DOS攻擊原理與防御策略研究

DOS攻擊原理與防御策略研究

論文導讀：隨著互聯網應用的推廣普及，威脅網絡可靠運行的安

全問題變得極為重要，通過介紹DoS攻擊的概念、原理和分類,提出

了針對整個系統的DoS 攻擊防范策略建議。關鍵詞：DOS攻擊網絡

安全，防御策略

1.引言

隨著互聯網的迅速發展, 網絡已經滲入到社會的每一個角落，人們已

經越來越離不開網絡，就在網絡迅猛發展的同時，網絡安全也已經成

為我們生活中密不可分的部分。黑客們的攻擊手段可謂是層出不窮，

其中DoS 攻擊和DDoS 攻擊是他們用得最多的攻擊方法。DOS，即

Denial of Service，譯為拒絕服務。DOS攻擊又稱拒絕服務攻擊，拒絕

服務攻擊是一種技術含量低，但攻擊效果明顯的一種攻擊方法，當受

到這樣的攻擊時，服務器長時間內不能正常的提供服務，使得合法用

戶不能得到正確服務。也正是由于DoS 攻擊方式簡單、容易達到目

的、難于防范和追查，近年來，隨著網絡的迅猛發展與電子商務的興

起，它迅速發展成為一種隱蔽性強、破壞力大，主要攻擊網絡設備，

如路由器、交換機或主機的黑客攻擊手段。但是，盡管DoS 攻擊的

原理極為簡單,迄今為止仍然沒有一項技術能很好地防范這類簡單攻

擊。

攻擊概述

2.1 DOS攻擊的概念

DoS 攻擊廣義上指任何導致被攻擊的服務器不能正常提供服務的攻

擊方式。具體而言，DoS 攻擊是指故意的攻擊網絡協議實現的缺陷或

直接通過野蠻手段殘忍地耗盡被攻擊對象的資源,目的是讓目標計算

機或網絡無法提供正常的服務或資源訪問, 使目標系統服務系統停

止響應甚至崩潰, 而在此攻擊中并不包括侵入目標服務器或目標網

絡設備, 這些服務資源包括網絡帶寬, 文件系統空間容量, 開放的進

程或者允許的連接等, 這種攻擊會導致資源的匱乏, 無論計算機的處

理速度多快、內存容量多大、網絡帶寬的速度多快都無法避免這種攻

擊帶來的后果, 拒絕服務攻擊會使所有的資源變得非常渺小。

2.2 DOS攻擊的分類

如果了解了攻擊者可以采取的攻擊類型，就可以有針對性地應對這些

攻擊。而對DOS攻擊的分類研究則是深入了解拒絕服務攻擊的有效

途徑。DOS攻擊的分類方法有很多種，從不同的角度可以進行不同的

分類，而不同的應用場合需要采用不同的分類。下面我們介紹幾個常

用分類：

按照攻擊方式來分可以分為：資源消耗、服務中止和物理破壞。資源

消耗指攻擊者試圖消耗目標的合法資源，例如網絡帶寬、內存和磁盤

空間、CPU使用率等。服務中止則是指攻擊者利用服務中的某些缺陷

導致服務崩潰或中止。物理破壞則是指雷擊、電流、水火等物理接觸

的方式導致的拒絕服務攻擊。

根據攻擊的對象可以分為：針對網絡寬帶的DOS攻擊、針對系統資

源的DOS攻擊和針對應用程序資源的DOS攻擊。其中最為流行的是

針對系統資源的DOS攻擊。針對網絡寬帶的DOS攻擊是指利用某些

技術攻擊目標系統的網絡寬帶；針對系統資源的DOS攻擊是指利用

某些通信協議的先天性bug或者某些服務程序的bug來實施攻擊；而

針對應用程序資源的DOS攻擊是攻擊者抓住應用程序的不健全，利

用大量的合法的服務請求來耗盡服務器上應用程序資源，從而使得服

務器無法及時、高校地向合法用戶提供服務。

按攻擊是否直接針對受害者，可以分為直接拒絕服務攻擊和間接拒絕

服務攻擊，如要對某個E-mail賬號實施拒絕服務攻擊，直接對該賬號

用郵件炸彈攻擊就屬于直接攻擊。為了使某個郵件賬號不可用，攻擊

郵件服務器而使整個郵件服務器不可用就是間接攻擊。

2.3 DOS攻擊的原理與途徑

要對服務器實施拒絕服務攻擊，主要有以下兩種方法: ①迫使服務器

的緩沖區滿，不接收新的請求；②使用IP 欺騙,迫使服務器把合法用

戶的連接復位,影響合法用戶的連接，這也是DoS 攻擊實施的基本思

想。為便于理解，以下介紹一個簡單的DoS 攻擊基本過程：攻擊者

先向受害者發送大量帶有虛假地址的請求，受害者發送回復信息后等

待回傳信息。由于是偽造地址，所以受害者一直等不到回傳信息，分

配給這次請求的資源就始終不被釋放。當受害者等待一定時間后，連

接會因超時被切斷，此時攻擊者會再度傳送一批偽地址的新請求，這

樣反復進行直至受害者資源被耗盡，最終導致受害者系統癱瘓。

攻擊的防御策略

一般來說，DOS攻擊可以說是如下原因造成的：

（1）軟件弱點是包含在操作系統或應用程序中與安全相關的系統缺

陷，這些缺陷大多是由于錯誤的程序編制，粗心的源代碼審核，無心

的副效應或一些不適當的綁定所造成的。

（2）錯誤配置也會成為系統的安全隱患。這些錯誤配置通常發生在

硬件裝置，系統或者應用程序中，大多是由于一些沒經驗的，無責任

員工或者錯誤的理論所導致的。

（3）重復請求導致過載的拒絕服務攻擊。當對資源的重復請求大大

超過資源的支付能力時就會造成拒絕服務攻擊（例如，對已經滿載的

Web服務器進行過多的請求使其過載）。

基于上面的原因，我們可以采取以下防御策略來盡量避免DoS攻擊：

（1）充分利用網絡設備保護網絡資源。論文參考網。所謂網絡設備

是指路由器、防火墻等負載均衡設備，它們可將網絡有效地保護起來。

首先，當網絡被攻擊時最先死掉的是路由器，但其他機器沒有死。死

掉的路由器經重啟后會恢復正常，而且啟動起來還很快，沒有什么損

失。若其他服務器死掉，其中的數據會丟失，而且重啟服務器又是一

個漫長的過程。特別是一個公司使用了負載均衡設備，這樣當一臺路

由器被攻擊死機時，另一臺將馬上工作。從而最大程度的削減了DoS

的攻擊。其次，利用防火墻, 對出入數據包過濾,對防火墻進行正確設

置,啟用防火墻的防DoS/DDoS 屬性。通常有兩種算法技術:

①Random Drop算法,該算法是當流量達到一定的數量限度時,所采取

的一種通過降低性能,保證服務的不得已的方法。論文參考網。②SYN

Cookie 算法,采用六次握手技術以極大地降低受攻率。同時，優化路

由和網絡結構并對路由器進行正確設置。如在路由器上配置

SYN/ICMP 的最大流量來限制SYN/ICMP 封包所能占有的最高頻寬，

這樣，當出現大量的超過所限定的SYN/ICMP 流量時，說明不是正常

的網絡訪問，而是有黑客入侵。早期通過限制SYN/ICMP 流量是最好

的防范DoS 的方法，雖然目前該方法對于DoS 效果不太明顯了，不

過仍然能夠起到一定的作用。

（2）定期安全檢測。用模擬網絡攻擊對系統實施可能安全隱患的全

面搜索；通過消除冗余端口、服務和應用程序收縮系統受攻面積；以

系統更新或漏洞彌補增強抗攻擊能力；通過嚴格的安全檢測可降低遭

受弱點或漏洞攻擊的幾率。比如Cisco 公司的CEF(Cisco Express

Forwarding)可以針對封包Source IP 和Routing Table 做比較，并加以

過濾。只開放服務端口成為目前很多服務器的流行做法，例如WWW

服務器那么只開放80 而將其他所有端口關閉或在防火墻上做阻止策

略。

（3）加固操作系統,配置操作系統各種參數以加強系統穩固性，修補

系統漏洞及早發現系統存在的攻擊漏洞。對一些重要的信息（例如系

統配置信息）建立和完善備份機制。對一些特權賬號(例如管理員賬

號）的密碼設置要謹慎。論文參考網。通過這樣一系列的舉措可以把

攻擊者的可乘之機降低到最小。

（4）把網站做成靜態頁面。大量事實證明，把網站盡可能做成靜態

頁面，不僅能大大提高抗攻擊能力，而且還給黑客入侵帶來不少麻煩，

至少到現在為止關于HTML 的溢出還沒出現，如果一定需要動態腳本

調用，那就把它移動到另外一臺單獨主機去，免的遭受攻擊時連累主

服務器，此外，最好在需要調用數據庫的腳本中拒絕使用代理的訪問，

因為經驗表明使用代理訪問你網站的80% 屬于惡意行為。

(5) 優化對外開放訪問的主機,及時安裝更新系統補丁,對主機進行正

確設置。由于使用的軟件幾乎完全依賴于開發商，所以對于由軟件引

起的漏洞只能依靠打補丁，安裝hot fixes和Service packs來彌補。當

某個應用程序被發現有漏洞存在，開發商會立即發布一個更新的版本

來修正這個漏洞。由于開發協議固有的缺陷導致的DoS攻擊，可以通

過簡單的補丁來彌補系統缺陷。同時，還可以采取關閉不必要的服務

等措施。

(6)帶寬限制和QoS 保證,通過對報文種類、來源等各種特性設置閾值

參數,保證主要服務穩定可靠的資源供給。

(7) 負載均衡技術,即把應用業務分布到幾臺不同的服務器上,甚至不

同的地點。

(8) 網絡管理員應當定期查看安全設備的日志，及時發現對系統的安

全威脅行為，并時刻關注安全信息,實時關注所有安全問題的發展。

4.小結

DoS 攻擊由于攻擊簡單、容易達到目的、難以進行防范和追查等特點

越來越成為一種常見的攻擊方式。通過對它的全面深入剖析，充分理

解其工作原理及危害性，便于用先進技術和工具有效地預防并遏制攻

擊的發生，對開發更為安全可靠的網絡服務程序提供借鑒。

參考文獻：[1] 李軍.DDoS攻擊全面解析[J].網絡安全技術與應

用,2007(9).[2] 肖軍模.網絡信息安全[M].機械工業出版社,2005.[3] 米

雁輝.網絡安全與黑客[M].航空工業出版社,2003[4] 錢紅燕,周

軍.TCPPIP網絡的DDoS攻擊及對策[J].南京航空航天大學學報,2000

(12) .