ＤＤｏＳ攻击防御新思考.doc

[摘要]互联网络带宽的增加和多种DDoS工具的不断发布,DDoS拒绝服务攻击的实施越来越容易,DDoS攻击随处可见,人们为克服DDoS攻击进行了大量研究,提出了多种解决方案。本文系统分析了DDoS攻击的原理和攻击思路,从管理和技术两个方面提出一些关于减少DDoS攻击方法。[关键词]互联网络带宽的增加和多种DDoS工具的不断发布,DDoS拒绝服务攻击的实施越来越容易,DDoS攻击事件正在呈上升趋势。出于商业竞争、打击报复和网络敲诈等多种因素,导致很多IDC托管机房、商业站点、游戏服务器、聊天网络等网络服务商长期以来一直被DDoS攻击所困扰,随之而来的是客户投诉、同虚拟主机用户受牵连、法律纠纷、商业损失等一系列问题,因此,解决DDoS攻击问题成为网络服务商必须要考虑的头等大事。在探讨DDoS之前我们首先要对DoS有所了解,DoS即DenialOfService,拒绝服务的缩写。DoS是指故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务或资源访问,使目标系统服务系统停止响应甚至崩溃,而在此攻击中并不包括侵入目标服务器或目标网络设备。通常而言,DoS的网络数据包是利用TCP/传输,这些数据包本身一般是无害的,但是如果数据包异常过多,就会造成网络设备或者服务器过载,迅速消耗了系统资源,造成服务拒绝,这就是DoS攻击的基本工作原理。DoS攻击之所以难于防护,其关键之处就在于非法流量和合法流量相互混杂,防护过程中无法有效的检测到DoS攻击。加之许多DoS攻击都采用了伪造源地址IP的技术,从而成功的躲避了基于统计模式工具的识别。具体DoS攻击实现有如下几种方法:,设置特殊的TCP包头,向服务器端不断地发送大量只有SYN标志的TCP连接请求。当服务器接收的时候,认为