引言:

最近，網(wǎng)絡(luò)遭遇DDOS攻擊的事件時(shí)有發(fā)生，比如最近的韓國(guó)網(wǎng)站遭受的攻擊就屬于DDOS攻擊，后果非常嚴(yán)重，引起了全球網(wǎng)民的高度關(guān)注。但是，如何發(fā)現(xiàn)并檢測(cè)到DDOS攻擊呢？傳統(tǒng)的網(wǎng)絡(luò)安全類工具并不湊效，在此，筆者簡(jiǎn)單介紹一下網(wǎng)絡(luò)遭遇DDOS攻擊的癥狀以及如何借助網(wǎng)絡(luò)分析技術(shù)定位DDOS攻擊。

一、什么是DDOS攻擊

DDOS（Distributed Denial of Service），即分布式拒絕服務(wù)攻擊，這是當(dāng)今流行的網(wǎng)絡(luò)攻擊方式之一，利用合法的服務(wù)請(qǐng)求來占用過多的資源或帶寬，從而使服務(wù)器不能對(duì)正常、合法的用戶提供服務(wù)。更通俗的說，只要導(dǎo)致合法用戶不能夠訪問正常網(wǎng)絡(luò)服務(wù)的行為都算是拒絕服務(wù)攻擊。這也就說明拒絕服務(wù)攻擊的目的非常明確，就是要阻止合法用戶對(duì)正常網(wǎng)絡(luò)資源的訪問，從而達(dá)到其攻擊目的。

DDOS的攻擊通過眾多的“僵尸主機(jī)”（被攻擊者入侵過或可間接利用的主機(jī)）向受害主機(jī)發(fā)送大量看似合法的網(wǎng)絡(luò)包， 從而造成網(wǎng)絡(luò)阻塞或服務(wù)器資源耗盡而導(dǎo)致不能提供正常的服務(wù)（拒絕服務(wù)）。在分布式拒絕服務(wù)攻擊的實(shí)施中，大量攻擊主機(jī)發(fā)送的網(wǎng)絡(luò)數(shù)據(jù)包就會(huì)猶如洪水般涌向受害主機(jī)，從而把合法用戶的網(wǎng)絡(luò)包淹沒，導(dǎo)致合法用戶無法正常訪問服務(wù)器的網(wǎng)絡(luò)資源，因此，拒絕服務(wù)攻擊又被稱之為“洪水攻擊”，常見的DDOS攻擊手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、、Script Flood、Proxy Flood等多種方式。 下面我們將介紹如何通過網(wǎng)絡(luò)分析技術(shù)手段來檢測(cè)DDOS攻擊。

二、遭遇攻擊的癥狀

DDOS的目的非常明確，表現(xiàn)形式主要有兩種，一種主要是針對(duì)網(wǎng)絡(luò)帶寬的攻擊，即大量攻擊包占用網(wǎng)絡(luò)帶寬，導(dǎo)致網(wǎng)絡(luò)被阻塞，從而無法完成正常、合法響應(yīng)；另一種則為資源耗盡攻擊，主要是針對(duì)服務(wù)器的攻擊，即通過大量攻擊包導(dǎo)致服務(wù)器的內(nèi)存或CPU資源被耗盡，從而造成服務(wù)器當(dāng)機(jī)或無法提供正常的網(wǎng)絡(luò)服務(wù)。

三、如何檢測(cè)DDOS攻擊

由于對(duì)DDOS攻擊的防御較為困難，目前沒有任何一種產(chǎn)品或方法能夠防御DDOS攻擊入侵，因此，對(duì)于如何檢測(cè)DDOS攻擊就顯得至關(guān)重要。本文，我們將介紹通過網(wǎng)絡(luò)分析的手段來檢測(cè)DDOS攻擊（此處用到的產(chǎn)品為科來網(wǎng)絡(luò)通訊分析系統(tǒng)技術(shù)交流版6.9）。

利用網(wǎng)絡(luò)分析技術(shù)的檢測(cè)手段，通過對(duì)網(wǎng)絡(luò)通訊數(shù)據(jù)包進(jìn)行實(shí)時(shí)的捕獲，能夠快速的分析和檢測(cè)到網(wǎng)絡(luò)中是否發(fā)生了DDOS攻擊。如果網(wǎng)絡(luò)中已經(jīng)發(fā)生了此類攻擊，那么，我們借助網(wǎng)絡(luò)分析技術(shù)就可以快速的查找和解決問題。下面我們通過一個(gè)實(shí)例來講解用科來網(wǎng)絡(luò)通訊分析系統(tǒng)查找DDOS攻擊的方法。

首先，打開概要統(tǒng)計(jì)視圖，查看網(wǎng)絡(luò)中的TCP的連接信息，如圖1所示：

（圖1 概要統(tǒng)計(jì)視圖）

從上圖中我們看到，網(wǎng)絡(luò)中存在大量的TCP同步數(shù)據(jù)包（2,249,352個(gè)），而成功建立TCP連接數(shù)太少，根據(jù)TCP三次握手的原理，我們知道，這是一種不正常的現(xiàn)象，網(wǎng)絡(luò)肯定存在問題。我們?cè)偻ㄟ^矩陣視圖來查看具體的網(wǎng)絡(luò)通信情況，如圖2： 

（圖2 矩陣連接視圖）

在矩陣連接視圖中，大量的主機(jī)同時(shí)與125.91.13.124連接通訊，并且向其發(fā)送大量的數(shù)據(jù)包，我們?cè)鯓觼泶_定這些數(shù)據(jù)包的類型呢？為了進(jìn)一步確定發(fā)送了怎樣的數(shù)據(jù)包，我們?cè)俨榭磾?shù)據(jù)包解碼就能夠看到，如圖3所示：

（圖3 數(shù)據(jù)包解碼視圖）

從上圖中我們看到，當(dāng)前的通訊全是使用了TCP進(jìn)行通訊，查看TCP的標(biāo)志，發(fā)送所有的數(shù)據(jù)包均為SYN置1，即TCP同步請(qǐng)求數(shù)據(jù)包，這些數(shù)據(jù)包全都向125.91.13.124請(qǐng)求同步，至此我們可以判斷125.91.13.124這臺(tái)主機(jī)進(jìn)行遭受DDOS攻擊， 而攻擊的方式為SYN Flood攻擊。

SYN Flood攻擊是一種經(jīng)典和常用的DDOS方法，主要是通過向受害主機(jī)發(fā)送大量的SYN或ACK包，導(dǎo)致主機(jī)的緩存資源被耗盡或忙于發(fā)送回應(yīng)包而造成拒絕服務(wù)，對(duì)各種系統(tǒng)的網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)資源等都會(huì)造成巨大的影響。

檢測(cè)DDOS攻擊還可以用到一些常規(guī)方法，如Ping命令、NETSTAT命令等，但是，這些方法相對(duì)簡(jiǎn)單并且較為繁瑣，通過網(wǎng)絡(luò)分析技術(shù)進(jìn)行分析，能起到事半功倍的效果，極大節(jié)約了故障查找的時(shí)間，提高了日常網(wǎng)絡(luò)管理的效率。