DDoS攻击及防御技术综述

DDoS攻击及防御技术综述

本文内容为论文转载。

摘    要：

分布式拒绝服务攻击 (Distributed Denial of Service, DDoS) 是互联网上有严重威胁的攻击方式之一, 难以完全对其进行防御。介绍DDoS攻击的技术原理, 在此基础上, 分析主流入侵检测方式在DDoS攻击检测中的优缺点。最后, 全面分析了适用于DDoS攻击防御的技术手段, 为防御DDoS攻击提供了技术参考。

关键词：

DDoS; 攻击技术; 攻击防御; 攻击检测;

0 引言

在互联网的各种安全威胁中, 拒绝服务攻击威胁性强, 而分布式拒绝服务攻击所带来的安全威胁程度更高, 后果损失更加严重。从广义上来说, 拒绝服务攻击指任何导致网络系统不能正常为用户提供服务的攻击手段, 主要包含漏洞利用型攻击和资源消耗型攻击两类。漏洞利用型攻击针对被攻击的系统或软件漏洞, 精心设计特殊的报文, 使得目标系统、软件崩溃或者重启。目前这类攻击的危害不是非常大, 在防火墙及各种检测机制的保护下, 能够有效避免。资源消耗型攻击也称泛洪攻击, 它的攻击方式是在短时间内发送大量的报文来对目标进行攻击, 使得目标机器的计算能力和处理能力大幅度降低, 从而造成目标服务器的服务质量下降甚至停止服务。相较于漏洞利用型攻击方式, 资源消耗型攻击方式更依赖于对目标主机性能的干扰, 由此也产生了后来的分布式拒绝服务攻击。

1 DDoS攻击技术原理

1.1 攻击网络带宽

(1) 直接攻击。直接攻击是指攻击者利用控制的大量主机对受害者发送大量的数据流量, 使得受害者的网络带宽被占据, 并大量消耗服务器和网络设备的处理能力, 达到拒绝服务攻击的目的。例如ICMP/IGMP洪水攻击, UDP洪水攻击等都是典型的DDoS直接攻击方式。

(2) 反射和放大攻击。直接攻击不仅效率低而且容易被追踪, 所以攻击者更多地选择反射攻