DDoS拒绝服务攻击和安全防范技术

一、DDOS拒绝服务攻击详细介绍“拒绝服务攻击是消耗整体目标网络服务器或互联网技术的资源，从而危及或瘫痪其向合理客户提供的服务。”全球权威“安全常见问题”的定义。

DDOS使用多台计算机，采用分布式架构，攻击独立或多个一般目标。其特点是:总体目标是“麻痹敌人”，而不是传统的伤害和泄漏；攻击是全世界的电脑在互联网上进行的，无法追踪。

目前，DDOS攻击手段早已发展成为一个非常令人担忧的网络信息安全难点，被称为“黑客技术最强大的武器装备”。遗憾的是，目前解决拒绝服务攻击的技术并没有以同样的速度发展。TCP/IP互联网协议的缺陷及其跨国性，使得我国现行制度和相关法律法规无法对DDOS攻击者进行验证和惩罚。DDOS攻击也逐渐与搜索引擎蜘蛛、僵尸网络紧密联系，发展趋势是成为自动播控、集中可控、分布式架构攻击的互联网技术勒索常用工具。据康华互联网络信息安全技术有限公司的专家介绍，DOS从防御能力到跟踪都有很多方法和基础知识。比如SynCookie、HIP(基于历史的IP过滤)、ACC控制等。此外，许多基础知识的方法，如IP追踪，ICMP追踪，基于哈希的IP追踪，标记等。在追踪中明确指出。但目前这种技术只能缓解攻击，维护网络服务器。避免DDOS攻击将成为大型建设项目的瓶颈问题。

二。攻击的基本概念

目前DDOS攻击分为两类:服务器带宽耗尽型和资源耗尽型。

服务器带宽消耗型主要是阻塞整体目标互联网技术的导入和导出，导致无法提供所有正常新上线服务的服务器带宽消耗。比如大范围的Smurf攻击，UDPFlood攻击，MStreamFlood攻击等。针对这类攻击的一般防范措施是QoS，用来分析和限制有线路由器或网络服务器的防火墙上的流量，从而保证服务器带宽的正常使用。简单的服务器带宽耗尽攻击很容易被识别和丢弃。

资源耗尽型是攻击者利用网站服务器处理缺陷，消耗整体目标网站服务器的关键资源，如CPU、存储等。，导致无法提供所有正常服务。例如广泛的SynFlood攻击、NAPTHA攻击等。资源消耗型攻击利用了系统在处理所有正常传输层协议时的缺陷，使得系统无法识别所有正常流和攻击流，导致防范难度极大，是目前业界最为关注的重点和难点。例如，康华的SynGate产品就是专业技术人员防范的产品。

根据DDOS攻击的基本概念，DDOS攻击的防范可以分为三层:源端攻击防范、基于路由器的有线路由器防范、目标端整体目标防范。其中，攻击端的安全技术包括DDOS常用工具分析与移除、基于攻击源的防御技术；物联网云平台安全技术将推技术、IP追踪技术；整体目标防护措施包括DDOS攻击检测、有线路由器防护、网关ip防护、网络服务器设置等。

根据康华安全工程师的多次社会实践活动分析，整体目标端安全技术应用最为广泛。因为总体目标使受害者难以为安全基金投入相对成本。而物联网云平台防范和攻击防范无法实施，合作的意愿和难度都是一定级别的困难。

三。综合防治方法实用说明

目前基于整体目标计算机技术的重要防范手段有三种:网关ip防范、有线路由器防范、网络服务器防范。

1。网关ip防护

网关ip防范是利用专业的技术人员和机械设备来防范对网关ip的DDOS攻击，如康华网络服务器防火墙或康华黑鲨，采用透明桥连接互联网的技术。ip网关防御中使用的重要技术有SynCookie方法、基于IP访问记录的HIP方法、消费者弱点计算方法等。

SynCookie方法是在建立TCP连接时，要求app客户端回复一个数据信息确认单，确认其真实性。SynCookie方法解决了整体目标计算机技术的半封闭连接编码序列资源有限的难题，从而成为目前应用最广泛的DDOS防范方法。新SCTP合同和DCCP合同也采用了类似的技术。SynCookie方法的局限性在于，每一个建立连接的握手包都必须响应一个回复包，即这种方法会导致1:1的回复流量，增加攻击流量，极大消耗服务器带宽资源；此外，当分布式架构拒绝服务攻击的发起者使用随机源地址时，SynCookie方法导致的响应流整体目标的具体地址非常释放，会导致整体目标计算机技术和周围无线路由器机械设备的缓存文件资源耗尽，产生新的攻击点，也是实际互联网技术防御中真正的无线路由器滑坡。

HIP方法使用行为数据分析方法区分攻击包和所有正常包，并为所有访问IP建立信任级别。当造成DDOS攻击时，信任级别高的IP有优先选择访问的权利，解决了判别困难。

消费计算漏洞法将访问过程中的资源漏洞从服务器转移到app客户端，从而大大增加了分布式架构拒绝服务攻击的成本，如资源访问定价法。消费者的弱点计算方法合同复杂，现阶段需要改变电脑的电脑 *** 作系统和网络结构，这也在很大程度上伤害了这种方法的可 *** 作性。

一般来说，网关ipDDOS防御技术可以有效缓解攻击压力，适合攻击者自身安全。

2。有线路由器的防范

根据技术人员的无线路由器防范方法，主要有推回法和SIFF法。但由于技术人员的有线路由器一般有三大运营商的管理方式，很难根据客户的要求进行调整。此外，由于技术人员的无线路由器负载较重，对其进行认证授权的难度难以解决，无法成为有效的独立处理方式。所以一般采用基于技术人员的无线路由器的方法作为辅助追踪方案，配合其他方法进行防范。

有线路由器的ACL和过流保护是有效的防范措施，如限制对特征攻击包的访问，丢弃带有攻击者IP的包；或者限制发现异常流量。拦截方式也可以打开，有线路由器可以代替网站服务器回复Syn包，代表虚拟服务器与网站服务器建立连接。类似于SynProxy技术，当两个连接都成功建立时，有线路由器透明地合并这两个连接。

四。预防技术的发展趋势和发展趋势

DDOS攻击发展非常快。为了提高攻击的破坏力，目前采用了许多新的攻击技术:伪造数据信息，消除攻击包的特征；合同缺陷和系统处理缺陷的综合利用；使用各种攻击包混合攻击；采用攻击包预引导的方法来提高攻击率。目前出现已久的常见攻击工具，在有针对性的情况下，每秒可以进行6-8万个攻击包，足以屏蔽大小网站100兆带宽的地址。

DDoS防范的技术重要性是攻击追踪和网关ip防范的发展趋势。使用ICMP数据库文件跟踪，或者Burch和Cheswick明确指出的根据识别数据库文件进行跟踪的方法，都是当前科学研究的实时热点。物联网云平台攻击跟踪研究的总体目标是在攻击开始时准确定位攻击源，从而阻断攻击的传播，降低对整体目标的危害。网关ipDDOS防范技术将是未来重要的产品发展趋势，它将成为各种网址的DDOS安全盾牌。目前科研的实时热点是利用行为数据分析等方法来区分攻击包，如康华黑鲨采用的CIP技术。随着技术的发展趋势，网关ipDDOS防护产品将得到广泛应用。