DoS攻擊時會有哪些異常表現形式

DoS攻擊時會有以下這些異常表現形式：

• 大量目標主機域名解析：根據分析，攻擊者在進行DDoS攻擊前總要解析目標的主機名。BIND域名服務器能夠記錄這些請求。每臺攻擊服務器在進行攻擊前會發出PTR反向查詢請求，也就是說在DDoS攻擊前域名服務器會接收到大量的反向解析目標IP主機名的PTR查詢請求。雖然這不是真正的DDoS通信，但能夠用來確定DDoS攻擊的來源。

• 極限通信流量：當DDoS攻擊一個站點時，會出現明顯超出該網絡正常工作時的極限通信流量的現象。現在的技術能夠對不同的源地址計算出對應的極限值。當明顯超出此極限值時就表明存在DDoS攻擊的通信。因此可以在主干路由器端建立訪問控制列表（Access Control List，ACL）和訪問控制規則，以監測和過濾這些通信。

• 特大型的ICMP和UDP數據包：正常的UDP會話一般都使用小的UDP包，通常有效數據內容不超過10 B。正常的ICMP消息長度在64128 B之間。那些明顯大得多的數據包很有可能就是DDoS攻擊控制信息，主要含有加密后的目標地址和一些命令選項。一旦捕獲到（沒有經過偽造的）控制信息，DDoS服務器的位置就暴露出來了，因為控制信息數據包的目標地址是沒有偽造的。

• 不屬于正常連接通信的TCP和UDP數據包：最隱蔽的DDoS工具隨機使用多種通信協議（包括基于連接的和無連接協議）發送數據。優秀的防火墻和路由規則能夠發現這些數據包。另外，那些連接到高于1024而且不屬于常用網絡服務的目標端口的數據包也非常值得懷疑。

• 數據段內容只包含文字和數字字符：例如，沒有空格、標點和控制字符的數據包。這往往是數據經過Base 64編碼后的特征。TFN2K發送的控制信息數據包就是這種類型。TFN2K及其變種的特征模式是在數據段中有一串A字符（AAA…），這是經過調整數據段大小和加密算法后的結果。如果沒有使用Base64編碼，對于使用了加密算法的數據包，這個連續的字符就是空格。

應對DoS攻擊的方法有以下這些：

• 分組過濾：為了避免被攻擊，可以對特定的流量進行過濾（丟棄），例如，用防火墻過濾掉所有來自某些主機的報文，為了防止Smurf攻擊而設置過濾器過濾掉所有ICMP協議的ECHO報文。這種基于特定攻擊主機或者內容的過濾方法只限于已經定義的固定的過濾器，不適合動態變化的攻擊模式。還有一種“輸入診斷”方案，由受害者提供攻擊特征，沿途的因特網服務提供商（Internet Service Provider，ISP）配合將攻擊分組過濾掉，但是這種方案需要各個ISP的網絡管理員人工配合，工作強度高、時間耗費大，因此較難實施，但效果明顯。

• 源端控制通：常參與DoS攻擊的分組使用的源IP地址都是假冒的，因此如果能夠防止IP地址假冒，就能夠防止此類DoS攻擊。通過某種形式的源端過濾可以減少或消除假冒IP地址的現象，從而防范DoS攻擊。例如，路由器檢查來自與其直接相連的網絡分組的源IP地址，如果源IP地址非法（與該網絡不匹配）則丟棄該分組。電信服務提供商利用自身的優勢加強假冒地址的控制，可大大降低DDoS攻擊的影響。現在越來越多的路由器支持源端過濾。但是，源端過濾并不能徹底消除IP地址假冒。例如，一個ISP的客戶計算機仍然能夠假冒成該ISP網絡內成百上千臺計算機中的一臺。

• 追溯：追溯發起攻擊的源端的方法很多，這些方法假定存在源地址假冒，它試圖在攻擊的源處抑制攻擊，并識別惡意的攻擊源。它在IP地址假冒的情況下也可以工作，是日后采取必要的法律手段防止將來攻擊的必要一步。但是追溯過程中并不能實時控制攻擊的危害，當攻擊很分散時也不能做到有效追溯。

• 路由器動態檢測和控制：這種方法的基本原理是在路由器上動態檢測和控制DoS攻擊引起的擁塞，其主要依據是DoS攻擊分組雖然可能來源于多個流，但這些流肯定有某種共同特征，比如有共同的目的地址或源地址（或地址前綴），或者都是TCP SYN類型的報文。這些流肯定在某些路由器的某些輸出鏈路上聚集起來并造成大量的分組丟失。這些有共同特征的流可以稱為流聚集（aggregate）。其主要設想是流聚集所通過的路由器有可能通過分析分組丟失的歷史辨識出這種流聚集。如果一個路由器辨識出了這些高帶寬的流聚集，它就可以通知送來這些流聚集的上游路由器限制其發送速率。這種由發生擁塞的路由器發起的回推（pushback）信號可能一直遞歸地傳播到源端。這種機制從直觀上不難理解，如果能夠實際使用，則對于解決DoS攻擊問題有很好的效果。但是這種機制在實際的網絡中能否實用面臨著檢測標準、公平性機制、高效實現及運營管理等很多未解決的問題。