双栈网络防火墙中synflood攻击的检测防御

国内图书分类号：TP393.08 学校代码：10213
国际图书分类号：681.3.06 密级：公开
工程硕士学位论文
双栈网络防火墙中SYN Flood攻击的检测与
防御
硕士研究生：徐赛
导师：方滨兴教授
申请学位：工程硕士
学科：计算机技术
所在单位：计算机科学与技术学院
答辩日期：2013年7月
授予学位单位：哈尔滨工业大学
Classified Index: TP393.08
U.D.C: 681.3.06
Dissertation for the Master Degree in Engineering Detection and Protection Against the SYN Flood Attack on Dual Stack Based Firewall
Candidate：Xu Sai
Supervisor：Prof. Fang Binxing
Academic Degree Applied for：Master of Engineering Speciality：Computer Technology Affiliation：School of Computer Science and
Technology
Date of Defence：June, 2013
Degree-Conferring-Institution：Harbin Institute of Technology
摘要
互联网技术的广泛应用给人们带来巨大便利的同时，也使网络安全问题变得越来越严重。

尤其是以SYN Flood攻击为代表的DDoS攻击更是对网络安全的巨大威胁。

本文首先对现存DDoS攻击的原理进行了详细的分析，并对现有的攻击检测算法做了总结。

随后本文提出了两种适用于大流量网络环境下快速检测SYN Flood攻击的算法：自适应阈值检测算法和基于滑动窗口熵值的检测算法。

通过对这两种算法进行理论对比和实验对比，本文发现自适应阈值检测算法更能满足本课题对效率的要求。

然后本文又介绍了当前比较流行的两种SYN Flood防御技术：SYN Cookie和SYN Proxy，并针对这两种技术的缺陷提出了相应的解决方案。

但是由于这两种技术都不能满足本课题对效率和安全性的要求，本文随后又提出了一种基于窗口采样的受害者IP判定算法。

该算法可以快速的判定出受害者的IP地址，然后可以依据此IP地址丢弃攻击流量。

同时为了减少丢包对上层应用的影响，本文在自适应阈值检测算法的基础上提出了快恢复机制，使防火墙可以快速的从丢包态返回到正常态。

最后，本论文在双栈网络防火墙中实现了上述攻击检测算法和防御算法，并对其正确性和性能做了测试。

主动测试测试了算法的正确性，并提出了衡量其正确性的五个指标。

被动测试测试了它们对系统性能的提升，并使用内存占用率和CPU使用率两个指标来衡量。

测试结果表明，本文提出的SYN Flood攻击检测和防御方法可以在只额外消耗很少量内存的情况下大幅提攻击时的系统效率。

关键词双栈；网络防火墙；SYN Flood攻击；自适应阈值；
- I -
Abstract
The extensive use of Internet technology has brought great convenience to modern society, however, more and more severe problems regarding on network security have also emerged at the same time. Especially the DDoS attacks, represented by SYN Flood, pose massive threats to the network security.
This paper analyzes the rationale of existing DDoS attack in detail, summerizing all the available detection algorithms.
Subsequently this paper proposes two algorithms which could detect SYN Flood attack quickly under large scale network: the adaptive threshold algorithm and the algorithm based on sliding window entropy. By conducting the comparison in theory and experiment between the two algorithms, this paper suggests that the adaptive threshold algorithm could fulfill the efficiency requirements better.
In the next, this paper introduces two popular SYN Flood protection methods: SYN Cookie and SYN Proxy, and proposes solutions regarding on their defects. Because both methods cannot meet the requirements of efficiency and security, a new algorithm based on sampling in window is introduced, which is known as the victim IP decision algorithm. This algorithm can detect the victims' IP address quickly, so the firewall can discard the attack flows using the results. Meanwhile, this paper proposed a fast recovery mechanism on basis of adaptive threshold algorithm to reduce negative effects caused by dropped packets, which could recover the firewall from drop packet state to normal state.
At last, this paper implements the attack detection and protection algorithms in dual-stack firewall, and tests the validity and performance respectively. The validity, which is measured by five indicators, is detected in active test. The system performance improvement, which is measured by two indicators: memory usage and CPU utilization, is detected in passive test. The results indicate that the methods of detection and protection against SYN Flood proposed by this paper can improve the system efficiency substantially when firewall is attacked, while consuming only a small amount of extra memory.
Keywords: Dual Stack; Firewall; SYN Flood attack; Adaptive threshold
- II -
目录
摘要 (I)
Abstract (II)
第1章绪论 (1)
1.1 课题研究的背景和意义 (1)
1.2 国内外研究现状 (5)
1.3 本文主要研究内容 (8)
1.4 内容安排 (9)
第2章DDoS攻击及其检测算法概述 (10)
2.1 DDoS攻击概述 (10)
2.2 DDoS攻击的分类 (11)
2.2.1 洪泛攻击 (11)
2.2.2 畸形包攻击 (13)
2.2.3 协议攻击 (13)
2.2.4 扩大攻击 (14)
2.2.5 反射攻击 (15)
2.2.6 应用层DDOS攻击 (17)
2.3 DDoS攻击检测算法概述 (18)
2.3.1 根据算法部署位置分类 (18)
2.3.2 根据算法检测模式分类 (20)
2.4 本章小结 (23)
第3章双栈防火墙中SYN Flood检测算法的研究 (24)
3.1 SYN Flood攻击原理 (24)
3.2 自适应阈值检测算法 (26)
3.3 基于滑动窗口熵值的检测算法 (29)
3.4 两种算法的比较 (31)
3.5 本章小结 (33)
第4章双栈防火墙中SYN Flood防御系统的设计 (34)
4.1 SYN Flood攻击常见的防御方法 (34)
4.1.1 SYN Cookie技术及其改进 (34)
4.1.2 SYN Proxy技术及其改进 (36)
- III -
4.2 基于采样的受害者IP判定算法 (39)
4.3 基于自适应阈值的快恢复机制 (42)
4.4 系统运行流程 (43)
4.5 本章小结 (44)
第5章测试结果与分析 (45)
5.1 主动测试 (45)
5.1.1 测试环境 (46)
5.1.2 测试方案 (47)
5.1.3 测试结果及分析 (47)
5.2 被动测试 (50)
5.2.1 测试环境 (50)
5.2.2 测试方案 (51)
5.2.3 测试结果及分析 (52)
5.3 本章小结 (54)
结论 (55)
参考文献 (56)
哈尔滨工业大学学位论文原创性声明和使用权限 (59)
致谢 (60)
- IV -
- 1 -
第1章 绪论
1.1 课题研究的背景和意义
从1969年的ARPANET 到今天对下一代互联网技术的研究，在这几十年里网络技术得到了迅猛的发展。

尤其是在最近的二十几年里，随着以TCP/IP 协议为基础的因特网的快速发展，人们的生产和生活方式已经彻底的被网络改变了。

比如从简单的Email 服务，网络视频服务到复杂的电子商务、远程教育和远程医疗服务等。

网络技术的广泛使用使得国与国之间的边界变得模糊，人与人之间的距离变得更近。

以中国为例，第三十一次中国互联网络发展状况分析报告指出：截至去年（2012年）年底，我国已经有了超过5亿6千万的网民。

并且2012年比2011年新增了大约5千万网民。

在我国，已经有超过四成的区域普及了互联网，与2011年同期相比提升了大约4个百分点。

可见我国互联网应用一直呈现出比较
快的增长态势。

中国网民规模和互联网普及率如图1-1所示。

图1-1中国网民规模和互联网普及率调查统计
- 2 -
然而，伴随着因特网的快速发展，由于IPv4当初协议设计上的缺陷，导致现在的IPv4地址空间缺乏，并且IPv4急剧膨胀的路由表、缺少对网络层安全的支撑、缺少对移动网络和网络服务质量的支持等一系列的缺陷和不足[1-5]使得它逐渐不能满足人们日益增长的对网络的要求。

为了解决这些问题[6,7]，世界上的多个国家和其研究机构都开始对下一代网络的研发加大资金和科研力量投入，这里的下一代网络指的就是IPv6网络。

IPv4技术由于其设计时间过早，没能充分考虑到网络地址数量和网络安全的重要性，对此IPv6网络技术着重对这两个方面进行了改进。

我国政府和相关科研机构也对IPv6技术比较重视，并且早在1998年就开始研究IPv6的相关技术。

到现在为止，我国的IPv6技术已经得到了一定的推广，在部分地区和机构已经投入了使用。

第三十一次中国互联网络发展状况分析报告指出，截至到去年（2012年）年底，我国拥有的IPv6地址数量位列世界第三：总共拥有12535块IPv6地址，较去年同期大幅增长超过三成。

图1-2是我国近几年
IPv6地址数的统计信息。

图1-2中国IPv6地址数统计
同时，我国拥有的 IPv4地址的总数却基本维持不变，截至2012年 12月底共计有3.31 亿个。

图1-3展示了我国拥有的IPv4地址数。

可以看出，近几年来，IPv4地址的增长率已经十分缓慢。

图1-3中国IPv4地址数统计
随着IPv6的快速普及，IPv4协议最终会完全被IPv6技术取代。

但是这个目标不可能是一蹴而就的。

IPv4升级到IPv6需要更换大量的网络设备，但是由于IPv4庞大的网络规模，更换网络设备将会影响大量用户的使用，导致巨额的财产损失。

总之，IPv6技术替代IPv4技术是一个必然，但是其过程将会是缓慢的。

这样，在IPv4向IPv6过渡期间将会不可避免的出现两种协议长时间共存的局面，而这也将会导致网络中同时存在IPv4和IPv6两种流量。

目前从IPv4 到IPv6 的过渡技术主要有三种：双栈技术[8]、隧道技术[8]和翻译技术[9]。

而双栈技术则是IPv6过渡技术中使用最为广泛的一种，隧道技术和翻译技术都需要在双栈技术的基础上来实现。

同时，随着技术的发展和使用，各种新型应用层次不穷，随着而来的是网络流量的巨额增加和其种类的多样化。

技术的发展给人们带来便利的同时也不断的导致新的安全问题。

而从网络攻击使用的各种技术手段和其产生破坏的严重情况来看，DoS （Denial of Service）攻击算是一种既简单又非常有效的攻击方式。

它主要通过点对点的方式在短时间内向Server端发送大量的攻击报文，造成Server端被攻击包占用了非常多的服务资源，而没有多余的资源去响应正常用户的请求，从而实现拒绝服务攻击的效果。

但随着计算机硬件变得越来越高效便宜，网络带
宽变得越来越大，单一的DoS攻击已经很难再发挥它的威力。

正是在这种情
- 3 -
况下，黑客们发明了分布式的DOS攻击，即DDoS攻击。

分布式拒绝服务攻击，英文全称为Distributed Denial of Service Attack，是一种通过分布式的大规模的协作而发起的拒绝服务式攻击。

在传统的DoS攻击者，攻击者和受害者同时都只有一个。

但是在DDOS攻击中，这种情况发生了变化：攻击者有很多个，并且它们都广泛的分布在网络中。

当对受害者发动攻击时，多个攻击者同时行动，扩大了攻击的规模，也对受害者造成了更大的损失。

DDoS攻击出现后，它就变成了黑客手中发动攻击的利器。

因而虽然DDOS攻击出现的历史很短，但它却多次出现在全球知名的网络安全大事件中。

1999年8月，美国明尼苏达大学受到网络攻击，网络严重瘫痪，事后证明这是DDoS攻击的全球首次亮相。

在这次攻击中，超过两百台主机被攻击者控制着不停的给明尼苏达大学大服务器发送攻击包。

次年二月，身份不明的黑客又在几天内连续攻击了多个美国著名的网站。

雅虎、亚马逊和CNN都是受害者，在其服务器瘫痪的十几个小时里，他们直接或间接的经济损失高达十几亿美元。

其实不单单是商业性的网站会受到攻击，互联网赖以运行的核心网络设备也时刻面临着被攻击的风险。

2002年时，攻击者将矛头对准了分布在全球各地的13台DNS根域名服务器。

这次攻击造成了7台DNS根域名服务器瘫痪了将近1个小时，对互联网的正常运行造成了非常大的影响。

近几年来，DDOS攻击的事件非但没有消失，转而变得更加常见。

2009年，伊朗选举网络战，伊朗反对派支持者在选举结果公布后对亲内贾德网站、伊朗总统网站和其他伊朗政府网站组织协调了一系列DDoS攻击。

2010年12月，黑客组织Anonymous对PayPal、万事达、VISA以及美国银行网站等多家金融机构的网站发动DDoS攻击。

由此我们可以知道，要想加强当今因特网的安全性必须高度重视对DDoS 攻击的研究[10]。

但不幸的是，在IPv6逐渐普及的大环境下，DoS和DDoS攻击依然能够借用IPv6网络发起。

目前DOS和DDOS攻击中最常见的攻击方式是SYN Flood攻击。

对SYN Flood型攻击的研究已经持续了一段时间，但是这些研究都是在传统的IPv4网络环境下进行的。

并且这些传统的解决方案只关注保护用户主机的安全，却忽视了安全产品本身的安全，比如在检测攻击时，安全产品本身崩溃。

因此本课题选取拒绝服务攻击中最典型的攻击方式SYN Flood攻击作为研
- 4 -
究对象，探索一种能够有效抵御SYN Flood攻击、提高防火墙自身防御能力的模型。

1.2国内外研究现状
文献[11]指出基于TCP的攻击方式约占DDoS攻击总量的94%多，UDP 攻击和ICMP攻击各占大概2%。

而SYN Flood攻击又是基于TCP的攻击方式最重要的一种，占了约90%，所以对SYN Flood攻击的检测是研究的重点之一。

从2000年以来，大量关于SYN Flood原理及其检测算法与防御方法的文章出现在国内外学术界。

文献[12]中使用非参数化递归(Cumulative Sum，CUSUM)算法监测单位时间内数据流中出现的新的源IP地址数，当新的IP数的异常增大时则判定攻击产生。

由于该方法只是单纯地把单一的IP地址数的增加作为攻击发生的判定条件，而没有考虑网络情况的综合变化，因此存在较大的误报率。

文献[13]提出了使用CUSUM算法检测进入被攻击网络中的SYN和FIN(RST active)包的数量差，依次判断网络是否正在接收异常的TCP连接。

使用此方法会提高一定的在线检测速度，并且大幅提高了对分布式SYN泛洪攻击的检测效果。

但是由于RST passive包的存在，该算法对虚警率的问题一直无法很好的解决。

文献[14]仍使用非参数CUSUM算法，但是它将单位时间内新出现的IP地址数与所有IP地址数的比值抽象为一个随机模型。

当攻击方伪造IP源地址来发动攻击时该方法也可以检测的出来。

但是当在正常情况下突然出现很多点击时，服务器在短时间内也会收到大量不同的新IP地址的数据包，这种情况下该算法就会产生误报。

文献[15]对数据采用变化点检测的方法进行分析，将TCP三次握手中第一次握手的数据包与第二次握手的数据包或者第三次握手的数据包进行匹配，然后使用Bloom Filter数据结构对网络数据进行提取，然后采用异常检测的方法对不对称信息进行检测，从而判定攻击是否产生。

该算法只需消耗少量的的资源就可以达到让人满意的检测效果，但缺点是当网络发生正常的拥塞情况时会被误认为受到了DDoS攻击。

通过研究国内外近几年SYN Flood攻击的研究成果，常用的防御策略主要分为：基于退让和负反馈的防御策略，基于网关侦听的防御策略和基于TCP
- 5 -
协议栈缺陷的防御策略。

(1)基于退让和负反馈的防御策略
该策略主要的原理是通过牺牲一部分服务器的资源或者修改服务器的配置来实现对SYN Flood攻击的防御。

该策略通常采用的方法有减少超时时间、减少SYN+ACK包重传次数、增大半连接队列的长度、负载均衡的策略和退让策略[16]。

减少超时时间主要是指减少重传定时器的时间设置。

TCP三次握手进行到第二步时，当Server端向Client端发送SYN+ACK包之后，会启动重传定时器，如果Server没有收到客户端响应的ACK包会进行重传，直至超时。

因此，缩短超时时间，有助于Server提早断开没有得到响应的连接。

减少SYN+ACK包重传次数主要是指通过限制SYN+ACK包重传的次数，帮助Server提早断开没有得到响应的连接，以便Server尽快回收被占用的资源。

增大半连接队列的长度主要是指增加Server的用于保存没有完成的连接请求的队列的长度。

因为在通常协议栈的实现中，当半连接队列满时，系统会自动丢弃后续到来的连接请求，造成后来的用户请求连接失败的情况。

增加半连接队列的长度有助于Server处理更多的连接。

负载均衡技术是指将用户的请求随机并且均匀的分配到多台服务器上，这样做有助于缓解单台服务器压力过大的情况。

基于这种原理，负载均衡的策略便是指当收到攻击时，通过负载均衡技术将高速的攻击流量转移到集群中的一台服务器上，以期达到牺牲一台服务器而保护其他的服务器。

退让策略主要指升级服务器的硬件配置和加大带宽来进行防御。

但是此种策略效果非常不好，一旦攻击者加大攻击力度，对硬件合宽带所做的升级就完全失效了，因此这是一种性价比非常低的策略。

基于退让和负反馈的防御策略的优点是实现非常简单，并且当攻击流量不大时，其防御效果非常明显。

但是其缺点也是非常显著的：当攻击者控制大量的肉鸡同时发动攻击时，其防御效果将会显著下降。

由此，此种防御策略只适合于作为辅助方法用在防御系统的设计中。

(2)基于网关侦听的防御策略
该种防御策略的主要原理是对发起连接请求的IP地址进行处理，对IP地址进行备案，并向上级服务提供商去查询取证请求IP的合法性，另外还可以维护一个相关IP的地址库，通过查询源IP的合法性判定是否丢弃该请求包来实现其防御功能。

该种策略常见的方法有网络追查、Push-back（回压法）、
- 6 -
SYN Kill[17]和Ingress Filter。

网络追查主要是指当攻击发生后，通过查看入侵检测系统的记录档案，向上级网络运营商进行查询取证寻找攻击源。

此种方法过于依赖外界力量，效果不好，而且当攻击发生时无能为力。

Push-back（回压法）是指在网关处就对数据包的源IP地址进行检查，验证其IP地址的正确性，对伪造IP地址的数据包直接丢弃。

SYN Kill主要是指在Server端使用监听检测的方式，当发现异常情况时，Server端立刻给Client发送一个RST包强制终止掉连接，这样便可以释放点部分资源，减轻SYN Flood攻击的影响。

Ingress Filter是指在网关上设置内部过滤口，当有数据包通过时检查它的源IP地址、目的IP地址、源运输端口号、目的运输端口号、协议号构成的五元组信息，阻止伪造IP源地址的数据包通过。

基于网关侦听的防御策略的优点是对IP地址等进行了备案，能及时的进行查询，并且随着系统运行时间的增长，该IP地址库将变得非常丰富。

而其缺点也很明显：当该IP地址库变得非常庞大的时候其检索效率将大打折扣，影响系统运行效率。

(3)基于TCP协议栈缺陷的防御策略
该种策略中最常用的方法是国外学者Daniel J. Bernstein提出的SYN Cookie[18]方法：Cookie机制利用主要是利用了TCP三次握手协议在设计时即存在的原理缺陷。

该机制改变TCP三次握手过程中第二次握手时资源的分配方式：当服务器收到客户端的连接请求（SYN包）时，虽然正常的返回ACK 信息，但是却不在协议中为其分配数据区，而是根据这个SYN包的信息计算出一个cookie值，这个cookie值类似于该SYN包的指纹。

当服务器再收到客户端发送的ACK包时，服务器将根据上个SYN包的cookie值检查这次收到的ACK包是不是三次握手的第三次。

只有当这两个Cookie的值相同（一定误差范围内，主要是时间戳因素造成的），服务器才会判断这是一个合法的连接。

随后，服务器将会正式的为此次请求分配资源，建立TCP连接，完成“三次握手”过程。

如果两个Cookie值不同，则服务器不会为其分配资源和建立连接。

SYN Cookie技术的创新在于收到客户端的连接建立请求时服务器并没有立即为其分配资源，而是等到确认客户端为正常连接后再为其分配资源。

这样做便避免了在服务器受到SYN Flood攻击时还维护着大量的半开连接，SYN Cookie对解决SYN Flood攻击起到了非常明显的效果，在已经在Linux操作系
- 7 -
统的TCP协议栈中有了具体实现和发展。

SYN Cookie技术的缺点在于服务器为了得到Cookie的值，会额外进行非常多的运算，当服务器收到SYN Flood攻击时计算Cookie值也会占用大量的内存和CPU资源，由此攻击者可以发起专门针对SYN Cookie技术的ACK Flood攻击。

除此之外，文献[19]提出了一种基于自适应阈值状态的模型来防御SYN Flood攻击。

借助阈值对流量进行预处理分析，对设计针对SYN Flood攻击的防御策略也有有很好的借鉴意义。

而在工业界，针对日益严重的DDOS攻击，国内外很多公司也都开发了一系列的DDOS专防产品。

国外代表性的产品主要有TopLayer网络公司推出的AppSwitch3500、Mazu网络公司推出的TrafficMaster和和Captus网络公司推出的的CaptIO G-2等。

AppSwitch3500可以对多种DDOS攻击起到防御效果。

TrafficMaster的SYN队列技术可以自动减轻SYN Flood攻击的效果，并且不会影响正常的网络流量。

CaptIO G-2的用户可以针对不同的网络流量配置不同的规则，从而有效的防御SYN Flood攻击。

国内有代表性的产品是绿盟公司的Collapsar。

Collapsar将会丢弃掉它收到的所有伪造IP地址的数据包；而且Collapsar还通过其独特的指纹识别和反向检测算法来判断数据包是否合法，对于非法的数据包也一律丢弃。

同时，该产品是基于嵌入式系统设计的，并且是在网络协议栈的最底层实现了上述抗攻击的算法，因此它完全避免了网络层和运输层对流量的处理，这样一来整个系统的运算量大大降低，大大的提高了系统的效率。

此外，Collapsar创造性的实现了网络隐身技术，即安全防护系统本身没有IP地址，这样整个安全防护系统在网络上是透明的，攻击者无法攻击它。

1.3本文主要研究内容
从上述章节可以看出，DoS攻击和DDoS攻击危害巨大引起了人们的广泛关注和深入研究。

本文首先研究了本课题的背景和意义，然后对DOS攻击和DDoS攻击的原理做了说明，并对本课题的研究重点SYN Flood攻击做了详细的分析，接着又分析了现存的对DDOS攻击和SYN Flood攻击检测的算法，同时还提出了一种自适应阈值的的适用于IPv4和IPv6两种流量并存环境下的SYN Flood攻
- 8 -
击的检测算法，并对该算法进行了主动测试和被动测试，测试结果表明使用该算法后防火墙可以很好的检测和抵御SYN Flood攻击。

1.4内容安排
本论文的主要章节安排为：
第1章绪论介绍了本课题的研究背景，阐述了双栈网络防火墙检测和防御SYN Flood攻击的意义，并且重点介绍了国内外对DDOS攻击特别是SYN Flood攻击的研究现状，最后简要介绍了本文的主要研究内容和论文组织安排。

第2章详细介绍了DOS攻击和DDoS攻击的原理，对现存的DDOS攻击技术做了分类总结，并对SYN Flood攻击的原理做了详细的论述。

第3章介绍了现阶段检测DDOS的常用方法，并介绍了两种常用的防御SYN Flood攻击的方法：SYN Cookie技术和SYN Proxy技术，然后针对这两种技术存在的缺陷，提出了对应的改进方案。

第4章中提出了两种适用于大流量环境下快速检测SYN Flood攻击的算法：自适应阈值的检测算法和基于滑动窗口熵值的检测算法。

然后根据这两种算法运算量的大小选择了自适应阈值的检测算法作为系统实际使用的检测算法。

另外还提出了一种基于窗口采样的受害者IP判定算法。

由于丢的包越多对上层应用的影响越大，因此在本章的第三节中又提出了一种基于自适应阈值检测算法的快恢复机制。

第5章对双栈网络防火墙中的SYN Flood检测和防御功能进行了主动测试和被动测试。

对测试结果的分析表明，本课题提出的SYN Flood检测和防御和防御方法可以在额外消耗少量内存的情况下大幅提高系统效率。

全文最后对本课题的研究情况进行了总结和展望。

- 9 -
第2章DDoS攻击及其检测算法概述
2.1DDoS攻击概述
拒绝服务攻击，英文全称为Denial of Service Attack。

当该种攻击产生时，会使得被攻击方的网络服务器在短时间内充斥着大量虚假信息，从而消耗掉被攻击方的服务器资源或者是网络带宽，导致被攻击方的系统不堪重负以致瘫痪而停止向正常用户提供服务。

在DoS攻击中，攻击者往往是单一的。

但是随着计算机与网络技术的发展，服务器资源和处理能力得到了飞速发展，网络带宽也变得越来越大，单一的DoS攻击方式已经很难对服务器造成比较大的攻击效果。

正是在这种情况下，黑客们发明了分布式的DoS攻击，即DDoS攻击。

分布式拒绝服务攻击，英文全称为Distributed Denial of Service Attack。

它是从传统的DoS攻击发展而来，但是摆脱了其单一攻击者无法应对如今高带宽和高性能服务器的弊端。

它是一种多个攻击者同时向一个受害者发起攻击的攻击方式。

被攻击者会发现攻击流量来源比较分散但是其攻击力度却比单一的DoS攻击大的多。

随着网络技术的普及和网络带宽的增加，黑客发起DDoS攻击也变得越来越容易了。

在以前，黑客们为了使攻击的效果好而不得不在离攻击目标网络距离非常近的地方发起攻击。

因为这样做会使得攻击流量经过的路由器数目变少，攻击流量被路由器扔掉的概率就变小了。

但是这样做同时也会使得攻击者处于非常危险的境地。

而在现在的主干网络上，流量都以GB记，网络通信的质量和速度都得到了质的提升。

而且现在的黑客控制的肉鸡常常跨越多个城市，甚至有的肉鸡都分布在国外。

当黑客们发动DDOS攻击时，其攻击流量的来源可以非常分散。

这些新的变化都给网络安全带来了极大的威胁。

图2-1是DDoS攻击的网络拓扑图。

- 10 -。