DOS攻击原理与防御策略研究

DOS攻击原理与防御策略研究

论文导读：随着互联网应用的推广普及，威胁网络可靠运行的安

全问题变得极为重要，通过介绍DoS攻击的概念、原理和分类,提出

了针对整个系统的DoS 攻击防范策略建议。关键词：DOS攻击网络

安全，防御策略

1.引言

随着互联网的迅速发展, 网络已经渗入到社会的每一个角落，人们已

经越来越离不开网络，就在网络迅猛发展的同时，网络安全也已经成

为我们生活中密不可分的部分。黑客们的攻击手段可谓是层出不穷，

其中DoS 攻击和DDoS 攻击是他们用得最多的攻击方法。DOS，即

Denial of Service，译为拒绝服务。DOS攻击又称拒绝服务攻击，拒绝

服务攻击是一种技术含量低，但攻击效果明显的一种攻击方法，当受

到这样的攻击时，服务器长时间内不能正常的提供服务，使得合法用

户不能得到正确服务。也正是由于DoS 攻击方式简单、容易达到目

的、难于防范和追查，近年来，随着网络的迅猛发展与电子商务的兴

起，它迅速发展成为一种隐蔽性强、破坏力大，主要攻击网络设备，

如路由器、交换机或主机的黑客攻击手段。但是，尽管DoS 攻击的

原理极为简单,迄今为止仍然没有一项技术能很好地防范这类简单攻

击。

攻击概述

2.1 DOS攻击的概念

DoS 攻击广义上指任何导致被攻击的服务器不能正常提供服务的攻

击方式。具体而言，DoS 攻击是指故意的攻击网络协议实现的缺陷或

直接通过野蛮手段残忍地耗尽被攻击对象的资源,目的是让目标计算

机或网络无法提供正常的服务或资源访问, 使目标系统服务系统停

止响应甚至崩溃, 而在此攻击中并不包括侵入目标服务器或目标网

络设备, 这些服务资源包括网络带宽, 文件系统空间容量, 开放的进

程或者允许的连接等, 这种攻击会导致资源的匮乏, 无论计算机的处

理速度多快、内存容量多大、网络带宽的速度多快都无法避免这种攻

击带来的后果, 拒绝服务攻击会使所有的资源变得非常渺小。

2.2 DOS攻击的分类

如果了解了攻击者可以采取的攻击类型，就可以有针对性地应对这些

攻击。而对DOS攻击的分类研究则是深入了解拒绝服务攻击的有效

途径。DOS攻击的分类方法有很多种，从不同的角度可以进行不同的

分类，而不同的应用场合需要采用不同的分类。下面我们介绍几个常

用分类：

按照攻击方式来分可以分为：资源消耗、服务中止和物理破坏。资源

消耗指攻击者试图消耗目标的合法资源，例如网络带宽、内存和磁盘

空间、CPU使用率等。服务中止则是指攻击者利用服务中的某些缺陷

导致服务崩溃或中止。物理破坏则是指雷击、电流、水火等物理接触

的方式导致的拒绝服务攻击。

根据攻击的对象可以分为：针对网络宽带的DOS攻击、针对系统资

源的DOS攻击和针对应用程序资源的DOS攻击。其中最为流行的是

针对系统资源的DOS攻击。针对网络宽带的DOS攻击是指利用某些

技术攻击目标系统的网络宽带；针对系统资源的DOS攻击是指利用

某些通信协议的先天性bug或者某些服务程序的bug来实施攻击；而

针对应用程序资源的DOS攻击是攻击者抓住应用程序的不健全，利

用大量的合法的服务请求来耗尽服务器上应用程序资源，从而使得服

务器无法及时、高校地向合法用户提供服务。

按攻击是否直接针对受害者，可以分为直接拒绝服务攻击和间接拒绝

服务攻击，如要对某个E-mail账号实施拒绝服务攻击，直接对该账号

用邮件炸弹攻击就属于直接攻击。为了使某个邮件账号不可用，攻击

邮件服务器而使整个邮件服务器不可用就是间接攻击。

2.3 DOS攻击的原理与途径

要对服务器实施拒绝服务攻击，主要有以下两种方法: ①迫使服务器

的缓冲区满，不接收新的请求；②使用IP 欺骗,迫使服务器把合法用

户的连接复位,影响合法用户的连接，这也是DoS 攻击实施的基本思

想。为便于理解，以下介绍一个简单的DoS 攻击基本过程：攻击者

先向受害者发送大量带有虚假地址的请求，受害者发送回复信息后等

待回传信息。由于是伪造地址，所以受害者一直等不到回传信息，分

配给这次请求的资源就始终不被释放。当受害者等待一定时间后，连

接会因超时被切断，此时攻击者会再度传送一批伪地址的新请求，这

样反复进行直至受害者资源被耗尽，最终导致受害者系统瘫痪。

攻击的防御策略

一般来说，DOS攻击可以说是如下原因造成的：

（1）软件弱点是包含在操作系统或应用程序中与安全相关的系统缺

陷，这些缺陷大多是由于错误的程序编制，粗心的源代码审核，无心

的副效应或一些不适当的绑定所造成的。

（2）错误配置也会成为系统的安全隐患。这些错误配置通常发生在

硬件装置，系统或者应用程序中，大多是由于一些没经验的，无责任

员工或者错误的理论所导致的。

（3）重复请求导致过载的拒绝服务攻击。当对资源的重复请求大大

超过资源的支付能力时就会造成拒绝服务攻击（例如，对已经满载的

Web服务器进行过多的请求使其过载）。

基于上面的原因，我们可以采取以下防御策略来尽量避免DoS攻击：

（1）充分利用网络设备保护网络资源。论文参考网。所谓网络设备

是指路由器、防火墙等负载均衡设备，它们可将网络有效地保护起来。

首先，当网络被攻击时最先死掉的是路由器，但其他机器没有死。死

掉的路由器经重启后会恢复正常，而且启动起来还很快，没有什么损

失。若其他服务器死掉，其中的数据会丢失，而且重启服务器又是一

个漫长的过程。特别是一个公司使用了负载均衡设备，这样当一台路

由器被攻击死机时，另一台将马上工作。从而最大程度的削减了DoS

的攻击。其次，利用防火墙, 对出入数据包过滤,对防火墙进行正确设

置,启用防火墙的防DoS/DDoS 属性。通常有两种算法技术:

①Random Drop算法,该算法是当流量达到一定的数量限度时,所采取

的一种通过降低性能,保证服务的不得已的方法。论文参考网。②SYN

Cookie 算法,采用六次握手技术以极大地降低受攻率。同时，优化路

由和网络结构并对路由器进行正确设置。如在路由器上配置

SYN/ICMP 的最大流量来限制SYN/ICMP 封包所能占有的最高频宽，

这样，当出现大量的超过所限定的SYN/ICMP 流量时，说明不是正常

的网络访问，而是有黑客入侵。早期通过限制SYN/ICMP 流量是最好

的防范DoS 的方法，虽然目前该方法对于DoS 效果不太明显了，不

过仍然能够起到一定的作用。

（2）定期安全检测。用模拟网络攻击对系统实施可能安全隐患的全

面搜索；通过消除冗余端口、服务和应用程序收缩系统受攻面积；以

系统更新或漏洞弥补增强抗攻击能力；通过严格的安全检测可降低遭

受弱点或漏洞攻击的几率。比如Cisco 公司的CEF(Cisco Express

Forwarding)可以针对封包Source IP 和Routing Table 做比较，并加以

过滤。只开放服务端口成为目前很多服务器的流行做法，例如WWW

服务器那么只开放80 而将其他所有端口关闭或在防火墙上做阻止策

略。

（3）加固操作系统,配置操作系统各种参数以加强系统稳固性，修补

系统漏洞及早发现系统存在的攻击漏洞。对一些重要的信息（例如系

统配置信息）建立和完善备份机制。对一些特权账号(例如管理员账

号）的密码设置要谨慎。论文参考网。通过这样一系列的举措可以把

攻击者的可乘之机降低到最小。

（4）把网站做成静态页面。大量事实证明，把网站尽可能做成静态

页面，不仅能大大提高抗攻击能力，而且还给黑客入侵带来不少麻烦，

至少到现在为止关于HTML 的溢出还没出现，如果一定需要动态脚本

调用，那就把它移动到另外一台单独主机去，免的遭受攻击时连累主

服务器，此外，最好在需要调用数据库的脚本中拒绝使用代理的访问，

因为经验表明使用代理访问你网站的80% 属于恶意行为。

(5) 优化对外开放访问的主机,及时安装更新系统补丁,对主机进行正

确设置。由于使用的软件几乎完全依赖于开发商，所以对于由软件引

起的漏洞只能依靠打补丁，安装hot fixes和Service packs来弥补。当

某个应用程序被发现有漏洞存在，开发商会立即发布一个更新的版本

来修正这个漏洞。由于开发协议固有的缺陷导致的DoS攻击，可以通

过简单的补丁来弥补系统缺陷。同时，还可以采取关闭不必要的服务

等措施。

(6)带宽限制和QoS 保证,通过对报文种类、来源等各种特性设置阈值

参数,保证主要服务稳定可靠的资源供给。

(7) 负载均衡技术,即把应用业务分布到几台不同的服务器上,甚至不

同的地点。

(8) 网络管理员应当定期查看安全设备的日志，及时发现对系统的安

全威胁行为，并时刻关注安全信息,实时关注所有安全问题的发展。

4.小结

DoS 攻击由于攻击简单、容易达到目的、难以进行防范和追查等特点

越来越成为一种常见的攻击方式。通过对它的全面深入剖析，充分理

解其工作原理及危害性，便于用先进技术和工具有效地预防并遏制攻

击的发生，对开发更为安全可靠的网络服务程序提供借鉴。

参考文献：[1] 李军.DDoS攻击全面解析[J].网络安全技术与应

用,2007(9).[2] 肖军模.网络信息安全[M].机械工业出版社,2005.[3] 米

雁辉.网络安全与黑客[M].航空工业出版社,2003[4] 钱红燕,周

军.TCPPIP网络的DDoS攻击及对策[J].南京航空航天大学学报,2000

(12) .