一、 DDoS拒绝服务攻击简介 　　“拒绝服务(Denial-Of-Service)攻击就是消耗目标主机或者 *** 的资源，从而干扰或者瘫痪其为合法用户提供的服务。”国际权威机构“Security FAQ”给出的定义。 　　DDOS则是利用多台计算机机，采用了分布式对单个或者多个目标同时发起DoS攻击。其特点是:目标是“瘫痪敌人”，而不是传统的破坏和窃密;利用国际互联网遍布全球的计算机发起攻击，难于追踪。 　　目前DDoS攻击方式已经发展成为一个非常严峻的公共安全问题，被称为“黑客终极武器”。但是不幸的是，目前对付拒绝服务攻击的技术却没有以相同的速度发展，TCP/IP互联网协议的缺陷和无国界性，导致目前的国家机制和法律都很难追查和惩罚DDoS攻击者。DDoS攻击也逐渐与蠕虫、Botnet相结合，发展成为自动化播、集中受控、分布式攻击的 *** 讹诈工具。据方正信息安全技术有限公司的有关专家介绍，DOS从防御到追踪，已经有了非常多的办法和理论。比如SynCookie，HIP(History-based IP filtering)、ACC控制等,另外在追踪方面也提出许多理论 *** ，比如IP Traceback、ICMP Traceback、Hash-Based IP traceback、Marking等。但目前这些技术仅能起到缓解攻击、保护主机的作用，要彻底杜绝DDoS攻击将是一个浩大的工程技术问题。 　　二、攻击原理 　　目前DDoS攻击主要分为两类:带宽耗尽型和资源耗尽型。 　　带宽耗尽型主要是堵塞目标 *** 的出口，导致带宽消耗不能提供正常的上网服务。例如常见的Smurf攻击、UDP Flood攻击、MStream Flood攻击等。针对此类攻击一般采取的措施就是QoS，在路由器或防火墙上针对此类数据流限制流量，从而保证正常带宽的使用。单纯带宽耗尽型攻击较易被识别，并被丢弃。 　　资源耗尽型是攻击者利用服务器处理缺陷，消耗目标服务器的关键资源，例如CPU、内存等，导致无法提供正常服务。例如常见的Syn Flood攻击、NAPTHA攻击等。资源耗尽型攻击利用系统对正常 *** 协议处理的缺陷，使系统难于分辨正常流和攻击流，导致防范难度较大，是目前业界最关注的焦点问题，例如方正SynGate产品就是专门防范此类的产品。 　　针对DDoS的攻击原理，对DDoS攻击的防范主要分为三层:Source-end攻击源端防范、Router-based路由器防范、Target-end目标端防范。其中攻击端防护技术有DDoS工具分析和清除、基于攻击源的防范技术;骨干网防护技术有会推技术、IP追踪技术;目标端防护措施有DDoS攻击探测、路由器防范、网关防范、主机设置等 *** 。 　　据方正安全工程师的多次实践分析，目标端防护技术得到最广泛应用。由于目标端使被攻击者，愿意为防护付出相应代价，并且实施难度也较低。而骨干网防范、攻击端防范都难于实施，合作意愿和难度上都有一定程度的问题 　　三、综合防范 *** 综述 　　目前基于目标计算机系统的防范 *** 主要三类:网关防范、路由器防范、主机防范。 　　1.网关防范 　　网关防范就是利用专门技术和设备在网关上防范DDoS攻击，例如用透明桥接入 *** 的方正防火墙或方正黑鲨等硬件产品。网关防范主要采用的技术有SynCookie *** 、基于IP访问记录的HIP *** 、客户计算瓶颈 *** 等。 　　SynCookie *** 是在建立TCP连接时，要求客户端响应一个数字回执，来证明自己的真实性。SynCookie *** 解决了目标计算机系统的半开连接队列的有限资源问题，从而成为目前被最广泛采用的DDoS防范 *** ，新的SCTP协议和DCCP协议也采用了类似的技术。SynCookie *** 的局限性在于，对于建立连接的每一个握手包，都要回应一个响应包，即该 *** 会产生1:1的响应流，会将攻击流倍增，极大的浪费带宽资源;此外，当分布式拒绝服务攻击的发起者采用随机源地址时，SynCookie *** 产生的回应流的目标地址非常发散，从而会导致目标计算机系统及其周边的路由设备的路由缓冲资源被耗尽，从而形成新的被攻击点，在实际的 *** 对抗中也产生了真实的路由雪崩事件。