Internet给人们的生活带来了巨大的变革，提供了更多的便利。但同时也将人们的计算机暴露在网络黑客的攻击下。由于网络系统最初设计对安全性考虑的欠缺及操作系统中缺陷不断被发现，多年来累积下了无数的漏洞，网络中潜伏的黑客将会以此作为缺口来对系统进行攻击。网络安全攻击的方式多种多样，其中DDoS类的攻击会给你的网络系统造成更大的危害。

1 DDoS的概念

分布式拒绝服务(Distributed Denial Of SERVICE，DDoS)他是一种基于DOS的特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式。在DDoS(分布式拒绝服务)中，攻击者事先入侵了大量计算机，并在这些计算机上植入了DDoS攻击程序，然后结合这些被入侵的计算机的网络传输力量发动攻击。利用大量的计算机发动攻击不仅增加了攻击的力度，而且更难于防范。DDoS的攻击原理所示。

显示了DDoS攻击的结构：一个主机，主控计算机(Master)，作用是发送控制消息给事先入侵并已植入DDoS程序的从计算机群(Slave)，控制从计算机群发起对目标计算机的攻击。从计算机群将产生高容量的源地址为伪造的或随机的网络数据流，并把这些数据流发送给目标计算机。因为数据流的源地址是伪造的，增加了追查的难度。

2 利用反弹服务器进行DDoS攻击

现在攻击者通过利用反弹服务器(Reflector)，更好的组织他们的攻击。反弹服务器是指，当收到一个请求数据报后就会产生一个回应数据报的主机。例如，所有的WEB服务器，DNS服务器，及路由器都是反弹服务器，因为他们会对SYN报文或其他TCP报文回应SYNACKs或RST报文，以及对一些IP报文回应ICMP数据报超时或目的地不可达消息的数据报。而攻击者可以利用这些回应的数据报对目标计算机发动DDoS攻击。这是DDoS攻击的变形，称之为DRDoS。他与DDoS的不同之处就是DRDoS不需要在实际攻击之前占领大量的从计算机。这种攻击也是在伪造数据包源地址的情况下进行的，从这点上说与Smurf攻击一样，而DRDoS是可以在广域网上进行的。

攻击者首先锁定大量的可以做为反弹服务器的服务器群，然后攻击者们集中事先控制的从计算机群，向已锁定的反弹服务器群发送大量的欺骗请求数据包(来源地址为victim，受害计算机或目标计算机)。反弹服务器将向受害计算机发送应答数据报。结果是：到达受害计算机的洪水数据报不是几百个，几千个的来源，而是上百万个来源，来源如此分散的洪水流量将堵塞任何其他的企图对受害计算机的连接。

显示了利用反弹进行DDoS攻击的结构。受害计算机不需要追查攻击的来源，因为所有攻击数据报的源IP都是真实的，都是反弹服务器群的IP。而另一方面，反弹服务器的管理人员则难以追查到从服务器的位置，因为他所收到的数据报都是伪造的(源IP为受害计算机的IP)。

不像以往DDoS攻击，利用反弹技术，攻击者不需要把服务器做为网络流量的放大器。他们甚至可以使洪水流量变弱，最终在目标计算机汇合为大容量的洪水。这样的机制让攻击者可以利用不同网络结构机制的服务器作为反弹服务器，使其更容易找到足够数量的反弹服务器，用以发起攻击。

3 如何判定遭到DDoS，DRDoS攻击

平常定期检查路由器的响应时间、服务质量及各接口的正常数据流量，根据这些经验值为自己的网络建立合理的标准，如果网络或服务响应时间异常下降，或网段流量异常上升，则可从路由器上做进一步确定。一般常用方法有以下几种：

(1)用协议分析仪(sniffer)分析

采用sniffer监听网络，捕获数据包以分析占大部分流量的源地址是否存在、是否有大量的"SYN"标志位的


4 DRDoS预防措施

对DDoS，DRDoS的预防措施主要可以从安全监测、网络设备设置、防火墙等多方面进行实施。网络设备设置主要是从加强服务器相关性能人手，尽量关闭无用服务，并且通过设置访问列表及边缘过滤路由器尽量使网络设备从外部网络不能访问。

(1)路由器升级IoS到较高无漏洞版本。

(2)路由器要配置必要的过滤规则，使外部网络不能

对特殊端口进行访问，阻止路由器端口179的访问，可以防止该路由器被利用成为Reflector。

(3)较低IoS版本的路由器允许的服务，如：ECHO，DISCARD，CHARGEN。当主机连接这些端口时，会消耗路由器一定的CPU资源。当攻击者通过假冒的IP发送大量的这类请求，会使路由器严重过载甚至死机，因此，必须停止这些服务。

运行命令：

(5)关闭arp_proxy功能：noipproxy-arp。

(6)因为反弹SYN／ACK包必须通过TCP服务器反弹，而且几乎所有的普通服务端口在1～1 023之间，阻止那些从这些端口发出的入站的数据包，就可以阻止反弹服务器发出的大部分攻击性数据包。

(7)配置服务器使其可以识别在一段时间内没有完成连接和不规则的失败连接数的SYN源IP数据包，这样反弹攻击的目标将很容易被确定，并且SYN／ACK应答将被关闭。

(8)ISPs应该阻止带有欺骗地址的数据包(1P源地址不在他们源地址范围中的数据包)通过，这种控制机制将对DRDoS攻击产生主要的影响。

随着网络技术的不断发展，对黑客的攻击会有更多的了解，将会有更好的防范措施。但是毕竟网络环境还相当复杂，完全检测和防范还很困难，需要做更多的工作来寻找更好的方法来抵制黑客的攻击。