DDoS 分布式停止服务攻击作为黑客、政治黑客行为和国际计算机恐怖分子可选择的一种武器而出现。 DDoS 攻击目标并不仅仅是个人网站或其他网络边缘的服务器，他们征服的是网络本身。攻击明确地指向网络的基础设施，例如提供商网络中的集中或核心路由器、 DNS 服务器等。 2002 年 10 月，一次拙劣的 DDoS 攻击影响了 13 个根 DNS(Domain Name Sevice) 服务器中的 8 个，作为整个 Inte rnet 通信路标的关键系统遭到严重的破坏，无法提供有效服务，业务的永继性无法得到保证。

服务提供商、企业和政府机关对因特网依赖的加剧，使得成功的 DDoS 攻击（经济和其它方面）能造成更加严重的破坏。新近以来，出现了更多功能更为强大的 DDoS 工具，使得将来的攻击破坏性更大。

由于 DDoS 攻击往往采取合法的数据请求技术，再加上一些傀儡机器，造成 DDoS 攻击是目前最难防御的互联网攻击之一，如何用最合适的、有效的方法来响应它们，给依赖于因特网的组织和机构提出了一个巨大的挑战。传统的网络设备和周边安全技术，例如防火墙和 IDSs(Intrusion Detection Systems) ， 速率限制，接入限制等均无法提供非常有效的针对 DDoS 攻击的保护。面对当前 DDoS 的冲击，要保护因特网持续有效性，需要一个能检测和阻止日益狡猾、复杂、欺骗性攻击的下一代体系结构和技术。

本文将详细描述：

• 日益增长的 DDoS 威胁及成功攻击的严重影响。
• 为何当前的路由器和周边安全技术不能提供足够的 DDoS 保护。
• 防御 DDoS 攻击需要满足的基本要求 .
• 创新技术和体系结构如何提供有效的 DDoS 保护。

DDoS 攻击指挥成百上千的傀儡主机攻击某一个目标。这些傀儡主机是从数以百万计未受保护的计算机中被不知情地征用，这些计算机往往是通过高带宽（ ADSL, Cable ）访问因特网并总是与网络保持连接。通过在这些机器中植入“沉睡”代码，黑客可快速的建立一支傀儡军团，等待适当的时机命令发动 DDoS 停止服务攻击。如果有足够傀儡主机的加入，攻击的规模令人惊骇。

DDoS 攻击的影响

成功的 DDos 攻击影响是很广泛的。网络站点的表现尤其受影响，可以造成客户和其它使用者访问失败，运营商无法实施 SLAs （服务水平承诺），服务信用损失惨重，用户投诉增加，公司名誉受损，有时甚至是永久的影响。以及收益下滑、生产率降低、 IT 开销增加、诉讼花销等等——这些损失在不断的增加。

损失的数目令人难以置信。来自 Forrester 、 IDC 和 Yankee Group 的评测估计一个象思科公司这样的公司网络中断 24 小时的损失大约是三千万美元。据 Yankee Group 估计， 2000 年 2 月， DDoS 洪流攻击了 Amazon 、 Yahoo 、 eBay 和其它门户网站，造成的损失累计达到 12 亿美元。 2001 年 1 月，对 Microsoft 网站几天的 DDoS 攻击，损失大约为五千万。显然，商业公司必须采取措施来保护自己免遭恶意攻击。

DDoS 攻击揭秘

DDoS 攻击是如何进行的？主要是利用了 internet 协议和 internet 基本优点——无偏差地从任何的源头传送数据包到任意目的地。

实质上，以下数据报包行为描述了 DDoS 攻击：要么大数据，大流量以至压垮网络设备和服务器，要么有意制造大量无法完成的不完全请求来快速消耗服务器资源。防止 DDoS 攻击的关键困难是无法将攻击包从合法包中区分出来，造成检测困难； IDS 进行的典型“签名”模式匹配起不到有效的作用。许多这样的攻击也使用源 IP 地址欺骗来逃脱源识别，这种识别由基于反常事件的，很难搜寻特定的攻击源头。

有两类最基本的 DDoS 攻击：

• 带宽攻击 ：这种攻击消耗网络带宽或使用大量数据包淹没一个或另一个（或两者）。路由器、服务器和防火墙——都只有有限的处理资源——在这种负重下不能处理合法事务并最终导致崩溃。
  带宽攻击的普遍形式是大量数据包攻击，大量表面看合法的 TCP 、 UDP 或 ICMP 数据包被传送到特定目的地。为了使检测更加困难，这种攻击也常常使用源地址欺骗——篡改成产生避免验证请求的 IP 地址。
• 应用攻击： 这种 DDoS 攻击利用 TCP 和 HTTP 等协议定义的行为来不断占用计算资源以阻止它们处理正常事务和请求。 HTTP 半开和 HTTP 错误就是应用攻击的两个典型例子。

图一说明 ：

• Multiple point of vulnerability and failtures ：多个易损点和故障点
• peering point ：对等点
• Hackers activate zombies on innocent computers ：黑客激活傀儡主机
• ISP Backbone ： ISP 骨干网
• Attacked server ：被攻击的服务器
• Infrastruture-level DDoS attacks,including routers and DNS servers ：基础设施的 DDoS 攻击，包括路由器和 DNS 服务器
• Sever-level DDoS attacks,including HTTP,DNS and other services ：服务器水平的 DDoS 攻击，包括 HTTP 、 DNS 和其它服务
• Bandwidth-level DDoS attacks,including worm storms ： 带宽水平的 DDoS 攻击，包括蠕虫风暴

DDoS 威胁日益致命

DDoS 攻击的一个致命趋势是使用复杂的欺骗技术和基本协议，如 HTTP ， Email 等协议，而不是采用可被阻断的非基本协议或高端口协议，使得 DDoS 攻击更加隐蔽和致命。这种使用合法应用协议和服务的攻击非常难识别和防御； 通常采用的包过滤或限制速率的措施只是通过停止服务来简单停止攻击任务，但同时合法用户的请求也被拒绝，造成业务的中断或服务质量的下降。

不管哪种 DDoS 攻击，，当前的技术都不足以很好的缓解和确保商务持续进行。不幸的是，现在流行的 DDoS 防御手段——例如黑洞技术和路由器过滤，限速——均无法处理复杂性日益增加的攻击。这些防御手段不仅慢，消耗大，而且也阻断有效业务。 IDSs 可以提供一些检测性能但并不能缓解 DDoS 攻击，防火墙提供的保护也受到其技术弱点的限制。还有其它策略，例如大量部署服务器，冗余设备，保证足够的响应能力来提供攻击防护，但这样作为阻止 DDoS 攻击的手段代价过于高昂。

黑洞技术

黑洞技术描述了一个服务提供商将指向某一目标企业的包尽量阻截在上游的过程，将改向的包引进“黑洞”并丢弃，以保全运营商的基础网络和其它的客户业务。但是合法数据包和恶意攻击业务一起被丢弃，所以黑洞技术不能算是一种解决方案。被攻击者失去了所有的业务，攻击者因而获得胜利。

路由器

许多人运用路由器的过滤功能提供对 DDoS 攻击的防御。事实是，因为路由器主要防御是基于 ACLs （ access control list ）接入控制列表，对于现在复杂的 DDoS 攻击不能提供完善的防御。以下将详细介绍。

路由器只能通过过滤非基本的不需要的协议来停止一些简单的 DDoS 攻击，例如 ping 攻击。这依然需要一个手动的反应措施，并且往往是在攻击致使服务失败之后。另外，现在的 DDoS 攻击使用互联网必要的有效协议，很难有效的滤除。路由器也能防止无效的或私有的 IP 地址空间，但 DDoS 攻击可以很容易的伪造成有效 IP 地址。

另一种建议基于路由器的 DDoS 预防策略——在出口侧使用 uRPF 来停止 IP 地址欺骗攻击——这同样不能有效防御现在的 DDoS 攻击，因为 uRPF 的基本原理是如果 IP 地址不属于应该来自的子网网络阻断出口业务。然而， DDoS 攻击能很容易伪造来自同一子网的 IP 地址，致使这种解决法案无效。更重要的是，为使 uRPF 有效，它不得不在每一个潜在的攻击源之前配置——而不是当前的或可能发生的。

本质上，对于种类繁多的使用有效协议的欺骗攻击，路由器 ACLs 是无效的。包括：

• SYN 、 SYN-ACK 、 FIN 等洪流。对一个 Web 服务器 80 端口上随机的 SYN 欺骗攻击或 ACK 、 RST 攻击，欺骗的源 IP 地址不断的变换， ACLs 无法追踪和停止这样的攻击。手动追踪或反常事件检测不能识别所有个别的欺骗源。唯一的选择是阻断整个服务器，牺牲被攻击服务器的服务以保全基础网络的业务和其他用户，而攻击者达到其攻击目标。
• 代理。因为一个 ACL 不能辨别来自于同一源 IP 或代理的正当 SYN 和恶意 SYN ，所以会通过阻断受害者所有来自于某一源 IP 或代理的用户来尝试停止这一集中欺骗攻击。
• DNS 或 BGP 。当发起这类随机欺骗 DNS 服务器或 BGP 路由器攻击时， ACLs ——类似于 SYN 洪流——不仅不能追踪快速变换的随机欺骗业务，也无法验证哪些地址是合法的，哪些是欺骗的。

ACLs 在防御应用层（客户端）攻击时也是无效的，无论欺骗与否， ACLs 理论上能阻断客户端攻击——例如 HTTP 错误和 HTTP 半开连接攻击，假如攻击和单独的非欺骗源能被精确的监测——将要求用户对每一受害者配置数百甚至数千 ACLs ，这其实是无法实际实施的。

防火墙

由于防火墙不是专门的 DDoS 防御装置，受到其内在限制，妨碍防御现有复杂攻击的能力。

首先是位置限制，防火墙的位置处于数据路径下游远端，不能为从提供商到企业边缘路由器的访问链路提供足够的保护，从而将那些易受攻击的组件留给了 DDoS 攻击。此外，因为防火墙总是串联的而成为潜在性能瓶颈，因为可以通过消耗它们的会话处理能力来对它们自身进行 DDoS 攻击。

其次是反常事件检测缺乏的限制，防火墙首要任务是要控制私有网络的访问。一种实现的方法是通过追踪从内侧（“干净”的一侧）向外侧服务发起的会话，然后只接收“不干净”一侧期望源头发来的特定响应。然而，这对于一些开放给公众来接收请求的服务是不起作用的，比如 Web 、 DNS 和其它服务。在这些情况下，防火墙将打开一个管道——例如将 HTTP 业务传送到 Web 服务器的 IP 地址。虽然这种方法通过只接收到特定地址的特定协议来提供一些保护，但对于 DDoS 攻击的防御还是无效的，因为黑客可以使用“被认可的”协议（如 HTTP ）。任何反常事件检测性能的缺陷意味防火墙不能识别被用作攻击媒介的有效协议。

第三种限制，虽然防火墙能检测反常行为，但几乎没有反欺骗能力——其结构仍然是攻击者达到其目的。当一个 DDoS 攻击被检测到，防火墙能停止与攻击相联系的某一特定数据流，但它们无法逐个包检测，将好的或合法业务从恶意业务中分出，使得它们在事实上对 IP 地址欺骗攻击无效。

IDS

基于签名的 IDS 解决方案无法检测以合法数据包作为途径的 DDoS 攻击。 IDS 解决方案将不得不提供领先的行为或基于反常事务的算法来检测现在的 DDoS 攻击。但是一些基于反常事务的性能要求有专家进行手动的调整，而且经常误报，并且不能识别特定的攻击流。同时 IDS 本身也很容易成为 DDoS 攻击的牺牲者。

也许作为 DDoS 防御平台的 IDS 最大的缺点是它只能检测到攻击，但对于缓和攻击的影响却毫无作为。 IDS 解决方案也许能托付给路由器和防火墙的过滤器，但正如前面叙述的，这对于缓解 DDoS 攻击效率很低，即便是用类似于静态过滤串联部署的 IDS 也做不到。 IDS 需要的是一个补充的防御解决方案，提供更高水平的特定攻击识别并与立即执行能力结合。

DDoS 攻击的手动响应

作为 DDoS 防御一部份的手动处理太微小并且太缓慢。受害者对 DDoS 攻击的典型第一反应是询问最近的上游连接提供者—— ISP 、宿主提供商或骨干网承载商——尝试识别该消息来源。对于地址欺骗的情况，尝试识别消息来源是一个长期和冗长的过程，需要许多提供商合作和追踪的过程。即使来源可被识别，但阻断它也意味同时阻断所有业务——好的和坏的。

其他策略

为了忍受 DDoS 攻击，企业操作者可能考虑了这样的策略，例如过量供应，就是购买超量带宽或超量的网络设备来处理任何请求。这种方法成本效益比较低，尤其是因为它要求附加冗余接口和设备。不考虑最初的作用，攻击者仅仅通过增加攻击容量就可击败额外的硬件，互联网上上千万台的机器是他们取之不净的攻击容量资源。

安全有效性

任何在线的商务都有在 DDoS 保护上投资的许多理由——经济和其它方面。大企业、政府组织、服务提供商——都需要保护它们的基础设施（ Web 服务器、 DNS 服务器、 e-mail 和聊天服务器、防火墙、交换机、路由器）等部件，维持商业操作的公平性和更有效地利用技术资源。

DDoS 防御的 ROI 模型

当然，实施完整 DDoS 保护需要成本。部署这样一个系统的 ROI(reture on investment) 投资汇报率是令人感兴趣的。

• 电子商务
  与一个 DDoS 攻击造成的潜在损失相比，电子商务站点的 DDoS 保护可以在几个小时之内就让他们收回成本。当决定任何相关的 DDoS 造成的故障时间的财政影响时，一个电子商务站点的交易容量、平均每个交易的收益、广告收益、无形资产例如商标权和法定责任、恢复被攻击站点需要的技术人员时间，都应该考虑在内。
• 服务提供者
  作为服务提供者，保持自己的网络处于工作状态有巨大的投资回报。如果一个提供者的基础设施被攻击（路由器、 DNS 等），对客户的所有服务都将失败，造成 SLA 严重侵害。 DDoS 保护的花销可以看成是防止灾难性失败的保险费，而这样的失败会导致大部分商业订单在收益和消极客户关系方面付出高昂的代价。然而，避免代价并不是宿主、运载和服务提供者实行完整 DDoS 解决方案的唯一动机。对于这些使用者， DDoS 保护可以提供来作为一项增值服务业务，能够创造出新的收益流，提高竞争优势。

缓和 DDoS 威胁

从事于 DDoS 攻击防御需要一种全新的方法，不仅能检测复杂性和欺骗性日益增加的攻击，而且要缓和攻击的影响，以确保商务持续进行和资源持续有效。

完整的 DDoS 保护围绕四个关键主题建立：

• 要缓解攻击，而不只是检测
• 从恶意业务中精确辨认出好的业务，维持业务继续进行，而不只是检测攻击的存在
• 内含性能和体系结构能对上游进行配置，保护所有易受损点
• 维持可靠性和成本效益可升级性
• 建立在这些构想上的 DDoS 防御具有以下保护性质：
• 通过完整的检测和阻断机制立即响应 DDoS 攻击，即使在攻击者的身份和轮廓不断变化的情况下。
• 与现有的静态路由过滤器或 IDS 签名相比，能提供更完整的验证性能。
• 提供基于行为的反常事件识别来检测含有恶意意图的有效包。
• 识别和阻断个别的欺骗包，保护合法商务交易。
• 提供能处理大量 DDoS 攻击但不影响被保护资源的机制。
• 攻击期间能按需求布署保护，不会引进故障点或增加串联策略的瓶颈点。
• 内置智能只处理被感染的业务流，确保可靠性最大化和花销比例最小化。
• 避免依赖网络设备或配置转换。
• 所有通信使用标准协议，确保互操作性和可靠性最大化。

基于检测、转移、验证和转发的基础上实施一个完整 DDoS 保护解决方案来提供完全保护，通过下列措施维持业务不间断进行：

• 时实检测 DDoS 停止服务攻击攻击。
• 转移指向目标设备的数据业务到特定的 DDoS 攻击防护设备进行处理。
• 从好的数据包中分析和过滤出不好的数据包，阻止恶意业务影响性能，同时允许合法业务的处理。
• 转发正常业务来维持商务持续进行。

完整 DDoS 防护解决方案套件

完整 DDoS 防护解决方案提供完整保护来防御各种 DDoS 攻击，甚至那些还未出现过的。以积极缓解性能为特色，快速检测攻击，从合法业务中分离出恶意数据包，提供以秒计而不是以小时计的快速 DDoS 响应。该方案容易布署在关键路由器和交换机附近，有可升级的选项来消除任何单个故障点，并且不影响任何现存的网络部件的性能和可靠性。

完整 DDoS 防护解决方案套件需要两个独立的组件—— Detector 攻击探测器和攻击防护卫士，两部分系统协同工作，能为任何环境提供 DDoS 保护。

• 攻击探测器：作为早期报警系统，探测器提供对最复杂 DDoS 攻击的深入分析。探测器被动监测网络业务，搜寻与“正常” 行为的偏差或 DDoS 攻击的基本行为。攻击被识别后，检测器发警报给攻击保护卫士，提供详细的报告和具体警报来快速响应该威胁。例如，即使在没有超出全面界限的情况下，检测器也需要能观测到从单个源头来的 UDP 包速率超出了范围。
• 攻击保护卫士：攻击保护卫士是完善 DDoS 解决方案套件的基石——它是一个高性能 DDoS 攻击缓解设备，不仅能部署在上游的 ISP/ 数据中心，还能部署在一个大企业内部来保护网络和数据中心资源。

当攻击保护卫士被通知有一个目标处于被攻击状态时，指向目标的业务将被转移到与该目标设备相连的防护卫士。然后，业务将通过五个阶段的分析和过滤，以除去所有恶意业务使得好的数据包能不间断的继续传送。

攻击保护卫士位于一个单独网络接口处的路由器或交换机附近，在不影响其他系统的数据业务流情况下实现按需保护。由于它的位置，攻击保护卫士可同时保护多个可能的目标，包括路由器、 Web 服务器、 DNS 服务器、 LAN 和 WAN 带宽。

MVP 多级验证体系结构

攻击保护卫士的下一代 DDoS 防御解决方案是基于一个独特的、申请专利的多验证过程 (MVP) 结构，就是将各种验证、分析和实施技术结合在一起用来从合法业务中识别和分离恶意业务。这个净化的过程由五个模块（步骤）组成：

• 过滤：该模块包括静态和动态的 DDoS 过滤器。静态过滤器用来阻断非必要的业务到达受害目标，用户可对其进行配置的并且已预先设定缺省值。动态过滤器由其它模块根据观测到的行为和对业务流的详细分析动态嵌入，它能提供实时的升级来提高对可疑流的验证级别以及阻断被确定为恶意的源头和数据流。
• 反欺骗：该模块用以核实进入系统的数据包没有欺骗信息。攻击保护卫士使用许多独特的源鉴定机制来阻止欺骗的数据包到达受害者。反欺骗模块还提供一些机制用来确保合法业务的正确识别，在事实上消除了有效包被抛弃的危险。
• 异常识别：该模块监测所有通过了过滤器和反欺骗模块的业务，并将其与随时间纪录的基准行为相比，搜寻那些有偏差的业务，识别恶意包的来源。该模块工作的基本原理用来识别攻击源和类型，提供阻断业务的警戒线或对可疑数据实施更详细的分析。
• 协议分析：该模块处理反常事件识别模块发现的可疑数据流，目的是为了识别特定的应用攻击，例如 http-error 攻击。然后，协议分析模块检测任何不正确的协议处理，包括不完全处理或错误处理。
• 速率限制：该模块提供了另一个执行选项，并且通过更详细的监测来防止不正当数据流攻击目标。该模块实施每个数据流业务的修整，处罚长时间消耗大量资源的源头。

在攻击间隙，攻击保护卫士处于“学习”模式，被动监测不同来源的业务模型和数据流，了解正常行为，建立基准配置文件。该信息被用来调整策略，用以在实时网络活动中识别和过滤已知、未知和以前从未见过的攻击。

图二说明：

• Multi-Verification Process(MVP) architecture ：多验证过程 (MVP) 体系结构
• Anomaly Recognition and Protocol Analysis update dynamic filters and rate limiting in real-time to block newly identified attack traffic ：反常事件识别和协议分析实时更新动态过滤器和速率限制，阻断最新被识别的攻击业务
• Packet Filtering ：数据包过滤
• Anti-spoofing ：反欺骗
• Anomaly Recognition ：异常识别
• Protocol Analysis ：协议分析
• Rate Liming ：速率限制

完善 DDoS 攻击防御布署

完善的 DDoS 保护提供灵活的、可升级的布署来保护数据中心（服务器和网络设备）、 ISP 链接或骨干网（路由器和 DNS 服务器）。

提供商

攻击保护卫士可布署在服务提供商的基础设施上有战略意义的节点上，例如在每个对等点，来保护核心路由器、下游边缘设备、链接以及客户。也可以布署在边缘路由器来提供特定的客户保护。攻击探测器可以靠近提供商的边缘或在客户内部。

图四说明：

• Traffic for targeted device diverted through Guard ：到目标设备的业务通过攻击防护卫士转向
•   “ clean ” traffic returned to system ：返回到系统的干净业务
• DDoS protection in an ISP environment ： ISP 环境的 DDoS 保护部署
• Traffic destined for targeted device is diverted to Riverhead Guards,clean traffic is returned to the system ：到特定目标设备的业务转移到攻击保护卫士，返回干净的业务到系统

企业和数据中心

在企业数据中心，攻击保护卫士被布署在数据中心的分发层，保护下游的低速链接和服务器。攻击保护卫士能连接到分发交换机并且支持冗余配置（见图 5 ）。

图五说明：

• Alert ：报警
• Riverhead protection in an enterprise enviroment ：企业环境下的攻击防护卫士
• Only traffic destined for the targeted device is diverted to th Guard,which returns “ clean ” transactions back to the system ：只有到特定目标设备的业务转移到攻击防护卫士，返回干净业务到系统

思科公司的创新技术和体系结构提供了这种全新的防护 DDoS 攻击的方法，对业务进行现有的最详细的审查，不仅能检测最复杂的 DDoS 攻击，也能提供阻断日益复杂和难于检测的攻击业务的能力，同时不影响合法业务处理，确保 DDoS 攻击意图停止业务操作的目的失败。此技术解决方案超越了简单过滤，它能检测数据并去除恶意业务，允许好的数据包通过，确保了业务的持续进行和完整性。