拒绝服务攻击原理及防范

拒绝服务攻击原理及防范

◆李 颖1 魏晓梅2

(1山东师范大学 山东济南 250358 2湖北师范大学马克思主义学院 湖北黄石 435000)

摘要：随着经济技术的不断发展，计算机安全技术越来越受到冲击，拒绝服务攻击已成为网络机安全最大的威胁之一，由于它的破坏性极大，因此成为网络黑客经常采用的攻击手段。该文主要分析了拒绝服务攻击的基本原理以及怎样能够更好的加以防范。

关键词：拒绝服务攻击；分类；防范措施

1.什么是拒绝服务攻击

服务——是指系统提供的，用户在对其使用中会受益的功能。 拒绝服务（DoS）——任何对服务的干涉如果使得其可用性降低或者失去可用性，均称为拒绝服务，如果一个计算机系统崩溃或其带宽耗尽或其存储空间被填满，导致其不能提供正常的服务，就构成拒绝服务。

拒绝服务（DoS）攻击——是攻击者通过某种手段有意地造成计算机或网络不能正常运转从而不能像合法用户提供所需要的服务或者使得服务质量降低。

传统的计算机安全包括三个属性：保密性、完整性和可用性。对于保密性和完整性的攻击可以通过攻击一个东西即密码而获得成功。而对可用性的攻击，则有很多种途径。例如，攻击者可以通过发送大量的数据到受害者，达到拒绝服务攻击的目的，这种攻击在针对Yahoo、Amazon、eBay 等以后受到广泛的关注。而如果攻击者可以介入到受害者及相应的服务之间，攻击者无需发送数据风暴即可实施DoS 攻击。

分布式拒绝服务（DDoS）攻击——如果处于不同位置的多个攻击者同时向一个或数个目标发起攻击，或者一个或多个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击，由于攻击的出发点是分布在不同地方的，这类攻击称为分布式拒绝服务攻击。

2.拒绝服务攻击的分类

拒绝服务攻击的分类方法有很多种，从不同的角度可以进行不同的分类󰀀而不同的应用场合需要采用不同的分类。

按攻击目标分为：节点型和网络连接型，前者旨在消耗节点资源，后者旨在消耗网络连接和带宽。节点型又可以进一步分为主机型和应用型，主机型攻击的目标主要是主机中的公共资源（如CPU、磁盘等），使得主机对所有的服务都不能响应；而应用型则是攻击特定的应用（如邮件服务。DNS服务。Web服务等）。

按攻击方式分为：资源消耗、服务中止和物理破坏。资源消耗指攻击者试图消耗目标的合法资源，例如网络带宽、内存和磁盘空间、CPU使用率等。服务中止则是指攻击者利用服务中的某些缺陷导致服务崩溃或中止。物理破坏则是指雷击、电流、水火等物理接触的方式导致拒绝服务攻击。

按攻击是否直接正对受害者分为：直接拒绝服务攻击和间接拒绝而服务攻击。如要对某个E-mail账号实施拒绝服务攻击，直接对该账号用邮件攻击就属于直接攻击。为了使某个邮件账号不可用，攻击邮件服务器而使整个邮件服务器不可用就是间接拒绝服务攻击。

按攻击地点分为：本地攻击和远程攻击，本地攻击是指不通过网络，直接对本地主机的攻击，远程攻击则必须通过网络连接由于本地攻击要求攻击者与受害者处于同一地，这对攻击者的要求太高，通常只有内部人员能够做到。同时，由于本地攻击通常可以通过物理安全措施以及对内部人员的严格控制予以解决，因此将对网络的拒绝服务攻击着重讨论。

8  

 3.拒绝服务攻击防范方法

对于拒绝服务攻击而言,目前还没有比较完善的解决方案。拒绝服务攻击尤其是分布式风暴型拒绝服务攻击是与目前使用的网络协议密切相关的,它的彻底解决是极为困难的。此外安全具有整体、全面、协同的特性,这一特性在拒绝服务攻击方面体现得尤为突出,没有整体网络社会的齐心协力,共同应对,拒绝服务攻击始终是摆在我们面前的难题。

虽然如此,我们也不是对拒绝服务攻击一点办法都没有,研究人员也在不断地寻求新的解决方案。拒绝服务攻击的对策主要可以分为三个方面:防御、检测和追踪。这里我们对防御做重点讨论。

由于拒绝服务攻击日益受到重视,市场上已经涌现出了众多的应对拒绝服务攻击的产品,国外一些比较知名的产品有TopLayer 公司Attack Mitigator、Mazu 网络公司的Mazu Enforcer等;国内也有不少此类产品,如:冰盾抗DDoS 防火墙、黑洞防拒绝服务攻击系统、天清防拒绝服务攻击系统等。以下对各常用产品进行简要介绍,资料来源大多是各厂商提供的网上信息等。

4.冰盾抗DDoS 防火墙

冰盾防火墙是由冰盾(中国)科技公司两位归国人员BingleWang 和Buick Zhang 开发的具备入侵检测功能的抗DDoS 防火墙。冰盾防火墙采用的主动防御技术，通过生物基因原理实现，可只能辨识多种DDoS攻击，并启用微内核处理技术，能够在系统底层完成对DDoS 攻击的过滤和防护，确保服务器可以正常提供服务。

4.1.1 冰盾防火墙采用的安全机制

冰盾防火墙采用如下安全机制对抗拒绝服务攻击。 （1）SYNCookies

通过实施SYNCookie的包认证机制，可实现对SYNFlood、ACKFlood 等攻击的防护，这种机制适用于攻击量较小的情况。

（2）3 秒重传机制

当检测的每秒的SYN包大于正常数值时候，采用丢弃SYN 的办法来降低一半的攻击，正常的用户会在3 秒后再次发送SYN，从而建立有效的连接。

（3）主动防御机制 通过生物基因原理，对所有进出的包进行分析统计，识别有害的攻击包并启动处理引擎进行保护，从而提高系统的防御能力。

（4）微内核机制

在网卡和系统之间设计一层高效的处理内核程序，以最快的速度抓取网卡上的网络报并进行适当的分析处理，由只能控制决定放行还是阻止，大大提高系统的处理效能。

（5）连接跟踪机制

对TCP和UDP的连接进行智能跟踪，及时发现并阻止可能的攻击，从而保护应用服务程序的安全。

4.1.2冰盾防火墙的功能特点

冰盾抗DDoS防火墙的主要特色功能有： （1）阻止DoS攻击

TearDrop、Land、Jolt、IGMP Nuker、Bonk、BigPing、OOB 等数百种。

（2）抵御DDoS攻击

SYN/ACK Flood、UDP Flood、ICMPFlood、TCPFlood 等流行的拒绝服务攻击。

（下转第79页）

计算机教学

3.3 不能灵活运用

虽然项目教学法的本质是让学生将理论应用于实践，但在实际教学中会发现，有些学生并不能将项目中所学到的知识点应用于相似的情景之中。这可能是由于个人的思维方式造成的。作为任课教师，应多布置一定量的作业，让学生在课外之余进行练习，逐渐达到灵活应用知识的目的。

4 结语

VBA程序设计是一门学起来不算轻松的选修课程，特别是在只有32个学时的情况下，它要求任课教师发挥自己的聪明才智，充分调动学生的学习主动性，让学生发挥他们的主观能动性，从而达到最终的教学目的。

教学中[J].科技创新导报.2015(01):103-105.

[3]高洪皓,朱永华,陈章进. 基于MOOCs平台的计算机基础实验教学课程建设[J].工业和信息化教育. 2014(06) :90-94.

[4]夏其表,王洁,尹建新,计智伟. 办公自动化高级应用课程多元化立体化教学研究[J]. 计算机教育. 2014(02):79-81.

[5]谌卫军. 教学与教案设计[J]. 计算机教育. 2013(17) :112-118.

作者简介：

王耀（1977-），男，河北香河，硕士，高级实验师，主要研究方向：数据挖掘，网络编程。

于春生（1977-），男，北京，硕士，工程师，主要研究方向：云计算。

通讯作者：郭建平（1959-），男，北京，硕士，工程师，研究方向：网络经济。

参考文献：

[1]高洪熙,庄伟明,宋兰华.VBA高级应用案例在非计算机专业教学中的应用研究[J]. 计算机时代. 2015(08):73-75.

[2]王进颖.任务驱动法与项目教学法有机结合应用于计算机 （上接第8页）

（3）防止TCP 连接耗尽攻击

自动阻断某一IP对服务器特定端口的大量TCP连接耗尽攻击。 （4）防止Script 脚本攻击

防范ASP、PHP、JSP、Perl 等脚本程序的风暴式调用导致数据库和Web 崩溃。

（5）Web 过滤

过滤URL 关键字、Unicode 恶意编码、脚本木马、防止木马上传等。

（6）检测核可入侵

检测端口扫描、SQL注入、密码猜测、Expolit 利用等2000多种黑客入侵行为并阻断。

4.2 Mazu Enforcer

Mazu Enforcer 是专为针对拒绝服务攻击的，基于行为特征的入侵防御系统，其是Mazu 网络公司的产品。

Mazu Enforcer 不单纯地通过流量进行拒绝服务攻击的检测，而是通过对多个网络特征的检查，包括：

（1）带宽。通过数据包率和字节率检测。 （2）可以数据流。检测以网络资源为目标的攻击，如TCP 的SYN 风暴攻击。

（3）用户自定义。监控应用相关的特定特征，例如：如若某些网络曾经是攻击本网络的攻击数据源，则用户可自定义一个阈值，使得即使来自那些网络的数据包的量不是很大时，也能激发系统进行相应的防御处理。

（上接第71页） 2米高的铝管，每根铝管上安装有至少4个树莓派相机。在扫描之前，操作者可通过上位机检测所有树莓派是否成功连接，检测无误后，当待测者站入三维扫描系统的，按下上位机的快门按钮，1秒内即可获得不同角度不同方向的80张照片。接着，使用上位机把树莓派中刚拍摄的图片下载到计算机中，合成为人体模型，从而实现人体三维信息的重建。

本系统所使用的树莓派是一款基于ARM的微型电脑主板，以SD卡为内存硬盘，卡片主板周围有两个USB接口和一个网口，可连接键盘、鼠标和网线，同时拥有HDMI高清视频输出接口，具备所有PC的基本功能。摄像头模块使用OV57感光芯片，像素达到500万，拍摄图片分辨率为2592*1944，同时支持支持1080p30, 720p60以及0×480p60/90视频录像。为了实现瞬间同步拍摄的硬件要求，所有树莓派和上位机通过交换机形成局域网；软件方面，通过socket实现TCP编程，使得树莓派（作为客户端）和上位机（作为服务端）

当检测到拒绝服务攻击后，Mazu Enforcer 通过数据包的过滤保护受害者，其过滤器包括：

（1）数据包特征过滤。除了根据攻击特征自动生成标准的过滤器外，用户可针对特定的环境指定特定的过滤规则。

（2）SYN 流量。可以通过设置一个阈值，启动对SYN 数据包的流量。

（3）行为过滤。通过监控一些特定外部主机的行为，在数据包特征过滤之外又增加了一层保护。

（4）载荷特征过滤。可以选择监控数据包的数据载荷，过滤符合一些特征的数据包。

4.3 TopLayer

TopLayer公司较早就进入了放拒绝服务攻击领域，其最早是通过负载均衡等方法对付风暴型拒绝服务攻击的。目前，TopLayer公司有Attack Mitigator IPS 5500 系列入侵防御系统。防御DoS攻击和DDoS 攻击不是这些系统的全部功能，但却是这些系统的主要功能之一。

在防DoS/DDoS 攻击方面，IPS 5500系列具有如下特点：具有数项方拒绝服务的专利技术；对100%的数据包进行检查；持续地有状态检查，这可防御那些低速率的攻击；通过分布式的专用集成电路平台，使得数据延迟低于50 毫秒；性能和容量可调，由于使用可堆积式结构，不同的堆积数量具有不同的性能和容量。

参考文献:

[1]周继军 网络与信息安全基础 清华大学出版社 2008 [2]宋西军 计算机网络安全技术 北京大学出版社 2009

实现实时数据交互。以此作为基础，进而使我们的系统得以实现，运行顺畅。

此外，所述上位机也可以采用类似于与树莓派的ARM的微型电脑主板，通过串口或者USB口与计算机相连。

结论

本三维扫描建模系统可以通过多个树莓派搭载的摄像头经多角度拍摄后合成被测者的三维图，获取被测者的身体特征，用作虚拟试衣和后续处理。使用起来十分的方便，使用者只需要在上位机进行简单的操作之后，经过一段时间的建模等待时间就可以获得被拍摄者的人体三维模型，和其他的建模方法相比，本系统更经济，效率更加的高，可以解决开篇所述问题。

作者简介：

刘冠聪（1996-），男，天津人，民 族：汉 职称：无，学历：在读本科生。研究方向：电子科学与技术。

79