文档介绍：DDoS攻击原理及几种防御措施[摘要]分布式拒绝服务攻击 (DistributedDenialofService,DDoS)是近年来对 具有巨大影响的恶意攻击方式,给互联网业务带来了不可估量的损失。互联网的攻击手段层出不穷,而分布式拒绝服务攻击是其中的佼佼者,由于其简单、破坏性很大,而被攻击者广泛使用。DDoS攻击分析和防御方法是当前网络安全领域的重要前沿。本文阐述DoS攻击的原理和DDoS攻击的原理,提出了DDoS的防御措施。[关键词]DoSDDoSTCP/IP[中图分类号]TP[文献标识码]A[文章编号]10095489(2009)02-0077-02一、DDoS攻击和防御的国内外现状DDoS攻击最早出现在1999年夏天,Minnes2sota大学一台服务器遭到攻击,超过200个系统参与攻击,系统服务中断2天。在各种攻击手段中,拒绝服务攻击是最常用的攻击手段。表 1为常见的攻击种类及其所占比例。DDoS攻击由于实现简单,难于防范和破坏极大而广泛被应用。其主要应用了TCP/IP协议的本身漏洞和不足,通过大量消耗受攻击者的资源或网络带宽,导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务,使合法用户不能访问或使用该资源,造成拒绝服务攻击。2000年1月下旬,来自全美国的网络安全专家们在加利福尼亚举行的第6次RSA安全会议上讨论了这种攻击并试图制定对付措施。二、(DDoS:DistributedDenialofService)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。分布式拒绝服务攻击由真正的攻击者、攻击控制机(能够控制多个代理机)、攻击代理机(负责向目标主机发送大量的数据报流)、目标主机四个部分构成。DDoS攻击过程如下:①探测。攻击者扫描大量主机,以寻找可入侵的主机目标,用来实施攻击;②入侵。攻击者入侵有安全漏洞的主机并获取控制权,在每台入侵主机中安装攻击程序, 同时进行伪装,防止被发现;③通信。攻击代理机会通过攻击控制机告诉攻击者它们已经准备就绪,随时等待攻击命令;④攻击。攻击者发布攻击命令,开始对目标主机攻击。复杂有效的 DDoS工具包对于潜在的攻击者很容易得到, 网站遭受DoS或DDoS攻击的危险性越来越大。比较著名的 DDoS工具有Trinoo,TFN,Stacheldraht,TFNZK,mstreamandShaft。(见附图):带宽耗尽型主要是指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求无法通过。带宽攻击又可以分为洪泛攻击和放大攻击;资源耗尽型是攻击者利用服务器的处理能力是有限的,尽可能多的发送数据报,接近服务器的处理消息的极限,消耗目标服务器的关键资源,例如 CPU、内存等,导致无法提供正常服务。这种攻击也分为利用协议攻击和非法包结构攻击两种类型。DDoS攻击还可以根据两种不同的攻击策略来进行分类,即直接攻击和反射攻击。 直接攻击已经在前面叙述过。反射攻击是利用中间结点作为反射器,间接发动攻击。反射器是具有合法IP的主机,当向它发送一个消息包时,它将立即回应一个消息包。三、DDo