摘 要：网络分布式拒绝攻击服务（Distributed Denial of Service,DDos）是近年来对Internet具有巨大影响的恶意攻击方式，给校园网带来了不可估量的损失。本文介绍了石河子大学信息科学与技术学院通过分析DDos攻击的原理和手段，以及运行中遇到的问题提出了一些DDos攻击的应急防御策略，以减少攻击所造成的影响。
　　关键词：Dos DDos 防御
　　中图分类号：TP393.08 文献标识码：B 文章编号：1673-8454（2008）17-0056-02
　　
　　随着计算机技术发展的日新月异，校园管理也步入数字化时代，尤其是在各高等院校，校园数字化、网络化程度越来越高，然而由于网络系统的开放性以及自身的脆弱性，校园网络面临的各种安全威胁在逐年增加。
　　石河子大学信息科学与技术学院网络前段时间遭受到DDos攻击，本文针对学院此次DDos攻击以及在解决问题中的体会，对校园网解决DDos攻击防范方法以及安全策略进行探讨。
　　
　　一、DDos攻击原理
　　
　　DDos攻击是Dos攻击的一种演变，它改变了传统的一对一的攻击方式，利用网络调动大量傀儡机，同时向目标主机发动攻击，攻击效果极为明显。为完成DDos攻击，黑客首先需要拥有和控制三种类型的计算机，为了描述方便这里使用符号代表这些计算机：ATTACKER：黑客本人的主机；MASTER：直接受黑客控制的主机；DAEMON：它们是被黑客控制但一般并不为黑客所拥有的计算机群。黑客通过安全扫描工具在Internet上搜寻存在严重安全漏洞的主机并获得这些主机的安全控制权并安装控制软件master,并在DAEMON的计算机上安装守护程序daemon。最后黑客给出口令后就可以发出大规模的DOS攻击。整个攻击指令流向如图1所示。
　　
　　
　　二、DDos攻击手段
　　
　　DDos攻击一旦实施，攻击数据包就会像洪水般从四面八方涌向被攻击主机，从而把合法用户的连接请求淹没掉，导致合法用户长时间无法使用网络资源。从DDos攻击的过程可以看出，其攻击的目的主要有：（1）对网络带宽的流量攻击；（2）对服务器某特定服务的攻击。攻击的手段主要是发送大量垃圾数据交由网络设备或服务器处理，导致资源占用超出允许上限，使网络中断或无法提供正常服务。
　　我院前段时间遭受DDos即为对服务器特定服务的攻击，表现现象为晚上网络速度异常缓慢，几乎无法访问有效资源，通过流量监控设备可以看见大量不明源地址对服务器发送海量图形半连接数据包，每个数据包大小在3M左右，使服务器在很短的时间内瘫痪，无法向外提供服务。
　　
　　三、DDos攻击防御策略
　　
　　1.DDos攻击情况分析
　　对付DDos攻击是一个系统工程，我们采用的措施是：采用部分高性能的网络设备；安装专业抗DDos防火墙；路由器使用访问控制列表。
　　（１）采用高性能网络设备优化网络
　　要保证网络设备不能成为瓶颈，我们调整了部分路由器、交换机、硬件防火墙等设备。在中心路由器、核心交换机部分调整了一些设备较稳定、产品口碑较好的设备。并优化部分网络设备，为了防止SYN flood攻击，设置了TCP侦听功能。另外禁止网络不需要使用的UDP和ICMP包通过，尤其是不应该允许出站ICMP“不可到达”消息。
　　（２）采用基于netfilter的防火墙并对其功能进行扩展
　　Linux2.4以后的内核都采用了一种称为netfilter架构的防火墙机制，netfilter提供了一个抽象、通用化的框架，该框架定义的一个子功能的实现就是包过滤子系统。我院设计了一种方案来构造入侵规则，希望所有的入侵阻止动作均在内核空间完成，无用户控件程序参与。为此我们下载了最新的netfilter补丁找到了3个对于后续研究非常重要的补丁：模糊包速率匹配、端口扫描检测匹配以及数据包任意字节匹配。其后对这3项匹配做了代码分析并编译进内核进行功能测试，测试结果符合预期效果。有了这3项netfilter匹配项的支持，通过对防火墙内核的改造来实现一个轻量级的入侵阻止模块。此模块的代码框架为：
　　#include
　　#include
　　Static struct nf_hook_ops syn_filter=
　　{ //钩子结构定义
　　 {NULL,NULL},
　　 my_firewall,//防火墙实现函数
　　 THIS_MODULE,
　　PF_INET,
　　NF_IP_PRE_ROUTING,//在第一个钩子点调用
　　NF_IP_PRI_FIRST,
　　};
　　Int init(void)//初始化模块
　　{//登记钩子函数
　　nf_register_hook(