第一篇：DDoS攻擊以及防范措施

DDoS攻擊以及防范措施.txt舉得起放得下叫舉重，舉得起放不下叫負重。頭要有勇氣，抬頭要有底氣。學習要加，驕傲要減，機會要乘，懶惰要除。人生三難題：思，相思，單相思?；A(chǔ)知識 認識了解DDoS攻擊以及防范措施2008年02月21日 星期四 12:07

商業(yè)利益的驅(qū)使，促成DDOS攻擊不斷

隨著Internet互聯(lián)網(wǎng)絡(luò)帶寬的增加和多種DDOS黑客工具的不斷發(fā)布，DDOS拒絕服務(wù)攻擊的實施越來越容易，DDOS攻擊事件正在成上升趨勢。

在我國，DDOS攻擊多數(shù)來自美國，占39％，而中國是拒絕服務(wù)攻擊的主要目標，占63%。這是亞太及日本地區(qū)互聯(lián)網(wǎng)安全威脅報告中的一部分數(shù)據(jù)。中國成為DDoS攻擊的主要目標。據(jù)介紹，凡是能導致合法用戶不能夠訪問正常網(wǎng)絡(luò)服務(wù)的行為都屬“拒絕服務(wù)攻擊”。出于商業(yè)競爭、打擊報復和網(wǎng)絡(luò)敲詐等多種因素，導致很多IDC托管機房、商業(yè)站點、游戲服務(wù)器、聊天網(wǎng)絡(luò)等網(wǎng)絡(luò)服務(wù)商長期以來一直被DDOS攻擊所困擾，隨之而來的是客戶投訴、同虛擬主機用戶受牽連、法律糾紛、商業(yè)損失等一系列問題，因此，解決DDOS攻擊問題成為網(wǎng)絡(luò)服務(wù)商必須考慮的頭等大事。

到底什么是DDOS？你被DDOS了嗎？

DDOS是英文Distributed Denial of Service的縮寫，意即“分布式拒絕服務(wù)”，那么什么又是拒絕服務(wù)（Denial of Service）呢？可以這么理解，凡是能導致合法用戶不能夠訪問正常網(wǎng)絡(luò)服務(wù)的行為都算是拒絕服務(wù)攻擊。也就是說拒絕服務(wù)攻擊的目的非常明確，就是要阻止合法用戶對正常網(wǎng)絡(luò)資源的訪問，從而達成攻擊者不可告人的目的。

雖然同樣是拒絕服務(wù)攻擊，但是DDOS和DOS還是有所不同，DDOS的攻擊策略側(cè)重于通過很多“僵尸主機”（被攻擊者入侵過或可間接利用的主機）向受害主機發(fā)送大量看似合法的網(wǎng)絡(luò)包，從而造成網(wǎng)絡(luò)阻塞或服務(wù)器資源耗盡而導致拒絕服務(wù)，分布式拒絕服務(wù)攻擊一旦被實施，攻擊網(wǎng)絡(luò)包就會猶如洪水般涌向受害主機，從而把合法用戶的網(wǎng)絡(luò)包淹沒，導致合法用戶無法正常訪問服務(wù)器的網(wǎng)絡(luò)資源，因此，拒絕服務(wù)攻擊又被稱之為“洪水式攻擊”，常見的DDOS攻擊手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等；而DOS則側(cè)重于通過對主機特定漏洞的利用攻擊導致網(wǎng)絡(luò)棧失效、系統(tǒng)崩潰、主機死機而無法提供正常的網(wǎng)絡(luò)服務(wù)功能，從而造成拒絕服務(wù)，常見的DOS攻擊手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。就這兩種拒絕服務(wù)攻擊而言，危害較大的主要是DDOS攻擊，原因是很難防范，至于DOS攻擊，通過給主機服務(wù)器打補丁或安裝防火墻軟件就可以很好地防范，后文會詳細介紹怎么對付DDOS攻擊。

DDOS的表現(xiàn)形式

DDOS的表現(xiàn)形式主要有兩種，一種為流量攻擊，主要是針對網(wǎng)絡(luò)帶寬的攻擊，即大量攻擊包導致網(wǎng)絡(luò)帶寬被阻塞，合法網(wǎng)絡(luò)包被虛假的攻擊包淹沒而無法到達主機；另一種為資源耗盡攻擊，主要是針對服務(wù)器主機的攻擊，即通過大量攻擊包導致主機的內(nèi)存被耗盡或CPU被內(nèi)核及應(yīng)用程序占完而造成無法提供網(wǎng)絡(luò)服務(wù)。

如何判斷網(wǎng)站是否遭受了流量攻擊呢？可通過Ping命令來測試，若發(fā)現(xiàn)Ping超時或丟包嚴重(假定平時是正常的)，則可能遭受了流量攻擊，此時若發(fā)現(xiàn)和你的主機接在同一交換機上的服務(wù)器也訪問不了了，基本可以確定是遭受了流量攻擊。當然，這樣測試的前提是你到服務(wù)器主機之間的ICMP協(xié)議沒有被路由器和防火墻等設(shè)備屏蔽，否則可采取Telnet主機服務(wù)器的網(wǎng)絡(luò)服務(wù)端口來測試，效果是一樣的。不過有一

點可以肯定，假如平時Ping你的主機服務(wù)器和接在同一交換機上的主機服務(wù)器都是正常的，突然都Ping不通了或者是嚴重丟包，那么假如可以排除網(wǎng)絡(luò)故障因素的話則肯定是遭受了流量攻擊，再一個流量攻擊的典型現(xiàn)象是，一旦遭受流量攻擊，會發(fā)現(xiàn)用遠程終端連接網(wǎng)站服務(wù)器會失敗。

相對于流量攻擊而言，資源耗盡攻擊要容易判斷一些，假如平時Ping網(wǎng)站主機和訪問網(wǎng)站都是正常的，發(fā)現(xiàn)突然網(wǎng)站訪問非常緩慢或無法訪問了，而Ping還可以Ping通，則很可能遭受了資源耗盡攻擊，此時若在服務(wù)器上用Netstat-na命令觀察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等狀態(tài)存在，而ESTABLISHED很少，則可判定肯定是遭受了資源耗盡攻擊。還有一種屬于資源耗盡攻擊的現(xiàn)象是，Ping自己的網(wǎng)站主機Ping不通或者是丟包嚴重，而Ping與自己的主機在同一交換機上的服務(wù)器則正常，造成這種原因是網(wǎng)站主機遭受攻擊后導致系統(tǒng)內(nèi)核或某些應(yīng)用程序CPU利用率達到100%無法回應(yīng)Ping命令，其實帶寬還是有的，否則就Ping不通接在同一交換機上的主機了。

當前主要有三種流行的DDOS攻擊：

1、SYN/ACK Flood攻擊：這種攻擊方法是經(jīng)典最有效的DDOS方法，可通殺各種系統(tǒng)的網(wǎng)絡(luò)服務(wù)，主要是通過向受害主機發(fā)送大量偽造源IP和源端口的SYN或ACK包，導致主機的緩存資源被耗盡或忙于發(fā)送回應(yīng)包而造成拒絕服務(wù)，由于源都是偽造的故追蹤起來比較困難，缺點是實施起來有一定難度，需要高帶寬的僵尸主機支持。少量的這種攻擊會導致主機服務(wù)器無法訪問，但卻可以Ping的通，在服務(wù)器上用Netstat-na

命令會觀察到存在大量的SYN_RECEIVED狀態(tài)，大量的這種攻擊會導致Ping失敗、TCP/IP棧失效，并會出現(xiàn)系統(tǒng)凝固現(xiàn)象，即不響應(yīng)鍵盤和鼠標。普通防火墻大多無法抵御此種攻擊。

2、TCP全連接攻擊：這種攻擊是為了繞過常規(guī)防火墻的檢查而設(shè)計的，一般情況下，常規(guī)防火墻大多具備過濾TearDrop、Land等DOS攻擊的能力，但對于正常的TCP連接是放過的，殊不知很多網(wǎng)絡(luò)服務(wù)程序（如：IIS、Apache等Web服務(wù)器）能接受的TCP連接數(shù)是有限的，一旦有大量的TCP連接，即便是正常的，也會導致網(wǎng)站訪問非常緩慢甚至無法訪問，TCP全連接攻擊就是通過許多僵尸主機不斷地與受害服務(wù)器建立大量 的TCP連接，直到服務(wù)器的內(nèi)存等資源被耗盡而被拖跨，從而造成拒絕服務(wù)，這種攻擊的特點是可繞過一般防火墻的防護而達到攻擊目的，缺點是需要找很多僵尸主機，并且由于僵尸主機的IP是暴露的，因此容易被追蹤。

3、刷Script腳本攻擊：這種攻擊主要是針對存在ASP、JSP、PHP、CGI等腳本程序，并調(diào)用MSSQLServer、MySQLServer、Oracle等數(shù)據(jù)庫的網(wǎng)站系統(tǒng)而設(shè)計的，特征是和服務(wù)器建立正常的TCP連接，并不斷的向腳本程序提交查詢、列表等大量耗費數(shù)據(jù)庫資源的調(diào)用，典型的以小博大的攻擊方法。一般來說，提交一個GET或POST指令對客戶端的耗費和帶寬的占用是幾乎可以忽略的，而服務(wù)器為處理此請求卻可能要從上萬條記錄中去查出某個記錄，這種處理過程對資源的耗費是很大的，常見的數(shù)據(jù)庫服務(wù)器很少能支持數(shù)百個查詢指令同時執(zhí)行，而這對于客戶端來說卻是輕而易舉的，因此攻擊者只需通過Proxy代理向主機服務(wù)器大量遞交查詢指令，只需數(shù)分鐘就會把服務(wù)器資源消耗掉而導致拒絕服務(wù)，常見的現(xiàn)象就是網(wǎng)站慢如蝸牛、ASP程序失效、PHP連接數(shù)據(jù)庫失敗、數(shù)據(jù)庫主程序占用CPU偏高。這種攻擊的特點是可以完全繞過普通的防火墻防護，輕松找一些Proxy代理就可實施攻擊，缺點是對付只有靜態(tài)頁面的網(wǎng)站效果會大打折扣，并且有些Proxy會暴露攻擊者的IP地址。

完全抵御住DDOS攻擊是不可能的

對付DDOS是一個系統(tǒng)工程，想僅僅依靠某種系統(tǒng)或產(chǎn)品防住DDOS是不現(xiàn)實的，可以肯定的是，完全杜絕DDOS目前是不可能的，但通過適當?shù)拇胧┑钟?0%的DDOS攻擊是可以做到的，基于攻擊和防御都有成本開銷的緣故，若通過適當?shù)霓k法增強了抵御DDOS的能力，也就意味著加大了攻擊者的攻擊成本，那么絕大多數(shù)攻擊者將無法繼續(xù)下去而放棄，也就相當于成功的抵御了DDOS攻擊。

以下幾點是防御DDOS攻擊幾點:

1、采用高性能的網(wǎng)絡(luò)設(shè)備

首先要保證網(wǎng)絡(luò)設(shè)備不能成為瓶頸，因此選擇路由器、交換機、硬件防火墻等設(shè)備的時候要盡量選用知名度高、口碑好的產(chǎn)品。再就是假如和網(wǎng)絡(luò)提供商有特殊關(guān)系或協(xié)議的話就更好了，當大量攻擊發(fā)生的時候請他們在網(wǎng)絡(luò)接點處做一下流量限制來對抗某些種類的DDOS攻擊是非常有效的。

2、充足的網(wǎng)絡(luò)帶寬保證

網(wǎng)絡(luò)帶寬直接決定了能抗受攻擊的能力，假若僅僅有10M帶寬的話，無論采取什么措施都很難對抗現(xiàn)在的SYNFlood攻擊，當前至少要選擇100M的共享帶寬，最好的當然是掛在1000M的主干上了。

但需要注意的是，主機上的網(wǎng)卡是1000M的并不意味著它的網(wǎng)絡(luò)帶寬就是千兆的，若把它接在100M的交換機上，它的實際帶寬不會超過100M，再就是接在100M的帶寬上也不等于就有了百兆的帶寬，因為網(wǎng)絡(luò)服務(wù)商很可能會在交換機上限制實際帶寬為10M，這點一定要搞清楚。

3、安裝專業(yè)抗DDOS防火墻

專業(yè)抗DDOS防火墻采用內(nèi)核提前過濾技術(shù)、反向探測技術(shù)、指紋識別技術(shù)等多項專利技術(shù)來發(fā)現(xiàn)和提前過濾DDoS非法數(shù)據(jù)包，做到了智能抵御用戶的DoS攻擊。但也不能100％阻止對DDoS非法數(shù)據(jù)包準確檢查。

DoS（Denial of Service拒絕服務(wù)）和DDoS（Distributed Denial of Service分布式拒絕服務(wù)）攻擊是大型網(wǎng)站和網(wǎng)絡(luò)服務(wù)器的安全威脅之一，2000年2月，Yahoo、亞馬遜、CNN被攻擊等事例，曾被刻在重大安全事件的歷史中。

第二篇：安全案例：電信骨干網(wǎng)DDoS攻擊防護解決方案

近年來，電信數(shù)據(jù)業(yè)務(wù)迎來飛速發(fā)展，作為經(jīng)濟大省，某省近年來電信數(shù)據(jù)業(yè)務(wù)發(fā)展迅速，寬帶數(shù)據(jù)業(yè)務(wù)用戶快速增長。然而，伴隨著用戶數(shù)量的增長，電信網(wǎng)絡(luò)安全問題也頻繁發(fā)生，其中DDoS攻擊情況尤為嚴重。

該省電信運營商對2006年7月到12月的網(wǎng)絡(luò)安全事件統(tǒng)計后發(fā)現(xiàn)，幾個經(jīng)常受到網(wǎng)絡(luò)攻擊的地市，每月平均受到的網(wǎng)絡(luò)攻擊多達10次以上，2006年9月，某地市IDC受到嚴重DDoS攻擊，攻擊流量達到22G，造成城域網(wǎng)、IDC全阻15分鐘，對業(yè)務(wù)造成嚴重的影響。嘗試了多種解決辦法，仍然無法從根本上解決問題。

在這種情況下，該省電信迫切需要引入專業(yè)安全合作伙伴，建立一整套抵御DDoS流量攻擊的系統(tǒng)。為此，省電信研究院對眾多安全廠家的異常流量過濾設(shè)備進行了評測對比，聯(lián)想網(wǎng)御的異常流量過濾設(shè)備在眾多廠家比拼中脫穎而出，性能和功能卓越。同時，聯(lián)想網(wǎng)御異常流量管理系統(tǒng)在多個省市電信行業(yè)的成功應(yīng)用也獲得信息化主管領(lǐng)導的認可，經(jīng)過多次深入的技術(shù)交流，該省電信最終確定了聯(lián)想網(wǎng)御作為抵御DDoS流量攻擊系統(tǒng)建設(shè)的合作伙伴。

結(jié)合該省電信的安全需求和現(xiàn)網(wǎng)建設(shè)情況，充分考慮寬帶互聯(lián)網(wǎng)絡(luò)高帶寬、大流量、要求可靠性高的網(wǎng)絡(luò)特點，聯(lián)想網(wǎng)御的技術(shù)專家為電信運營商量身定制了異常流量清洗方案：結(jié)合電信IDC客戶遭受的DDoS攻擊情況和僵尸網(wǎng)絡(luò)發(fā)動攻擊的特點，技術(shù)專家分析認為攻擊流量主要來自國外和國內(nèi)其他運營商網(wǎng)絡(luò)，另有少部分來自省網(wǎng)內(nèi)部。因此，系統(tǒng)建設(shè)先期在省干出口位置集中式部署，重點防范經(jīng)由省干入口向地市城域網(wǎng)的攻擊?？紤]到省干出口鏈路帶寬大，網(wǎng)絡(luò)位置十分關(guān)鍵。聯(lián)想網(wǎng)御又為用戶設(shè)計、采取了目標保護策略——根據(jù)需要可以靈活地定義要保護的目標IP地址或者目標IP網(wǎng)段，進行重點檢測分析和過濾攻擊流量，實現(xiàn)了較強的針對性，同時有效節(jié)省了建設(shè)投資，同時，根據(jù)該省電信用戶的網(wǎng)絡(luò)使用特點，設(shè)計采用了8臺設(shè)備集群旁路部署方式（如圖所示），大流量攻擊處理能力達到16G，輕松滿足了15G大流量攻擊處理能力的設(shè)計要求，避免了改變正常網(wǎng)絡(luò)流量的網(wǎng)絡(luò)路徑，同時保證了網(wǎng)絡(luò)的高可靠性。

某省電信運營商骨干網(wǎng)聯(lián)想網(wǎng)御異常流量管理系統(tǒng)應(yīng)用方案

聯(lián)想網(wǎng)御在用戶網(wǎng)絡(luò)中同時部署流量檢測分析設(shè)備和異常流量過濾系統(tǒng)，組成一套完整的異常流量管理系統(tǒng)。由流量檢測分析設(shè)備（Leadsec-Detector）進行采樣分析，對流經(jīng)骨干網(wǎng)的數(shù)據(jù)流進行分析、統(tǒng)計、報警，確定受攻擊的目標IP范圍；由異常流量過濾系統(tǒng)(Leadsec-Guard)來牽引到達目標IP的網(wǎng)絡(luò)流量，過濾攻擊流量后將正常流量回注到網(wǎng)絡(luò)中，通過兩者的無縫配合，完成了網(wǎng)絡(luò)攻擊的分析、識別，以及自動清理。

LeadSec-Guard還可支持虛擬化，將單臺設(shè)備或者集群組虛擬為多個邏輯異常流量過濾系統(tǒng)。因此，系統(tǒng)管理員可以為每個邏輯系統(tǒng)分配相應(yīng)的管理員進行策略配置、安全審計等獨立操作。這將有力地支撐寬帶網(wǎng)絡(luò)運營商拓展安全增值服務(wù)，推動安全運營。同時，系統(tǒng)中還配置了Leadsec-Manager管理系統(tǒng)，在實現(xiàn)集中設(shè)備配置和管理的同時，提供豐富的報表功能，全面幫助管理員深入掌控網(wǎng)絡(luò)安全運行情況。

項目完成后，該省干出口鏈路中異常流量所占用帶寬降至總擁有帶寬的5％以下，網(wǎng)絡(luò)安全事件發(fā)生概率大大降低，輕了異常流量對該省電信省干網(wǎng)絡(luò)平臺造成的壓力，提升了帶寬利用率，為IDC、網(wǎng)吧等寬帶業(yè)務(wù)大客戶提供了一條安全、暢通的互聯(lián)網(wǎng)鏈路，提升了品牌價值，為該省電信創(chuàng)造了競爭優(yōu)勢。

第三篇：淺談電信網(wǎng)絡(luò)環(huán)境下的DDOS攻擊防護技術(shù)

數(shù)字技術(shù)

與應(yīng)用安全技術(shù)

淺談電信網(wǎng)絡(luò)環(huán)境下的 ＤＤＯＳ 攻擊防護技術(shù)

劉智宏 李宏昌 李東垣

（中華通信系統(tǒng)有限責任公司

北京

１０００７０）

摘要：近年來，隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展及廣泛普及，網(wǎng)絡(luò)安全問題面臨的形勢愈加嚴重，網(wǎng)絡(luò)攻擊防護越來越受人們的重視，而電信運

營商網(wǎng)絡(luò)幾乎成為拒絕服務(wù)攻擊（ＤＤＯＳ）的首選攻擊對象。本文主要以中華通信系統(tǒng)研發(fā)的基于ＩＳＰ網(wǎng)絡(luò)的拒絕服務(wù)攻擊防御系統(tǒng)為例簡要分 析ＤＤＯＳ攻擊以及在電信網(wǎng)絡(luò)環(huán)境下的ＤＤＯＳ攻擊防護技術(shù)。

關(guān)鍵詞：ＤＤＯＳ 攻擊

安全

防范 中圖分類號：TP393 文獻標識碼：A 文章編號：1007-9416(2012)07-0165-02

１、ＤＤＯＳ 攻擊現(xiàn)狀分析

１．１ 運營商網(wǎng)絡(luò)面臨的 ＤＤＯＳ 攻擊威脅

當前，運營商骨干網(wǎng)和各地市城域網(wǎng)，寬帶用戶多、網(wǎng)絡(luò)結(jié)構(gòu)復 雜、業(yè)務(wù)流量大，ＤＤＯＳ攻擊導致的網(wǎng)絡(luò)安全問題時有發(fā)生，導致ＩＰ 網(wǎng)絡(luò)整體服務(wù)質(zhì)量下降，已經(jīng)嚴重威脅到運營商Ｉ Ｐ 網(wǎng)絡(luò)的正常業(yè) 務(wù)；當３Ｇ 商用，智能化終端和寬帶化３Ｇ網(wǎng)絡(luò)與互聯(lián)網(wǎng)接軌，無線網(wǎng) 絡(luò)也將面對諸多互聯(lián)網(wǎng)安全問題，這將會使缺乏固網(wǎng)ＤＤＯＳ 防范經(jīng) 驗的電信運營商面臨巨大挑戰(zhàn)。

中華通信系統(tǒng)有限責任公司研發(fā)的基于ＩＳＰ網(wǎng)絡(luò)的分布式拒絕 服務(wù)攻擊防御系統(tǒng)（ＣｈｉｎａＣｏｍｍ ＩＤＰＳ１００）為軟硬件結(jié)合產(chǎn)品，產(chǎn) 品包括流量檢測組件和流量牽引清洗組件，根據(jù)ＩＳＰ網(wǎng)絡(luò)應(yīng)用需求 和網(wǎng)絡(luò)規(guī)模，系統(tǒng)可部署為流量檢測設(shè)備或檢測清洗一體化設(shè)備。產(chǎn)品能夠?qū)崿F(xiàn)電信級ＩＳＰ網(wǎng)絡(luò)的流量采集和流量分析，具有ＩＳＰ網(wǎng)絡(luò) 異常流量與拒絕服務(wù)攻擊檢測告警、網(wǎng)絡(luò)異常流量與拒絕服務(wù)攻擊 流量牽引、清洗防御、各類流量報表、系統(tǒng)安全日志審計、系統(tǒng)安全 管理控制等主要的功能。本產(chǎn)品屬于分布式設(shè)計模式，即系統(tǒng)是由 探測器設(shè)備和流量牽引設(shè)備共同組成的防御系統(tǒng)。系統(tǒng)的流量探測 器在旁路方式外還提供串聯(lián)接入方式，具備入侵檢測、防火墻、流量 監(jiān)控功能，流量牽引設(shè)備支持集群工作方式。１．２ 電信運營商對 ＤＤＯＳ 攻擊防護需求

目前各大電信運營商只部署有過濾垃圾短信這種傳統(tǒng)無線業(yè) 務(wù)的網(wǎng)關(guān)設(shè)備，尚未對３ Ｇ 移動互聯(lián)網(wǎng)的到來做好骨干流量和城域 網(wǎng)流量管控、清洗方面的準備，運營商急需使用高效、成熟ＤＤＯＳ防 御產(chǎn)品，能夠?qū)崿F(xiàn)對ＤＤＯＳ 攻擊安全防護的高端網(wǎng)絡(luò)安全產(chǎn)品市場 需求空間巨大，主要表現(xiàn)在如下方面：

（１）應(yīng)用于全國各省、市級電信運營商ＩＤＣ、增值業(yè)務(wù)部。（２）應(yīng)用于移動、聯(lián)通等移動運營商的３Ｇ網(wǎng)絡(luò)接入，為３Ｇ網(wǎng)絡(luò) 拒絕服務(wù)攻擊防御提供可靠的防御工具。

（３）應(yīng)用于大型企業(yè)及大型網(wǎng)絡(luò)服務(wù)商，這些企業(yè)通常涉及跨 區(qū)域的網(wǎng)絡(luò)通信及網(wǎng)上業(yè)務(wù)。

３、華通產(chǎn)品（ＣｈｉｎａＣｏｍｍ ＩＤＰＳ１００）技術(shù)性能

３．１ 產(chǎn)品功能特點

３．１．１ 流量探測器功能特點

（１）采用雙子系統(tǒng)架構(gòu)。為防止過大流量對系統(tǒng)的沖擊造成系 統(tǒng)超載、運行緩慢甚至當機，系統(tǒng)采用獨創(chuàng)的雙子系統(tǒng)架構(gòu)。該架構(gòu) 將入侵檢測模塊和流量偵測模塊分為兩個完全獨立的系統(tǒng)，通過總 線相連，在互不影響的同時又能夠保證信息的共享及功能聯(lián)動。

（２）采用針對拒絕服務(wù)攻擊特別優(yōu)化的入侵檢測模塊。入侵檢 測模塊采用中華通信自主研發(fā)的針對ＤＤＯＳ 攻擊的入侵監(jiān)測模塊。能夠?qū)α髁窟M行深層檢測。能夠發(fā)現(xiàn)并抵御多數(shù)Ｄ ｏ Ｓ 攻擊、以及蠕 蟲、木馬等惡意代碼，并對流量偵測模塊提交的可疑流量進行檢測，進一步判斷是否為攻擊流量。

（３）采用先進的檢測算法。流量探測器采用中華通信自主開發(fā) 的基于自相似性模型的動態(tài)異常流量監(jiān)測算法，能夠在ＤＤＯＳ 攻擊 的初始階段甄別攻擊。

３．１．２ 流量牽引器功能特點

（１）高速的攻擊處理能力。流量牽引器接入運營商骨干網(wǎng)絡(luò)，系 統(tǒng)能夠有效鑒別攻擊流量和正常流量，對異常攻擊流量進行清洗，有效保證用戶正常業(yè)務(wù)流量的傳輸。該流量牽引設(shè)備支持集群工作 模式，通過集群化部署可以有效地提高系統(tǒng)的處理能力，使系統(tǒng)能 夠滿足大型ＩＳＰ網(wǎng)絡(luò)的需要。

（２）高效的軟硬件平臺。在硬件方面，流量牽引器采用了嵌入式 系統(tǒng)設(shè)計，在系統(tǒng)核心實現(xiàn)拒絕服務(wù)攻擊的防御算法，并且創(chuàng)造性 地將算法實現(xiàn)在網(wǎng)絡(luò)協(xié)議棧的最底層，完全避免了Ｔ Ｃ Ｐ、Ｕ Ｄ Ｐ 和Ｉ Ｐ 等高層系統(tǒng)網(wǎng)絡(luò)堆棧的處理，將整個運算代價大大降低，大大提高 了運算速率。２、主要廠家拒絕服務(wù)攻擊防御產(chǎn)品介紹

２．１ 主流廠家產(chǎn)品簡介

２．１．１ ＪＵＮＩＰＥＲ ＮｅｔＳｃｒｅｅｎ－５０００ 系列

Ｊｕｎｉｐｅｒ主推一體化模塊式解決方案，路由器、業(yè)務(wù)部署系統(tǒng)（ＳＤＸ）和入侵檢測與防護（ＩＤＰ）產(chǎn)品結(jié)合在一起。

２．１．２ Ｎｏｋｉａ ＳＣ６６００ 信息安全網(wǎng)關(guān)

ＳＣ６６００安裝簡易，管理方便。采用包括多重掃毒技術(shù)、宏摘除、層次式過濾的復合防護（Ｓｔａｔｉｓｔｉｃａｌ ＰｒｏｔｅｃｔｉｏｎＴＭ）技術(shù)，采用專用 安全操作系統(tǒng)。

２．１．３ ＣＩＳＣＯ Ｇｕａｒｄ ＸＴ

采用分布部署方式，多級檢測采用集成式動態(tài)過濾和主動核 查、殺手”技術(shù)等多種檢測技術(shù)，支持獨特的集群體系結(jié)構(gòu)，多級監(jiān) 控和報告。

２．１．４ 綠盟Ｄｅｆｅｎｄｅｒ４０００

作為異常流量清洗設(shè)備，與監(jiān)測中心、監(jiān)控管理中心共同構(gòu)建 異常流量凈化系統(tǒng)。采用了多個并行的專業(yè)高性能網(wǎng)絡(luò)處理器，高 “ 效處理Ｄ Ｄ Ｏ Ｓ 攻擊，通過集群部署，可以輕松應(yīng)對１ ０ Ｇ ＋ 海量拒絕服 務(wù)攻擊。

２．２ 華通產(chǎn)品說明 ??????下轉(zhuǎn)第１６７頁

165

數(shù)字技術(shù)

與應(yīng)用安全技術(shù) 統(tǒng)進行傳遞，分析機子系統(tǒng)在完成數(shù)據(jù)的篩選和審核工作以后，攔 截并處理掉可疑信息，將正確的信息傳達給控制臺子系統(tǒng)，以保證 數(shù)據(jù)的有效傳遞。信息獲取子系統(tǒng)、分析機子系統(tǒng)、控制臺子系統(tǒng)三 者間通過特定的數(shù)據(jù)端口進行數(shù)據(jù)的傳送，所有發(fā)送的數(shù)據(jù)都是進 行了統(tǒng)一的格式換處理的，以固定的格式進行傳送。

２．４．４ 終端信息的輸出

從信息獲取子系統(tǒng)，經(jīng)由分析機子系統(tǒng)，再到控制子系統(tǒng)這一 系列的信息傳遞過程中，不僅完成了數(shù)據(jù)的過濾、篩選、核實、攔截 和傳遞，還對具有威脅性的數(shù)據(jù)進行了報警，切斷了可疑數(shù)據(jù)的進 一步傳遞通道，最終準確無誤地把需要的信息完整的從指定端口傳 出，完成了整個ＳＱＬ Ｓｅｒｖｅｒ數(shù)據(jù)庫的信息傳遞。但即使是這樣，也 不能完全保證數(shù)據(jù)輸出的絕對正確，還需要通過在輸出端口進行再 次地過濾、篩選、核實與攔截等安全監(jiān)控系統(tǒng)的安全監(jiān)控措施，才能 更好的保證輸出的信息的可靠性和安全性。

現(xiàn)代的通信技術(shù)迅猛發(fā)展，為計算機網(wǎng)絡(luò)的智能化提供了新的 環(huán)境與新的機遇，但與此同時也帶來了新的問題，如何有效地維護 信息的安全與完整，已經(jīng)成為社會關(guān)注的熱點。本文著重對如何實 現(xiàn)Ｓ Ｑ Ｌ Ｓ ｅ ｒ ｖ ｅ ｒ數(shù)據(jù)庫安全監(jiān)控系統(tǒng)提出一些見解，闡述了Ｓ Ｑ Ｌ Ｓｅｒｖｅｒ數(shù)據(jù)庫安全監(jiān)控系統(tǒng)是如何構(gòu)建、如何運作的，希望能夠為 數(shù)據(jù)庫的安全維護起到一些作用。參考文獻

［１］張穎．關(guān)于 ＳＱＬ Ｓｅｒｖｅｒ 數(shù)據(jù)庫安全監(jiān)控系統(tǒng)的設(shè)計的探討［Ｊ］．數(shù) 字技術(shù)與應(yīng)用，２０１１．（１１）．

［２］李殿勛．淺談 ＳＱＬ Ｓｅｒｖｅｒ 數(shù)據(jù)庫安全監(jiān)控系統(tǒng)結(jié)構(gòu)和工作原理 ［Ｊ］．科技信息，２０１１．（２４）．

［３］馬慧．基于 ＳＱＬ Ｓｅｒｖｅｒ 數(shù)據(jù)庫安全監(jiān)控系統(tǒng)的研究［Ｊ］．微計算機 信息，２００９．（１８）． 以在尋得攻擊模式或其他的違反規(guī)則的活動時發(fā)出控制臺子系統(tǒng)

警告、記錄攻擊事件的數(shù)據(jù)、適時阻斷網(wǎng)絡(luò)的連接，還可以根據(jù)不同 的需要對系統(tǒng)進行相應(yīng)的拓展，聯(lián)動防火墻等其他的安全設(shè)備。信 息獲取子系統(tǒng)、分析機子系統(tǒng)子系統(tǒng)、控制臺子系統(tǒng)三者之間相互 配合完成整個工作過程：

２．４．１ 實現(xiàn)主機報警

當程序啟動后，其所在的主機數(shù)據(jù)庫的安全監(jiān)控也將啟動，信 息獲取獲得與數(shù)據(jù)庫操作的相關(guān)數(shù)據(jù)（數(shù)據(jù)庫主機的名稱、操作的 ＳＱＬ 語言、登陸的用戶名、用戶登錄密碼、當前的系統(tǒng)用戶、操作的 結(jié)果等）后，將所得信息格式化并傳送到分析機子系統(tǒng)。分析機子系 統(tǒng)通過自帶的信息安全規(guī)則對所收到的信息進行分析、核實與篩 選，從中分離出對數(shù)據(jù)庫有威脅的操作信息并向控制臺子系統(tǒng)發(fā) 出警告?？刂婆_子系統(tǒng)在收到警告信息后，由管理員對攻擊源的ＩＰ 地址發(fā)出進行阻斷的命令，并由分析機子系統(tǒng)傳達給探頭的部分，再由探頭所在主機系統(tǒng)調(diào)動自帶的ＡＰＩ實現(xiàn)對指定ＩＰ 地址試行攔 截的操作命令，從而避免了被侵犯的可能，實現(xiàn)對數(shù)據(jù)庫的安全性 的保護。

２．４．２ 命令的有效下達

處于數(shù)據(jù)庫最上層的控制臺子系統(tǒng)對分析機子系統(tǒng)與信息獲 取子系統(tǒng)進行控制、維護更新，并經(jīng)由查詢以獲得它們的運行狀態(tài) 的信息。命令從控制臺子系統(tǒng)發(fā)出以后迅速傳達至分析機子系統(tǒng)或 信息獲取部分，然后由它們的相應(yīng)模塊響應(yīng)指令，以實現(xiàn)命令的完 成?？刂婆_子系統(tǒng)下達的所有命令都將通過特定窗口進行傳達，并 且分析機子系統(tǒng)與信息獲取部分接受命令與完成命令以后的反饋 信息也是經(jīng)由同一端口進行傳遞的。

２．４．３ 數(shù)據(jù)的傳遞

從信息獲取子系統(tǒng)獲取的相關(guān)的信息數(shù)據(jù)，在經(jīng)過二次篩選過 濾后實現(xiàn)數(shù)據(jù)的完整性，然后根據(jù)數(shù)據(jù)的內(nèi)容向相應(yīng)的分析機子系

??????上接第１６５頁

３．２ 產(chǎn)品技術(shù)創(chuàng)新

３．２．１ 實現(xiàn)基于自相似性模型的動態(tài)異常流量監(jiān)測

自相似性（ｓｅｌｆ－ｓｉｍｉｌａｒｉｔｙ）是指一個隨機過程在各個時間規(guī)模 上具有相同的統(tǒng)計特性。系統(tǒng)在進入防護Ｄ Ｄ Ｏ Ｓ 攻擊之前，要對網(wǎng) 絡(luò)中正常的流量進行相應(yīng)的記錄，用以檢測攻擊的存在，尤其對 ＤＤＯＳ攻擊所利用的報文進行檢測和分析。系統(tǒng)分別對各個協(xié)議的 流量（或連接數(shù)）最大的ＩＰ地址（源ＩＰ和目的ＩＰ）的流量（或連接數(shù)）進行記錄。而通常不同時間段網(wǎng)絡(luò)流量也相差很大，簡單的計算平均流量無法做快速可靠地發(fā)現(xiàn)攻擊。因此需要按照時間段的不同對 流量生成表項。通過大量測試分析在表項細度和系統(tǒng)性能之間找到 一個平衡點。

３．２．２ 掃描檢測算法

掃描檢測模塊采用一個基于貝葉斯網(wǎng)絡(luò)進行ＴＣＰ 包頭異常分 析的掃描檢測方法（Ｐ Ｓ Ｄ Ｂ）。貝葉斯網(wǎng)絡(luò)模塊學習Ｔ Ｃ Ｐ 報文到達每 個目的主機和相應(yīng)目的端口的概率。ＰＳＤＢ 使用貝葉斯網(wǎng)絡(luò)來學習保存被檢測子網(wǎng)內(nèi)主機端口的概率分布。然后概率異常檢測操作依 據(jù)ＴＣＰ Ｆｌａｇ和報文到達的概率計算每個報文的異常度，并針對個 別協(xié)議本身的特點對異常值計算進行修正，將判別為異常報文的信 息發(fā)送到分析模塊。

隨著我國信息化的快速發(fā)展，各行業(yè)對提高整體信息系統(tǒng)的安 全防護水平和保障能力提出了更高的要求，對信息安全技術(shù)和產(chǎn)品 的需求越來越大?；冢桑樱芯W(wǎng)絡(luò)的拒絕服務(wù)攻擊防御系統(tǒng)產(chǎn)品的投 放市場，能夠填補運營商急需使用高效、成熟Ｄ Ｄ Ｏ Ｓ 防御產(chǎn)品的需 求空間；可以極大地提高電信運營商、Ｉ Ｓ Ｐ、政府的整體網(wǎng)絡(luò)Ｄ Ｄ Ｏ Ｓ 防御能力本文來源于http://taobaoxuexi.sinaapp.com/（ddos攻擊器）。

系統(tǒng)創(chuàng)新的技術(shù)實現(xiàn)模式可以為用戶提供更優(yōu)化的Ｄ Ｄ Ｏ Ｓ 防 御解決方案，通過建設(shè)更安全的Ｄ Ｄ Ｏ Ｓ 防御系統(tǒng)，用戶可有效降低 大規(guī)模ＤＤＯＳ 類攻擊所帶來的社會和經(jīng)濟風險，為我國經(jīng)濟高速發(fā) 展提供安全的網(wǎng)絡(luò)環(huán)境。參考文獻

［１］李德全《拒絕服務(wù)攻擊》．北京：電子工業(yè)出版社，２００７ 年 １ 月． ［ ２ ］ 陽莉《電信網(wǎng)絡(luò)分析與設(shè)計》．西安： 西安電子科技大學出版，． ２００８ 年 １ 月．

［３］郝永清《網(wǎng)絡(luò)安全攻防實用技術(shù)深度案例分析》．北京：科學出 版社，２０１０ 年 １ 月．

［４］ 加拿大．克勞斯《網(wǎng)絡(luò)安全保護》．北京：科學出版社，２００９ 年 ３ 月．

［ ５ ］ 孫玉《電信網(wǎng)絡(luò)安全總體防衛(wèi)討論》．北京： 人民郵電出版社，． ２００８ 年 ８ 月．

［６］Ｓｔｅｖｅ Ｍａｎｚｕｉｋ《網(wǎng)絡(luò)安全評估：從漏洞到補丁》．北京：科學 出版社，２００９ 年 １ 月．

［７］王秀利《網(wǎng)絡(luò)擁塞控制及拒絕服務(wù)攻擊防范》．北京：北京郵電 大學出版社，２００９ 年 ６ 月．

［ ８ ］ 王夢龍《網(wǎng)絡(luò)信息安全原理與技術(shù)》．北京： 中國鐵道出版社，． ２００９ 年 １１ 月． ３．３ 產(chǎn)品應(yīng)用

本產(chǎn)品通常布置于運營商網(wǎng)絡(luò)中高帶寬節(jié)點，如核心交換機等

高速轉(zhuǎn)發(fā)設(shè)備，通常采用網(wǎng)關(guān)接入模式或路接入模式。在大型網(wǎng)絡(luò) 應(yīng)用時，可采用牽引器集群工作方式，可通過部署牽引器集群增強 系統(tǒng)處理能力及可靠性。

４、結(jié)語

167

第四篇：辯論賽攻擊的技巧

攻擊的技巧

(1）設(shè)置兩難。即設(shè)置兩難的問題，無論對方怎么回答都會落入設(shè)下的圈套。但要把握好辯題，不要偏離主題。

（2）主動引申。即將對方的某個事實、某句話加以擴大化的引申，為本方贏得主動，并使對方陷入被動之中。

（3）以矛攻盾。即將對方論點和論據(jù)間的矛盾，抓住對方隊員隊員與隊員之間的矛盾，并連續(xù)追擊迫使對方緊緊跟隨本方牽著對方打。

（4）簡問深涵。即問題很簡單，但涵義很深刻，與辯題密切相關(guān)。一定要以最精煉的語言問出最深刻的問題。使對方無法快速回答，在氣勢上壓倒對方。

（5）熟事新提。人往往對于身邊、自身很熟悉的事物卻不經(jīng)意，或非常熟悉卻只知道大概卻不明白它的詳細。一般對這類事情提問，也很容易讓對方陷入被動。

（6）多方追問。即從幾個方向、幾個側(cè)面、幾個層次上同時問一類問題。但是要注意的是，這類問題必須對準一個核心，即辯論的主要立場和觀點，以造成合圍的陣勢，使對方?jīng)]有招架的能力，更沒有回手的能力。

（7）夾擊發(fā)問。即兩個回多個人同時問同一類或一個問題，造成夾擊態(tài)勢，使對方顧此失彼。

（8）問題同異。即面對同一個問題，以不同的角度提問，使對方難以自圓其說，應(yīng)接不暇。

（9）異題同問。抓住對方的不同問題、不同表述加以歸納，概總而問，從問題的深度與高度上使其無法把握，無力應(yīng)答。

（10）反復逼問。對本方提出的對方非答不可的問題，對方閃避了，就可以反復逼問，但是一般不能超過三次，不可以無限發(fā)問，那樣反會造成無題可問、或令聽眾厭煩的負面效果。

（11）同義反復。即同一個問題，用不同的語言方式（或角度不同，或問語不同）發(fā)問。這類問題，多為辯論的主要立場、觀點方面的問題。

（12）激情提問。即用心理暗示的手段，直擊對方情緒層，使其激動，引發(fā)情緒連動，從而淹沒對方的理智。但是要注意不能進行人身攻擊，也不要胡攪蠻纏。

（13）布陷發(fā)問。也就是布置一個陷阱，讓對方來鉆，使用連環(huán)的技巧是對方一步一步走進陷阱。

（14）長抽短吊。即忽然提這樣的問題忽然又提那樣的問題，不離辯題卻又忽東忽西，用跳躍性的思維來打斷對手的節(jié)奏。

（15）充分煽情。在提問或回答的時候盡量以幽默詼諧的方式引起公公的共鳴，所謂內(nèi)行看門道，外行看熱鬧。充分調(diào)動觀眾，在氣勢上打壓對方。

第五篇：網(wǎng)絡(luò)管理員拒絕服務(wù)攻擊

網(wǎng)絡(luò)管理員拒絕服務(wù)攻擊--防范措施

網(wǎng)管們對網(wǎng)絡(luò)攻擊并不陌生，就是網(wǎng)吧拒絕服務(wù)攻擊，這個網(wǎng)絡(luò)攻擊技術(shù)對網(wǎng)吧電腦系統(tǒng)產(chǎn)生的作用是很大的。是一種濫用資源性的攻擊，本篇主要談到的是網(wǎng)吧拒絕服務(wù)攻擊防范措施。

1，增加SYN緩存法

修改SY緩存大小是通過注冊表的相關(guān)鍵值完成的。我們將為各位讀者介紹在WINDOWS2003和2000中的修改方法。

第一步：“開始->運行->輸入regedit”進入注冊表編輯器。

第二步：找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices，在其下的有個

SynAttackProtect鍵值。默認為0將其修改為1可更有效地防御SYN攻擊。

第三步：將HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices下EnableDeadGWDetect鍵值，將其修改為0。該設(shè)置將禁止SYN攻擊服務(wù)器后強迫服務(wù)器修改網(wǎng)關(guān)從而使服務(wù)暫停。

第四步：將HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices下EnablePMTUDiscovery鍵值，將其修改為0。這樣可以限定攻擊者的MTU大小，降低服務(wù)器總體負荷。

第五步：將HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices下的KeepAliveTime設(shè)置為300,000，將NoNameReleaseOnDemand設(shè)置為1。

2，BANIP地址法

于DOS攻擊來說這種方法非常有效，因為DOS往往來自少量IP地址，而且這些IP地址都是虛構(gòu)的偽裝的。在服務(wù)器或路由器上屏蔽攻擊者IP后就可以有效的防范DOS的攻擊。不過對于DDOS來說則比較麻煩，需要我們對IP地址分析，將真正攻擊的IP地址屏蔽。

網(wǎng)吧拒絕服務(wù)攻擊，目的就是利用自身的資源通過一種放大或不對等的方式，來達到消耗對方資源的目的。以上分享的防范措施，小編就介紹到這里，希望對你們有幫助。