浅谈Web 系统的DDoS 攻击与防护

◆杨京

（陕西省网络与信息安全测评中心 陕西 710065）

1 引言

最早的Web 系统程序只是单纯为了应用，只需运行程序的这台计算机安全，那么整个应用程序也是安全的。现在Web 应用程序都运行在不同的服务器，如客户端服务器、审计服务器、Web 应用服务器、数据库服务器和日志服务器等。并且由于他们能够让任何登录互联网的人访问，所以这些Web 应用程序就成为大量黑客攻击的目标。DDoS 攻击主要是针对Web 系统本身存在的设计缺点、系统安全漏洞以及系统资源的有限性来进行。因为DDoS 攻击工具是在开源的条件下进行开发与改良的，所以其利用起来也更加容易，门槛也比较低。目前针对DDoS 攻击的防护方法也有很多，下面将一一进行介绍。

2 何为DDoS 攻击

举一个简单的例子。我开了一家大门面的火锅店，生意火爆，但街道对面的火锅店却生意萧条。为了对付我，他们找了很多人进店捣乱却不就餐，这样就使得其他人没法进店就餐。这就是非常经典的DDoS 攻击，全称是分布式拒绝服务攻击。一般来说是指攻击者借助公共网络将大批的计算机设备整合起来，对目标系统在较短的时间内发起大量请求，使目标系统疲于应对大量请求，而无法对证长请求进行处理，致使Web 系统无法正常服务。网络游戏行业、电力行业、金融行业等都是受DDoS 攻击的高发行业。

3 DDoS 攻击分类

DDoS 攻击可以分为两种。其一是流量攻击，主要是针对网络带宽的攻击，攻击者发送大量需要回复的信息，也就是攻击数据，消耗网络带宽，合法请求数据被这些攻击数据淹没而无法抵达Web 系统，最终导致服务瘫痪；其二是资源耗尽攻击，攻击者利用Web 系统自身的漏洞或者所使用的协议上的缺陷，快速不停地发出需要连接的服务请求，消耗系统资源，使系统的内存被耗尽，导致系统瘫痪而停止提供正常的网络服务。下面介绍几个主要的DDoS 攻击方式。

（1）SYN 变种攻击

攻击者会发送大量的TCP 包，来造成服务器TCP 连接数达到服务器的最大限制，从而不能为新的用户访问请求建立新的TCP 连接，占用系统资源，从而使系统无法正常提供服务。

（2）TCP 混乱数据包攻击

攻击者通过发送伪造源ⅠP 的TCP 数据包，TCP 数据包报头部分是混乱的，可能是SYN，ACK，SYN+ACK，SYN+RST 等等，会造成安全设备处理错误并瘫痪，耗费服务器内存的同时还会堵塞带宽。

（3）针对用UDP 协议的攻击

攻击者通过发送伪造源ⅠP 的UDP 数据包，只要用户系统开放了一个UDP 端口并提供相关服务，就可以针对该服务进行攻击。这种攻击通常的解决办法是在安全设备配置策略，通过匹配UDP 数据包中的特征码，对经过的数据包进行过滤、拦截。

（4）针对Web server 的多连接攻击

攻击者控制大量计算机设备，通过技术手段同时连接Web 系统，大量的连接会占据系统资源，造成系统无法处理并瘫痪。这种攻击方式的特点就在于这种连接和我们正常用户的访问连接是一样的，不过在同一时间段内，访问链接的数量是以万计的，有些安全设备能够通过限制ⅠP 连接数来进行预防，但是作为正常用户，多访问几次系统也会被拦截。

（5）针对Web server 的变种攻击

攻击者控制一些计算机设备同时连接Web 系统，并不断地向系统程序提交带有GET 访问请求的调用，耗费大量的系统资源。这种攻击方式的特点是不需要与Web 系统建立大量的连接，却能大量消耗系统资源，达到攻击目的。

4 DDoS 攻击防护

因为DDoS 攻击的实施并不困难，往往是黑客常用的攻击手段，下面列出几点常见的防护手段。

（1）高防服务器

高防服务器主要是指能独立防御50Gbps 以上的服务器，能够对SYN、UDP、ⅠCMP、HTTP GET 等各类DDoS 攻击进行防护，并且定期对服务器进行安全扫描与安全加固。

（2）添加黑名单

在安全设备上添加ⅠP 黑名单，将发现有攻击行为的ⅠP 添加至黑名单中，使系统免受来自该ⅠP 的DDoS 攻击。

（3）DDoS 清洗

DDoS 清洗就是对用户的访问请求数据进行实时监测，及时发现DDoS 攻击等异常流量，在不影响正常业务开展的情况下清洗掉这些异常流量。

5 CDN 加速

CDN 加速就是将网站访问流量分配到了各个节点中，这样一方面隐藏服务器的真实ⅠP，另一方面即使遭遇DDoS 攻击，也能够将流量分散到各个节点中，避免系统崩溃。

6 结束语

本文主要是基于信息安全从业者日常工作中的总结，简要的介绍了何为DDoS 攻击、DDoS 攻击分类及DDoS 攻击防护。面对DDoS攻击，并不是无计可施，需要多注意维护Web 系统的安全，发现异常及时采取措施，就算无法彻底解决DDoS 攻击，也能够大大减少损失。没有绝对的安全，只有不断加强安全防护。