出許多理論方法，好比IP Traceback、ICMP Traceback、Hash-Based IP traceback、Marking等。但目前這些技術僅能起到緩解***、保護主機的做用，要完全杜絕DDoS***將是一個浩大的工程技術問題。

2、***原理

目前DDoS***主要分爲兩類：帶寬耗盡型和資源耗盡型。

帶寬耗盡型主要是堵塞目標網絡的出口，致使帶寬消耗不能提供正常的上網服務。例如常見的Smurf***、UDP Flood***、MStream Flood***等。針對此類***通常採起的措施就是QoS，在路由器或防火牆上針對此類數據流限制流量，從而保證正常帶寬的使用。單純帶寬耗盡型***較易被識別，並被丟棄。

資源耗盡型是***者利用服務器處理缺陷，消耗目標服務器的關鍵資源，例如CPU、內存等，致使沒法提供正常服務。例如常見的Syn Flood***、NAPTHA***等。資源耗盡型***利用系統對正常網絡協議處理的缺陷，使系統難於分辨正常流和***流，致使防範難度較大，是目前業界最關注的焦點問題，例如方正SynGate產品就是專門防範此類的產品。

針對DDoS的***原理，對DDoS***的防範主要分爲三層：Source-end***源端防範、Router-based路由器防範、 Target-end目標端防範。其中***端防禦技術有DDoS工具分析和清除、基於***源的防範技術；骨幹網防禦技術有會推技術、IP追蹤技術；目標端防禦措施有DDoS***探測、路由器防範、網關防範、主機設置等方法。

據方正安全工程師的屢次實踐分析，目標端防禦技術獲得最普遍應用。因爲目標端使被***者，願意爲防禦付出相應代價，而且實施難度也較低。而骨幹網防範、***端防範都難於實施，合做意願和難度上都有必定程度的問題

3、綜合防範方法綜述

目前基於目標計算機系統的防範方法主要三類：網關防範、路由器防範、主機防範。

1.網關防範

網關防範就是利用專門技術和設備在網關上防範DDoS***，例如用透明橋接入網絡的方正防火牆或方正黑鯊等硬件產品。網關防範主要採用的技術有SynCookie方法、基於IP訪問記錄的HIP方法、客戶計算瓶頸方法等。

SynCookie方法是在創建TCP鏈接時，要求客戶端響應一個數字回執，來證實本身的真實性。SynCookie方法解決了目標計算機系統的半開鏈接隊列的有限資源問題，從而成爲目前被最普遍採用的DDoS防範方法，新的SCTP協議和DCCP協議也採用了相似的技術。SynCookie 方法的侷限性在於，對於創建鏈接的每個握手包，都要回應一個響應包，即該方法會產生1:1的響應流，會將***流倍增，極大的浪費帶寬資源；此外，當分佈式拒絕服務***的發起者採用隨機源地址時，SynCookie方法產生的迴應流的目標地址很是發散，從而會致使目標計算機系統及其周邊的路由設備的路由緩衝資源被耗盡，從而造成新的被***點，在實際的網絡對抗中也產生了真實的路由雪崩事件。

HIP方法採用行爲統計方法區分***包和正常包，對全部訪問IP創建信任級別。當發生DDoS***時，信任級別高的IP有優先訪問權，從而解決了識別問題。

客戶計算瓶頸方法則將訪問時的資源瓶頸從服務器端轉移到客戶端，從而大大提高分佈式拒絕服務***的代價，例如資源訪問訂價方法。客戶計算瓶頸方法協議複雜，須要對現有操做系統和網絡結構進行很大的變更，這也在很大程度上影響了該方法的可操做性。

綜上所述，網關防範DDoS技術可以有效緩解***壓力，適合被***者的自身防禦。

2.路由器防範

基於骨幹路由的防範方法主要有pushback和SIFF方法。但因爲骨幹路由器通常都有電信運營商管理，較難按照用戶要求進行調整；另外，因爲骨幹路由的負載過大，其上的認證和受權問題難以解決，很難成爲有效的獨立解決方案。所以，基於骨幹路由的方法通常都做爲輔助性的追蹤方案，配合其餘方法進行防範。

基於路由器的ACL和限流是比較有效的防範措施，例如對特徵***包進行訪問限制，發現***者IP的包就丟棄；或者對異常流量進行限制等。也能夠打開Intercept模式，由路由器代替服務器響應Syn包，並表明客戶機創建與服務器的鏈接。相似一種SynProxy技術，當兩個鏈接都成功實現後，路由器再將兩個鏈接透明合併。應用實例請參見www.icst.pku.edu.cn網站

4、防範技術發展和趨勢

DDoS***的發展很是快，爲增長***威力，目前已經採用了許多新***技術：僞造數據，消除***包特徵；綜合利用協議缺陷和系統處理缺陷；使用多種***包混合***；採用***包預產生法，提升***速率。目前已經出現的***工具在單點狀況下能發起6－7萬個/秒***包，足以堵塞一個百兆帶寬的大中型網站。

DDoS防範技術主要向***追蹤、網關防範發展。利用ICMP數據包追蹤、或是Burch 和 Cheswick提出的經過標誌數據包來追蹤的方法，都是目前研究的熱點。在骨幹網上***追蹤研究的目標就是，在***者剛開始發起***時就能定位***源，從而阻擋***擴散和減輕目標損失。而網關DDoS防範技術將是將來產品發展的重點，將成爲各種網站的DDoS防禦盾牌，目前研究熱點的也是利用行爲統計等方法區分***包，例如方正黑鯊採用的CIP技術等。隨着技術的發展，網關DDoS防範產品將獲得普遍的應用。