DPtech入侵防御系统DDoS防范技术白皮书.pdfVIP

杭州迪普科技有限公司 第 1 页 共 6 页 DPtech 入侵防御系统 DDoS 防范技术白皮书 1、概述 1.1 背景 从上世纪 90年代到现在，DoS/DDoS 技术主要经历大约阶段： 1) 技术发展时期。 90年代，Internet 开始普及，很多新的 DoS 技术涌现。90年代末发明和研究过许多新的 技术，其中大多数技术至今仍然有效，且应用频度相当高，如 Ping of death, Smurf, SYN flooding, 等等。 2) 从实验室向产业化转换 2000年前后，DDoS 出现，Yahoo, Amazon等多个著名网站受到攻击并瘫痪，还有 Codered, SQL slammer 等蠕虫造成的事件。 3) “商业时代” 最近一两年，宽带的发展使得接入带宽增加，个人电脑性能大幅提高，使 DDoS 攻击越来 越频繁，可以说随处可见，而且也出现了更专业的、用于出租的‘DDoS 攻击经济’。可以说 DDoS 攻击的威胁已经无处不在。 DDoS（分布式拒绝服务攻击）是产生大规模破坏的武器。不像访问攻击穿透安全周边来 窃取信息，DDoS攻击通过伪造的流量淹没服务器、网络链路和网络设备（路由器，防火墙等） 瘫痪来使得网络系统瘫痪。 1.2 DDoS攻击原理 由于 DDoS攻击往往采取合法的数据请求技术，再加上傀儡机器，造成 DDoS攻击成为目前 最难防御的网络攻击之一。据美国必威体育精装版的安全损失调查报告，DDoS攻击所造成的经济损失已经 跃居第一。 DDoS攻击的一个致命趋势是使用复杂的欺骗技术和基本协议，如 HTTP，Email等协议，而 不是采用可被阻断的非基本协议或高端口协议，非常难识别和防御，通常采用的包过滤或限制速 率的措施只是通过停止服务来简单停止攻击任务，但同时合法用户的请求也被拒绝，造成业务的 中断或服务质量的下降；DDoS事件的突发性，往往在很短的时间内，大量的 DDoS攻击数据 就可使网络资源和服务资源消耗殆尽。 DDoS攻击主要是利用了 Internet协议和 Internet基本优点——无偏差地从任何的源头传送 数据包到任意目的地。DDoS攻击分为两种：要么大数据，大流量来压垮网络设备和服务器，要 杭州迪普科技有限公司 第 2 页 共 6 页 么有意制造大量无法完成的不完全请求来快速耗尽服务器资源。 1.3 DoS/DDoS攻击分类
逻辑攻击 逻辑攻击采取的方法是利用攻击对象上已有的软件漏洞，向其发送少量的畸形数据包，导致 攻击对象的服务性能大幅降低和整个系统发生崩溃。
泛洪攻击 泛洪攻击则是利用大量的无效或恶意数据数据包导致攻击对象的资源（例如 CPU、内存、 缓存、磁盘空间和带宽）不堪重负，从而降低服务性能或者导致服务中断。 1.4 DoS与DDoS攻击的区别 顾名思义，DoS与 DDoS最直接的区别就是单对一攻击还是多对一攻击。而随着现在服 务器性能的发展，想要单对一发起泛洪攻击已经不太可能了，所以现在有效的 DoS攻击主 要采用逻辑攻击的方式，而 DDoS攻击则由攻击者驱动僵尸网络，以多攻少，耗尽服务器 资源。 1.5 傀儡机和僵尸网络 傀儡机是被黑客通过木马或其他恶意程序获取控制权的终端用户 PC、服务器或者其他 网络设备。而由攻击者操纵的一系列傀儡机组成的网络形象地称为僵尸网络。示意图如下所 示： 杭州迪普科技有限公司 第 3 页 共 6 页 僵尸网络攻击示意图 1.6 常见的DoS/DDoS攻击
ping of death 许多操作系统的 TCP/IP协议栈规定 ICMP报文大小为 64KB，并为此分配缓冲区。Ping of death故意产生崎形报文，声称自己的大小超过 64KB，使得协议栈出现内存分配错误，导致荡 机。
teardrop 某些 TCP/IP协议栈（NT在 SP4以前）在收到含有重叠的 IP分片报文时会崩溃。Teardrop 利用该特性发送伪造的重叠 IP分片报文，导致某些系统荡机。
udp flood 提供WWW和Mail等服务的 Unix的服务器默认打开一些被黑客恶意利用的 UDP服务。如 echo服务会显示接收到的每一个数据包，而原本作为测试功能的 chargen服务会在收到每一个 数据包时随机反馈一些字符。Udp flood假冒攻击伪造与某一主机的chargen服务之间的一次udp 连接，回复