DDOS是目前應(yīng)用最為廣泛的一種攻擊手段，也是令人最為頭疼的一種攻擊方式。攻擊者會(huì)在瞬間耗盡機(jī)器的資源，使得正常的業(yè)務(wù)無(wú)法運(yùn)行，網(wǎng)絡(luò)處于癱瘓狀態(tài)。有人做了一個(gè)形象的比喻，如果酒店有300間客房，惡意的消費(fèi)者通過(guò)電話預(yù)定300間，僅僅是預(yù)定，但是不執(zhí)行，這就使正常的客人無(wú)法入住，嚴(yán)重影響酒店正常運(yùn)營(yíng)。針對(duì)該種攻擊方式，業(yè)內(nèi)推出了很多的相關(guān)產(chǎn)品，但是一直無(wú)法很好的解決，莫非DDOS真的無(wú)可防范嗎?哪里有攻擊哪里就會(huì)有防御，IDP給出了一個(gè)很好的解決方案。

　　一 DDOS的攻擊原理

　　DOS攻擊目前主要有兩種方式：帶寬攻擊和連通性攻擊。針對(duì)帶寬攻擊，就是發(fā)送大量的流量耗盡網(wǎng)絡(luò)帶寬資源，由于網(wǎng)絡(luò)管理者可以主動(dòng)根據(jù)具體的網(wǎng)絡(luò)應(yīng)用，具體的用戶限制帶寬，所以帶寬攻擊的影響已經(jīng)越來(lái)越小。連通性攻擊就是通過(guò)建立連接來(lái)沖擊計(jì)算機(jī)，使得機(jī)器的資源被耗盡，達(dá)到攻擊的目的。針對(duì)該種攻擊，由于網(wǎng)絡(luò)管理者不能手動(dòng)干涉連接的建立，在攻擊中就顯得很被動(dòng)，很難控制該攻擊的發(fā)生，本文主要是針對(duì)連通性攻擊給出的具體的防范案例。

　　在連通性攻擊中應(yīng)用最廣泛的就是SYN Flood的攻擊，SYN Flood的攻擊者主要是利用TCP連接中的漏洞，達(dá)到其攻擊目的。如下圖所示：

　　

　　本來(lái)，正常的TCP連接是需要三次握手協(xié)議完成的，攻擊者先向目的主機(jī)發(fā)出一個(gè)SYN請(qǐng)求，由于目的主機(jī)不能判斷對(duì)方是否惡意，所以會(huì)回復(fù)一個(gè)SYN/ACK，這樣在目的主機(jī)就需要維護(hù)一個(gè)這樣的半連接，等待對(duì)方回復(fù)ACK后，完成整個(gè)連接的建立。攻擊者正是利用了這一點(diǎn)，他只發(fā)送大量的SYN報(bào)文，并不回復(fù)ACK，這樣在目的主機(jī)中就維護(hù)了大量的半連接隊(duì)列，由于主機(jī)的資源是有限的，攻擊者通過(guò)持續(xù)不斷的發(fā)送SYN報(bào)文，耗盡了目的主機(jī)的資源，使得正常的服務(wù)連接得不到建立，網(wǎng)絡(luò)處于癱瘓狀態(tài)。

　　二 IDP的解決方案

　　通過(guò)IDP的部署，可以保證TCP連接的正常建立，以此來(lái)防范那些惡意的半連接。回到開(kāi)篇咱們舉的那個(gè)例子，如果在酒店和客戶之間有一個(gè)中間機(jī)構(gòu)，該機(jī)構(gòu)限定客戶的響應(yīng)時(shí)間，如果超過(guò)一定時(shí)間沒(méi)有響應(yīng)，則通知酒店取消預(yù)定，或者該機(jī)構(gòu)作為酒店代理，只有收到款后才跟酒店建立業(yè)務(wù)關(guān)系，這樣酒店就可以避免惡意的預(yù)定，正常運(yùn)營(yíng)。IDP設(shè)備就是在攻擊者和服務(wù)器之間充當(dāng)這樣的一個(gè)中間機(jī)構(gòu)。針對(duì)上述中間機(jī)構(gòu)的兩種處理方式，IDP設(shè)備也有兩種工作模式：被動(dòng)模式和主動(dòng)模式。

　　1.被動(dòng)模式

　　IDP的被動(dòng)工作模式，是指其并不參與到客戶機(jī)目標(biāo)服務(wù)器之間連接的建立，但是其會(huì)維護(hù)一個(gè)連接建立的時(shí)間表，它監(jiān)控整個(gè)連接建立過(guò)程，如果客戶機(jī)超過(guò)一定時(shí)間沒(méi)有回復(fù)ACK報(bào)文，那么IDP就向目標(biāo)服務(wù)器發(fā)送一個(gè)RESET報(bào)文，取消該連接。如圖所示：

　　

　　IDP維護(hù)的時(shí)間表會(huì)低于目標(biāo)服務(wù)器連接隊(duì)列老化時(shí)間，以此來(lái)減少目標(biāo)服務(wù)器的資源利用率。IDP可以根據(jù)每秒SYN報(bào)文的個(gè)數(shù)來(lái)決定是否應(yīng)用此策略，因?yàn)槿绻�每秒SYN報(bào)文個(gè)個(gè)數(shù)比較少根本對(duì)目的主機(jī)構(gòu)不成威脅，也沒(méi)必要采取措施。默認(rèn)值為1000，既如果每秒SYN報(bào)文超過(guò)1000，則啟動(dòng)該功能。

　　2.主動(dòng)模式

　　主動(dòng)模式中IDP實(shí)際參與到了連接建立的過(guò)程中，其作為主機(jī)和目標(biāo)服務(wù)器之間的一個(gè)中轉(zhuǎn)機(jī)構(gòu)，以此來(lái)確保目標(biāo)服務(wù)器只會(huì)給處于連接建立狀態(tài)的連接分配資源，阻止了非法攻擊的資源消耗。對(duì)于主機(jī)和目標(biāo)服務(wù)器來(lái)說(shuō)，IDP設(shè)備是透明的，如下圖所示：

　　

　　IDP作為中轉(zhuǎn)設(shè)備，其每收到一個(gè)SYN報(bào)文，其都會(huì)回復(fù)一個(gè)SYN/ACK，對(duì)主機(jī)來(lái)說(shuō)就像是目標(biāo)服務(wù)器回復(fù)的一樣，如果規(guī)定時(shí)間內(nèi)主機(jī)能夠回復(fù)ACK，那么連接就能正常建立，IDP就允許連接轉(zhuǎn)移到目標(biāo)服務(wù)器上，對(duì)目標(biāo)服務(wù)器來(lái)說(shuō)，此時(shí)的IDP設(shè)備就是請(qǐng)求服務(wù)的主機(jī)。如果規(guī)定時(shí)間內(nèi)IDP沒(méi)有收到主機(jī)回復(fù)的ACK報(bào)文，那么IDP就會(huì)關(guān)閉該連接，目標(biāo)服務(wù)器根本不會(huì)感知到這一過(guò)程，在無(wú)聲無(wú)息中就將危險(xiǎn)阻止于門(mén)外。

　　根據(jù)自己的網(wǎng)絡(luò)狀況，合理選擇IDP的應(yīng)用模式，相信DDOS不會(huì)再成為困擾你的問(wèn)題。

標(biāo)簽： ddos 服務(wù)器 漏洞 網(wǎng)絡(luò)

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。