網絡攻防原理與技術 第3版 教案 第5講 拒絕服務攻擊

內容備注《網絡攻防原理與技術》課程教案講課題目：第五講拒絕服務攻擊目的要求：了解拒絕服務攻擊的基本概念；掌握掌握劇毒包型拒絕服務攻擊的攻擊原理；掌握風暴型拒絕服務攻擊的攻擊原理；了解拒絕服務攻擊的檢測及響應技術。重點難點：劇毒包型拒絕服務攻擊的攻擊原理；風暴型拒絕服務攻擊的攻擊原理。方法步驟：理論講授。器材保障：電腦、投影儀。主要教學內容:一、拒絕服務攻擊概述(一)拒絕服務攻擊的相關概念拒絕服務攻擊（DenialofService，DoS）是一種應用廣泛、行之有效但難以防范的網絡攻擊手段，主要依靠消耗網絡帶寬或系統(tǒng)資源（如，處理機、磁盤、內存）導致網絡或系統(tǒng)不勝負荷以至于癱瘓而停止提供正常的網絡服務或使服務質量顯著降低，或通過更改系統(tǒng)配置使系統(tǒng)無法正常工作（如更改路由器的路由表），來達到攻擊的目的。DDoS（DistributedDenialofService）：如果處于不同位置的多個攻擊者同時向一個或多個目標發(fā)起拒絕服務攻擊，或者一個或多個攻擊者控制了位于不同位置的多臺機器并利用這些機器對受害者同時實施拒絕服務攻擊。廣義上講，DDoS屬于DoS攻擊，且是DoS主流的攻擊模式。狹義上講，DoS指的是單一攻擊者針對單一受害者的攻擊(傳統(tǒng)的DoS)，而DDoS則是多個攻擊者向同一受害者的攻擊。(二)分類(1)按攻擊目標分類。按攻擊目標分類，拒絕服務攻擊可分為節(jié)點型DoS和網絡連接型DoS。節(jié)點型又可分為主機型和應用型。主機型DoS主要對主機的CPU、磁盤、操作系統(tǒng)、文件系統(tǒng)等進行DoS攻擊；應用型DoS主要對主機中的應用軟件進行DoS攻擊，如Email服務器、Web服務器、DNS服務器、數(shù)據庫服務器等。(2)按攻擊方式分類。按攻擊方式分類，拒絕服務攻擊可分為資源破壞型DoS、物理破壞型DoS和服務終止型DoS。資源破壞型DoS主要是指耗盡網絡帶寬、主機內存、CPU、磁盤等；物理破壞型DoS主要是指摧毀主機或網絡節(jié)點的DoS攻擊；服務終止型DoS則是指攻擊導致服務崩潰或終止。(3)按攻擊是否直接針對受害者分類。按攻擊是否直接針對受害者分類，可分為直接型DoS和間接型DoS。直接型DoS攻擊直接對受害者發(fā)起攻擊；間接型DoS則是通過攻擊對受害者有致命影響的其他目標，從而間接導致受害者不能提供服務。(4)按攻擊機制分類。按攻擊機制分類，拒絕服務攻擊可分為劇毒包或殺手包型、風暴型和重定向型三種。劇毒包型攻擊主要利用協(xié)議本身或其軟件實現(xiàn)中的漏洞，向目標發(fā)送一些異常的（畸形的）數(shù)據包使目標系統(tǒng)在處理時出現(xiàn)異常，甚至崩潰。風暴型拒絕服務攻擊主要通過向目標發(fā)送大量的網絡數(shù)據包，導致目標系統(tǒng)或網絡的資源耗盡而癱瘓。重定向攻擊是指通過修改網絡中的一些參數(shù)，如ARP表、DNS緩存，使得從受害者發(fā)出的或發(fā)向受害者的數(shù)據包被重定向到別的地方。二、劇毒包型拒絕服務攻擊劇毒包或殺手包（KillerPacket)DoS攻擊：利用協(xié)議本身或其軟件實現(xiàn)中的漏洞，通過一些畸形的數(shù)據包使受害者系統(tǒng)崩潰，也稱為“漏洞攻擊”或“協(xié)議攻擊”。碎片攻擊（Teardrop）也稱為淚滴攻擊，是利用Windows3.1、Windows95、WindowsNT和低版本的Linux中處理IP分片時的漏洞，向受害者發(fā)送分片偏移地址異常的UDP數(shù)據包分片，使得目標主機在重組分片時出現(xiàn)異常而崩潰或重啟。IP數(shù)據報分組首部中的標志位中的DF標志為0時，即指示可以對該分組進行分片傳輸。首部中的片偏移字段（offset）指示某一分片在原分組中的相對位置，且以8個字節(jié)為偏移單位。也就是說，相對于用戶數(shù)據字段的起點，該片從何處開始。攻擊者精心構造數(shù)據報分片的offset字段，使得系統(tǒng)在計算要拷貝的數(shù)據片的大小時，得到一個負數(shù)。由于系統(tǒng)采用的是無符號整數(shù)，負數(shù)相當于一個很大的整數(shù)，這將導致系統(tǒng)出現(xiàn)異常，如堆棧損壞、IP模塊不可用或系統(tǒng)掛起等。PingofDeath攻擊也稱為也稱為“死亡之Ping”、ICMPBug攻擊，它利用協(xié)議實現(xiàn)時的漏洞(CVE-1999-0128)，向受害者發(fā)送超長的Ping數(shù)據包（ICMP包），導致受害者系統(tǒng)異常，如死機、重啟、崩潰等。一個ICMP包中的數(shù)據部分不能超過65515–8=65507字節(jié)。如果攻擊者發(fā)送給受害者主機的ICMP包中的數(shù)據超過65507字節(jié)，則該數(shù)據包封裝到IP包后，總長度就超過了IP包長的限制，接收到此數(shù)據包的主機將出現(xiàn)異常。Land攻擊利用的是主機在處理TCP連接請求上的安全漏洞，其攻擊原理是用一個特別構造的TCPSYN包（TCP三次握手中的第一步，用于發(fā)起TCP連接請求），該數(shù)據包的源地址和目標地址都被設置成受害者主機的IP地址。此舉將導致收到該數(shù)據包的主機向自己回復TCPSYN+ACK消息(三次握手中的第二步，連接響應)，結果主機又發(fā)回自己一個ACK消息（三次握手中的第三步）并創(chuàng)建一個空連接。被攻擊的主機每接收一個這樣的數(shù)據包，都將創(chuàng)建一條新連接并保持，直到超時。最終，將導致主機掛起、崩潰或者重啟。例如許多UNIX系統(tǒng)將崩潰，WindowsNT將變得極其緩慢。循環(huán)攻擊也稱為振蕩攻擊(OscillateAttack)或乒乓攻擊，其攻擊原理是：當兩個都會產生輸出的端口（可以是一個系統(tǒng)／一臺計算機的兩個端口，也可以是不同系統(tǒng)／計算機的兩個端口）之間建立連接以后，第一個端口的輸出成為第二個端口的輸入，導致第二個端口產生輸出；同時，第二個端口的輸出又成為第一個端口的輸入。如此一來，在兩個端口間將會有大量的數(shù)據包產生，導致拒絕服務。2020年10月14日，微軟修復了一個WindowsIPv6協(xié)議棧中的嚴重遠程代碼執(zhí)行漏洞（CVE-2020-16898），遠程攻擊者無需用戶驗證即可通過發(fā)送惡意構造的ICMPv6路由廣播包導致目標系統(tǒng)代碼執(zhí)行或拒絕服務（系統(tǒng)崩潰）。風暴型拒絕服務攻擊（一）攻擊原理風暴型拒絕服務攻擊是最主要的拒絕服務攻擊形式，通常情況下，談到拒絕服務攻擊時就是指這種類型的攻擊。它主要通過向攻擊目標發(fā)送大量的數(shù)據包（也稱為“數(shù)據風暴”）來達到癱瘓目標的目的。風暴型拒絕服務攻擊一般包括3個步驟，1)攻擊者通過掃描工具尋找一個或多個能夠入侵的系統(tǒng)，并獲得系統(tǒng)的控制權。然后，在被攻陷的系統(tǒng)中安裝DoS的管理者(handler)。這一步常常針對緩存溢出漏洞或系統(tǒng)安全配置漏洞來進行。2)攻擊者利用掃描工具大量掃描并攻擊存在安全漏洞的系統(tǒng)，獲得該系統(tǒng)的控制權。在被攻陷的系統(tǒng)中安裝并運行DoS的攻擊代理(agent)。3)攻擊者通過handler通知攻擊代理攻擊的目標以及攻擊類型等。很多攻擊工具的將攻擊者、攻擊代理和handler之間的通信信道加密以便較好地隱藏DoS攻擊網絡。在收到攻擊指令后，攻擊代理發(fā)起真正的攻擊。風暴型拒絕服務攻擊之所以能成功，主要原因有以下幾點。1)TCP/IP協(xié)議存在漏洞，可以被攻擊者利用。2)網絡提供Best-Effort服務，不區(qū)分數(shù)據流量是否是攻擊流量。3)因特網沒有認證機制，從而容易遭受IP欺騙。4)因特網中的路由器不具備數(shù)據追蹤功能，因而無法驗證一個數(shù)據包是來自于其聲稱的位置。5)網絡帶寬和系統(tǒng)資源是有限的，這是最根本原因。風暴型拒絕服務攻擊一般又分為兩類：直接風暴型和反射型。直接風暴型拒絕服務攻擊的特點是攻擊者直接利用自己控制的主機向攻擊目標發(fā)送大量的網絡數(shù)據包。反射型拒絕服務攻擊的特點是攻擊者偽造攻擊數(shù)據包，其源地址為被攻擊主機的IP地址，目的地址為網絡上大量網絡服務器或某些高速網絡服務器的地址，通過這些服務器（作為反射器）的響應實施對目標主機的拒絕服務攻擊。（二）直接風暴型拒絕服務攻擊SYNFlood攻擊，也稱為“SYN洪泛攻擊”、“SYN洪水攻擊”，是當前最流行的拒絕服務攻擊方式之一。它的基本原理是向受害主機（服務器）發(fā)送大量TCPSYN報文（連接請求），但對服務器的TCPSYN+ACK應答報文（連接響應）不作應答，即三次握手的第三次握手（對響應的響應）無法完成。在這種情況下，服務器端一般會重試（再次發(fā)送SYN+ACK給客戶端)并等待一段時間后丟棄這個未完成的連接（稱為“半連接”，放在半連接表中）。如果一個惡意攻擊者發(fā)出大量這種請求，則服務器端為了維護一個非常大的半連接列表而消耗非常多的資源。一般系統(tǒng)中，半連接數(shù)的上限為1024，超過此限制則不接受新的連接請求，即使是正常用戶的連接請求。此時從正?？蛻舻慕嵌瓤磥恚掌魇ロ憫?。此外，對服務器的性能也會有大的影響，即使是簡單的保存并遍歷也會消耗非常多的CPU和內存資源，何況還要不斷對這個列表中的各個客戶端進行TCPSYN+ACK的重試，這將導致部分系統(tǒng)崩潰。Ping風暴攻擊的攻擊原理是：攻擊者利用控制的大量主機向受害者發(fā)送大量的ICMP回應請求（ICMPEchoRequest，即Ping）消息，使受害者系統(tǒng)忙于處理這些消息而降低性能，嚴重者可能導致系統(tǒng)無法對其他的消息做出響應。這種攻擊簡單而有效。TCP連接耗盡型攻擊是向被攻擊主機發(fā)起連接請求（即發(fā)送TCPSYN數(shù)據包），與SYNFlood攻擊不同的是，它通常會完成三次握手過程，即建立TCP連接。通過建立眾多的TCP連接耗盡受害者的連接資源，從而無法接受正常用戶的連接請求，因此也稱為“空連接攻擊”。與SYNFlood攻擊相比，這種攻擊還有一點不同，即它不需要不停地向受害者發(fā)起連接請求，只需要連接數(shù)量到達一定程度即可，但是SYNFlood攻擊必須不停地發(fā)，一旦停止受害者即可恢復。HTTP風暴型攻擊的攻擊原理是用HTTP協(xié)議對網頁進行合法請求，不停地從受害者處獲取數(shù)據，占用連接的同時占用網絡帶寬。為了盡可能地擴大攻擊效果，這種攻擊一般會不停地從受害者網站上下載大的文件（如大的圖像和視頻文件），從而使得一次請求占用系統(tǒng)更多的資源。而一般的連接耗盡型攻擊只占用連接，并不見得有太多的數(shù)據傳輸。這種攻擊的缺點是一般要使用真實的IP地址，通常是被攻擊者控制的傀儡主機的IP地址，因此攻擊者一般都控制了由大量僵尸主機構成的僵尸網絡。近幾年來，一種稱為HTTPCC（ChallengeCollapsar，譯為“挑戰(zhàn)黑洞”）的風暴型拒絕服務攻擊（也稱為HTTP代理攻擊）非常流行。HTTPCC攻擊的原理是攻擊者借助控制的大量僵尸主機向受害服務器發(fā)送大量的合法網頁請求，導致服務器來不及處理。一般來說，訪問靜態(tài)頁面不需要消耗服務器多少資源，甚至可以說直接從內存中讀出發(fā)給用戶就可以。但是，動態(tài)網頁就不一樣，例如論壇之類的動態(tài)網頁，用戶看一個帖子，系統(tǒng)需要到數(shù)據庫中判斷其是否有讀帖子的權限，如果有，就讀出帖子里的內容，顯示出來——這里至少訪問了2次數(shù)據庫。如果數(shù)據庫有200MB大小，系統(tǒng)很可能就要在這200MB大小的數(shù)據空間搜索一遍，這需要多少的CPU資源和時間?如果查找一個關鍵字，那么時間更加可觀，因為前面的搜索可以限定在一個很小的范圍內，比如用戶權限只查用戶表，帖子內容只查帖子表，而且查到就可以馬上停止查詢，而搜索會對所有數(shù)據進行一次判斷，消耗的時間是相當多。CC攻擊就充分利用了這個特點，模擬多個用戶不停地進行訪問，特別是訪問那些需要大量數(shù)據操作的請求，即大量占用CPU時間的頁面，比如asp/php/jsp/cgi。（三）反射型拒絕服務攻擊反射型拒絕服務攻擊（DistributedReflectionDenialofService,DRDoS）在實施時并不直接向目標服務器或網絡發(fā)送數(shù)據包，而是通過中間節(jié)點（稱為“反射器”）間接向目標服務器或網絡發(fā)送大量數(shù)據包，導致目標服務器被破壞或使其及周邊網絡基礎設施無法訪問。攻擊者一般用一個假的源地址（被攻擊的目標網絡地址），向互聯(lián)網上開放式服務器（反射器）發(fā)欺騙請求數(shù)據包，服務器收到數(shù)據包以后，將向這個源地址（被攻擊目標）回送一個或多個響應包。為提高攻擊效果，攻擊者通常會選擇響應包大于欺騙請求包的服務作為反射器（一般將“響應包大小/請求包大小”稱為“放大倍數(shù)”或“放大因素”），如DNS、NTP、Chargen等服務，從而大大放大對目標發(fā)送的流量規(guī)模和帶寬。反射型DDoS攻擊的發(fā)起者無需掌控大量僵尸網絡，只需通過修改源IP地址，就可以發(fā)起攻擊，因此，具有攻擊者隱蔽、難以追蹤的特性，是目前主流的風暴型拒絕服務攻擊方法。在反射型DDoS整個攻擊過程中，反射節(jié)點也無法識別請求發(fā)起源是否具有惡意動機。（四）僵尸網絡僵尸網絡(Botnet)是僵尸主人(BotMaster)通過命令與控制（CommandandControl,C&C）信道控制的具有協(xié)同性的惡意計算機群，其中，被控制的計算機稱為僵尸主機(Zombie，俗稱“肉雞”)，僵尸主人用來控制僵尸主機的計算機程序稱為僵尸程序(Bot)。正是這種一對多的控制關系，使得攻擊者能夠以極低的代價高效控制大量的資源為其服務，這也是僵尸網絡攻擊模式近年來受到黑客青睞的根本原因。在執(zhí)行惡意行為時，僵尸網絡充當了攻擊平臺的角色，是一種效能巨大的網絡戰(zhàn)武器。僵尸網絡主要應用于網絡偵察和攻擊，即平時隱蔽被控主機的主機信息，戰(zhàn)時發(fā)動大規(guī)模流量攻擊（即風暴型拒絕服務攻擊），是實施大規(guī)模拒絕服務攻擊的主要方式。IRC類僵尸網絡基于標準IRC協(xié)議在IRC聊天服務器上構建其命令與控制信道，控制者通過命令與控制信道實現(xiàn)對大量受控主機的僵尸程序版本更新、惡意攻擊等行為的控制。IRC僵尸網絡健壯性差，存在單點失效問題，可通過摧毀單個IRC服務器來切斷僵尸網絡控制者與bot的聯(lián)系，導致整個僵尸網絡癱瘓。針對這一問題，bot的僵尸程序使用域名而非固定的IP地址連接IRC服務器，僵尸網絡控制者使用動態(tài)域名服務將僵尸程序連接的域名映射到其控制的多臺IRC服務器上，一旦正在工作的IRC服務器失效，僵尸網絡的受控主機會連接到其他的IRC服務器，整個僵尸網絡繼續(xù)運轉。此外，將僵尸網絡的控制權通過出租出售謀取經濟利益是目前僵尸網絡產業(yè)鏈的重要組成部分。僵尸網絡主動或者被動改變其IRC服務器的行為稱為僵尸網絡的遷移。此外，出于管理便捷的考慮，某些大型僵尸網絡采用分層管理模式，由多個IRC服務器控制各自不同的bot群體，而所有的IRC服務器由僵尸網絡控制者統(tǒng)一控制。IRC僵尸網絡中，bot與控制者是實體，IRC服務器只是中間橋梁。要準確掌握僵尸網絡，必須掌握僵尸網絡(控制者)與bot的對應關系。由于僵尸網絡IRC服務器與bot連接的復雜衍變特性以及IRC服務器與控制者通信檢測的困難，因此檢測僵尸網絡非常困難。為了克服IRC僵尸網絡命令與控制機制的不足，使僵尸網絡更加健壯，就需要更具魯棒性的命令與控制機制。P2P命令與控制機制靠著其出色的分散和對等性質成了黑客的首選之一。網絡中每臺僵尸主機都與該僵尸網絡中的某一臺或某幾臺僵尸主機存在連接。如果有新的被感染主機要加入僵尸網絡，它在感染時就會得到該僵尸網絡中的某臺或某些僵尸主機的IP地址，然后建立連接。建立連接之后，它可以對所要連接的IP地址進行更新。這樣，僵尸網絡中的每臺僵尸主機都可以同其他任何一臺僵尸主機建立通信鏈路。僵尸主人也就可以通過普通的一臺對等主機向整個僵尸網絡發(fā)送命令和控制信息，達到自己的目的。拒絕服務攻擊的應用拒絕服務攻擊除了直接用于癱瘓攻擊目標外，還可以作為特權提升攻擊、獲得非法訪問的一種輔助手段。這時拒絕服務攻擊服從于其他攻擊的目的。通常，攻擊者不能單純通過拒絕服務攻擊獲得對某些系統(tǒng)、信息的非法訪問，但可將其作為間接手段使用。SYNFlood攻擊可以用于IP劫持、IP欺騙等。當攻擊者想要冒充C跟B通信時，通常要求C不能響應B的消息，為此，攻擊者可以先攻擊C（如果它是在線的）使其無法對B的消息進行響應。然后攻擊者就可以通過竊聽發(fā)向C的數(shù)據包，或者猜測發(fā)向C的數(shù)據包中的序列號等，然后冒充C與第三方通信。一些系統(tǒng)在啟動時會有漏洞，可以通過拒絕服務攻擊使之重啟，然后在該系統(tǒng)重啟時針對漏洞進行攻擊。如RARP-boot，如果能令其重啟，就可以將其攻破。只需知道RARP-boot在引導時監(jiān)聽的端口號（通常為69），通過向其發(fā)送偽造的數(shù)據包幾乎可以完全控制其引導過程。有些網絡中，當防火墻關閉時允許所有數(shù)據包都能通過（特別是對于那些提供服務比保障安全更加重要的場合，如普通的ISP），則可通過對防火墻進行拒絕服務攻擊使其失去作用達到非法訪問受保護網絡的目的。在Windows系統(tǒng)中，大多數(shù)配置變動在生效前都需要重新啟動系統(tǒng)。這么一來，如果攻擊者已經修改了系統(tǒng)的管理權限，可能需要采取拒絕服務攻擊的手段使系統(tǒng)重啟或者迫使系統(tǒng)的真正管理員重啟系統(tǒng)，以便使改動的配置生效。對DNS的拒絕服務攻擊可以達到地址冒充的目的。攻擊者可以通過把DNS致癱，然后冒充DNS的域名解析，把錯誤的域名-IP地址的映射關系提供給用戶。攻擊者的最終目的大致有兩種：一是竊取受害者的信息，但客觀上導致用戶不能應用相應的服務，也構成拒絕服務攻擊；二是拒絕服務攻擊，如蓄意使用戶不能訪問需要訪問的網站，不能發(fā)送郵件到特定郵件服務器等。拒絕服務攻擊的檢測及響應（一）攻擊檢測技術1.DoS攻擊工具的特征標志檢測這種方法主要針對攻擊者利用已知特征的DoS攻擊工具發(fā)起的攻擊。攻擊特征主要包括：1)特定端口。例如，NTPDDoS使用的123端口，SSDP攻擊使用的1900端口。2)標志位。例如，Shaft攻擊所用的TCP分組的序列號都是0x28374839。3)特定數(shù)據內容。2.根據異常流量來檢測大部分不易檢測的DoS、DDoS攻擊工具和方法，都有一個共同的特征：當這類攻擊出現(xiàn)時，網絡中會出現(xiàn)大量的某一類型的數(shù)據包?？梢愿鶕@一特征來檢測是否發(fā)生了DoS攻擊。DoS工具產生的網絡通信信息有兩種：控制信息（在DoS管理者與攻擊代理之間）和攻擊時的網絡通信（在DoS攻擊代理與目標主機之間）。根據以下異?，F(xiàn)象在入侵檢測系統(tǒng)中建立相應規(guī)則，能夠較準確地監(jiān)測出DoS攻擊。1）大量目標主機域名解析。根據分析，攻擊者在進行DDoS攻擊前總要解析目標的主機名。BIND域名服務器能夠記錄這些請求。由于每臺攻擊服務器在進行攻擊前會發(fā)出PTR反向查詢請求，也就是說在DDoS攻擊前域名服務器會接收到大量的反向解析目標IP主機名的PTR查詢請求。雖然這不是真正的“DDoS”通信，但卻能夠用來確定DDoS攻擊的來源。2）極限通信流量。當DDoS攻擊一個站點時，會出現(xiàn)明顯超出該網絡正常工作時的極限通信流量的現(xiàn)象。現(xiàn)在的技術能夠對不同的源地址計算出對應的極限值。當明顯超出此極限值時就表明存在DDoS攻擊的通信。3）特大型的ICMP和UDP數(shù)據包。正常的UDP會話一般都使用小的UDP包。那些明顯大得多的數(shù)據包很有可能就是DDoS攻擊控制信息，主要含有加密后的目標地址和一些命令選項。一旦捕獲到（沒有經過偽造的）控制信息，DDoS服務器的位置就暴露出來了，因為控制信息數(shù)據包的目標地址是沒有偽造的。4）不屬于正常連接通信的TCP和UDP數(shù)據包。DDoS攻擊常常使用大量非正常的TCP三次握手包進行攻擊，大量偽造源地址的UDP數(shù)據包等。5）數(shù)據段內容只包含文字和數(shù)字字符（例如，沒有空格、標點和控制字符）的數(shù)據包。這往往是數(shù)據經過BASE64編碼后的特征。（二）響應技術從原理上講，主要有四種應對DoS攻擊的方法：第一種是通過丟棄惡意分組的方法保護受攻擊的網絡或系統(tǒng)；第二種是在源端控制DoS攻擊；第三種是追溯(traceback)發(fā)起攻擊的源端，然后阻止它發(fā)起新的攻擊；第四種是路由器動態(tài)檢測流量并進行控制。1.分組過濾為了避免被攻擊，可以對特定的流量進行過濾，例如，用防火墻過濾掉所有來自某些主機的報文。還有一種“輸入診斷”方案，由受害者提供攻擊特征，沿途的互聯(lián)網服務提供商（InternetServiceProvider，ISP）配合將攻擊分組過濾掉，但是這種方案需要各個ISP的網絡管理員人工配合，工作強度高、時間耗費大，因此較難實施。2.源端控制通常參與DoS攻擊的分組使用的源IP地址都是假冒的，因此如果能夠防止IP地址假冒就能夠防止此類DoS攻擊。通過某種形式的源端過濾可以減少或消除假冒IP地址的現(xiàn)象，防范DoS攻擊?，F(xiàn)在越來越多的路由器支持源端過濾。但是，源端過濾并不能徹底消除IP地址假冒。例如，一個ISP的客戶計算機仍然能夠假冒成該ISP網絡內成百上千臺計算機中的一臺。3.追溯追溯發(fā)起攻擊的源端的方法不少，這些方法假定存在源地址假冒，它試圖在攻擊的源處抑制攻擊，并判定惡意的攻擊源。它在IP地址假冒的情況下也可以工作，是采取必要的法律手段防止未來攻擊的關鍵一步。4.路由器動態(tài)檢測和控制這種方法的基本原理是在路由器上動態(tài)檢測和控制DoS攻擊引起的擁塞，其主要依據是DoS攻擊分組雖然可能來源于多個流，但這些流肯定有某種共同特征，比如有共同的目的地址或源地址（或地址前綴）或者都是TCPSYN類型的報文。這些流肯定在某些路由器的某些輸出鏈路上聚集起來并造成大量的分組丟失。這些有共同特征的流可以稱為流聚集(aggregate)。如果一個路由器辨識出了這些高帶寬的流聚集，它就可以通知上游路由器限制其發(fā)送速率。流量清洗主要針對互聯(lián)網數(shù)據中心（InternetDataCenter,IDC）或云服務的中大型客戶，尤其是對互聯(lián)網有高度依賴的商業(yè)客戶和那些不能承擔由于DDoS攻擊所造成巨額營業(yè)損失的客戶，如金融機構、游戲服務提供商、電子商務和內容提供商。其基本原理是對進入IDC或云的數(shù)據流量進行實時監(jiān)控，及時發(fā)現(xiàn)包括DDoS攻擊在內的異常流量。在不影響正常業(yè)