兽性总裁的爱奴,官场小说排行榜

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

DDoS攻擊揮之不去的夢(mèng)魘

DDoS攻擊是現(xiàn)在網(wǎng)絡(luò)上非常流行的一類攻擊手段。前段時(shí)間，分布式拒絕服務(wù)破壞了包括維基解密和萬(wàn)事達(dá)卡在內(nèi)的不少網(wǎng)站。只要利用搜索引擎搜索一下，我們就可以了解到相關(guān)情況。

目前創(chuàng)新互聯(lián)建站已為千余家的企業(yè)提供了網(wǎng)站建設(shè)、域名、網(wǎng)站空間、網(wǎng)站托管、服務(wù)器租用、企業(yè)網(wǎng)站設(shè)計(jì)、津南網(wǎng)站維護(hù)等服務(wù)，公司將堅(jiān)持客戶導(dǎo)向、應(yīng)用為本的策略，正道將秉承"和諧、參與、激情"的文化，與客戶和合作伙伴齊心協(xié)力一起成長(zhǎng)，共同發(fā)展。

維基解密服務(wù)器受到的攻擊強(qiáng)度是在萬(wàn)兆每秒(Gbps)左右。通常情況下，人們對(duì)DDOS的認(rèn)識(shí)是知道它可以利用無(wú)用流量占據(jù)網(wǎng)絡(luò)中的所有帶寬，導(dǎo)致出現(xiàn)數(shù)據(jù)擁塞，從而無(wú)法進(jìn)行正常工作的情況。當(dāng)然，這確實(shí)屬于DDoS攻擊中的一類，不過(guò)，這一概念里實(shí)際上也包含了可以通過(guò)攻擊占據(jù)服務(wù)器資源的其它類型。這就意味著，由于針對(duì)的是服務(wù)器資源，所以，不管網(wǎng)絡(luò)帶寬有多大，DDoS攻擊也是有可能獲得成功的。為了真正確保網(wǎng)絡(luò)不受到類似攻擊，互聯(lián)網(wǎng)連接和服務(wù)器都需要進(jìn)行防護(hù)。

通常情況下，DDoS攻擊針對(duì)的是網(wǎng)絡(luò)中的TCP/IP基礎(chǔ)設(shè)施。這些攻擊可以分為三種類型：一種是利用TCP/IP協(xié)議棧中存在的已知缺陷;一種是針對(duì)TCP/ IP的漏洞;最后一種就是嘗試并進(jìn)行真正的暴力攻擊。

實(shí)際上，現(xiàn)在攻擊者甚至不需要利用任何黑客的支持就可以發(fā)動(dòng)拒絕服務(wù)攻擊。根據(jù)調(diào)查顯示，只要8.94美元每小時(shí)的價(jià)格，就可以從犯罪分子那里租用一張僵尸網(wǎng)絡(luò)。

利用傻瓜軟件就可以發(fā)動(dòng)DDoS攻擊的話，為什么還要付費(fèi)呢?來(lái)自系統(tǒng)管理、網(wǎng)絡(luò)和安全協(xié)會(huì)互聯(lián)網(wǎng)風(fēng)暴中心的消息顯示，在這波針對(duì)商業(yè)公司發(fā)起的DDoS攻擊浪潮中，人們開(kāi)始使用低軌道離子加農(nóng)炮(Low Orbit Ion Cannon，以下簡(jiǎn)稱LOIC)，一種開(kāi)源的DoS攻擊工具來(lái)對(duì)卡或者維薩卡網(wǎng)站的端口進(jìn)行攻擊。使用者要做的事情僅僅就是用鼠標(biāo)點(diǎn)擊一下，攻擊就正式開(kāi)始了。

LOIC是一個(gè)功能非常強(qiáng)大的工具。它可以使用大規(guī)模的垃圾流量對(duì)目標(biāo)網(wǎng)站實(shí)施攻擊，從而耗盡網(wǎng)絡(luò)資源，導(dǎo)致網(wǎng)絡(luò)崩潰，無(wú)法提供服務(wù)。關(guān)于這起攻擊，唯一“有趣”的事情是，推特被用來(lái)對(duì)攻擊過(guò)程進(jìn)行協(xié)調(diào)。

如果希望了解DDoS攻擊是如何進(jìn)行攻擊的話，下面就是我對(duì)DDoS攻擊技術(shù)的全面介紹。

DDoS攻擊技術(shù)的詳盡分析

TCP/IP協(xié)議棧實(shí)現(xiàn)中存在的漏洞

對(duì)于利用TCP/IP協(xié)議中存在漏洞進(jìn)行攻擊的模式來(lái)說(shuō)，典型的例子就是死亡之Ping攻擊。利用這一漏洞，攻擊者可以創(chuàng)建一個(gè)超過(guò)IP標(biāo)準(zhǔn)最大限制65536字節(jié)的IP數(shù)據(jù)包。當(dāng)該巨型數(shù)據(jù)包進(jìn)入使用存在漏洞的TCP/ IP協(xié)議棧和操作系統(tǒng)的系統(tǒng)時(shí)，就會(huì)導(dǎo)致崩潰。

所有的最新操作系統(tǒng)和協(xié)議棧都可以防范采用死亡之Ping模式的攻擊，但是，時(shí)不時(shí)的，我就會(huì)發(fā)現(xiàn)有人還在運(yùn)行無(wú)法防范死亡之Ping攻擊的系統(tǒng)。這種情況告訴我們，大家都應(yīng)該及時(shí)對(duì)網(wǎng)絡(luò)設(shè)備和軟件進(jìn)行更新。僅僅因?yàn)樗廊豢梢赃\(yùn)行，并不等于這樣的情況是安全的。

對(duì)TCP/IP運(yùn)行中的漏洞進(jìn)行攻擊的另一種方式是撕毀模式，它利用的是系統(tǒng)對(duì)IP數(shù)據(jù)包分片進(jìn)行重新組合時(shí)間存在的漏洞。由于網(wǎng)絡(luò)是四通八達(dá)的，所以，IP數(shù)據(jù)包可能被分解成更小的分片。所有這些部分都包含了來(lái)自原始IP數(shù)據(jù)包的報(bào)頭，以及一個(gè)偏移字段來(lái)標(biāo)識(shí)里面包含哪些字節(jié)來(lái)自原始數(shù)據(jù)包。有了這些信息，在出現(xiàn)網(wǎng)絡(luò)中斷的情況下，被破壞的普通數(shù)據(jù)包就可以在目的地重新組合起來(lái)。而在撕毀攻擊中，服務(wù)器將遭到來(lái)自包含了含有重疊偏移的偽造分片數(shù)據(jù)包的攻擊。如果服務(wù)器或者路由器不能忽略這些分片，并嘗試對(duì)他們進(jìn)行重新組合的話，就會(huì)導(dǎo)致系統(tǒng)崩潰的情況很快出現(xiàn)。但如果系統(tǒng)及時(shí)進(jìn)行了更新，或者擁有可以防范撕毀攻擊的防火墻的話，就不用擔(dān)心這類問(wèn)題了。#p#

TCP/IP協(xié)議中的漏洞

另一種古老而有效的DDoS攻擊模式是同步攻擊。同步的工作是用來(lái)在兩個(gè)互聯(lián)網(wǎng)應(yīng)用之通過(guò)協(xié)議建立握手。它的實(shí)現(xiàn)方法是通過(guò)一個(gè)應(yīng)用程序發(fā)送一個(gè)TCP SYN(同步)數(shù)據(jù)包到另一個(gè)程序來(lái)啟動(dòng)會(huì)話過(guò)程。對(duì)應(yīng)的應(yīng)用程序?qū)⒎祷匾粋€(gè)TCP SYN-ACK(同步確認(rèn))包;原始程序接下來(lái)就利用個(gè)ACK(確認(rèn))響應(yīng)。一旦程序間建立了會(huì)話過(guò)程，就可以實(shí)現(xiàn)協(xié)同工作了。

同步攻擊的方式是發(fā)送大量TCP SYN數(shù)據(jù)包。每個(gè)SYN數(shù)據(jù)包都會(huì)迫使目標(biāo)服務(wù)器產(chǎn)生一個(gè)SYN-ACK響應(yīng)，并等待合適的應(yīng)答。這樣很快就導(dǎo)致在SYN-ACK的背后都積壓一堆其他注冊(cè)的隊(duì)列。當(dāng)積壓隊(duì)列爆滿，系統(tǒng)就將停止確認(rèn)收到SYN請(qǐng)求。

如果同步攻擊發(fā)送的同步數(shù)據(jù)包中包含了錯(cuò)誤的網(wǎng)絡(luò)源IP地址的話，攻擊的效果就會(huì)更好。在這種情況下，由于SYN-ACK發(fā)送出去后，ACK不再返回。通常情況下，迅速滿溢的積壓隊(duì)列就會(huì)將合法程序發(fā)送的SYN請(qǐng)求結(jié)束。

內(nèi)地攻擊就是采用欺騙同步數(shù)據(jù)包模式攻擊的新變種，它可以將網(wǎng)絡(luò)地址偽裝成為來(lái)自網(wǎng)絡(luò)內(nèi)部的情況?，F(xiàn)在，同步攻擊針對(duì)的似乎主要是防火墻，給管理者制造麻煩。

同樣，大部分最新的操作系統(tǒng)和防火墻都可以防御同步攻擊。這里有一種簡(jiǎn)單的方法，可以對(duì)防火墻進(jìn)行設(shè)置，以防止所有包含已知錯(cuò)誤源網(wǎng)絡(luò)IP地址的傳入數(shù)據(jù)包。該列表中包含了下列僅在內(nèi)部使用的保留網(wǎng)絡(luò)IP地址：10.0.0.0到10.255.255.255，127.0.0.0到127.255.255.255，172.16.0.0到172.31.255.255以及192.168.0.0到192.168.255.255。

但是，如果可以方便地直接摧毀系統(tǒng)，還為什么要擔(dān)心偷偷摸摸躲在窗后的敵人呢?地址欺騙攻擊以及利用用戶數(shù)據(jù)報(bào)協(xié)議(UDP)過(guò)度使用的洪水攻擊就屬于這樣的情況。

在地址欺騙攻擊中，攻擊者會(huì)向路由器發(fā)送過(guò)量的網(wǎng)際消息控制協(xié)議(ICMP) 回送請(qǐng)求數(shù)據(jù)包，這是一種特殊的ping包。每個(gè)數(shù)據(jù)包的目的網(wǎng)絡(luò)IP地址也是網(wǎng)絡(luò)中的廣播地址，這會(huì)導(dǎo)致路由器將ICMP數(shù)據(jù)包廣播給網(wǎng)絡(luò)中的所有主機(jī)。不用說(shuō)，在一張大型網(wǎng)絡(luò)中，這將迅速導(dǎo)致出現(xiàn)大量數(shù)據(jù)傳輸堵塞的情況。此外，類似內(nèi)地攻擊，如果黑客將兩種模式結(jié)合到一起的話，事情就會(huì)變得更糟。

防范地址欺騙攻擊的最簡(jiǎn)單方法就是關(guān)閉路由器或者交換機(jī)的地址廣播功能，或者在防火墻中進(jìn)行設(shè)置拒絕ICMP回送請(qǐng)求數(shù)據(jù)包。管理員還可以對(duì)服務(wù)器進(jìn)行設(shè)置，這樣的話，在遇到發(fā)送給廣播網(wǎng)絡(luò)IP地址的ICMP數(shù)據(jù)包時(shí)，就不會(huì)進(jìn)行響應(yīng)。由于很少有應(yīng)用需要網(wǎng)絡(luò)IP地址廣播功能，所以這些調(diào)整不會(huì)對(duì)網(wǎng)絡(luò)的正常運(yùn)行帶來(lái)影響。

對(duì)于采用UDP洪水模式的DDoS攻擊來(lái)說(shuō)，就不是那么容易處理了。原因很簡(jiǎn)單，類似域名系統(tǒng)(DNS)和簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)，很多應(yīng)用都需要UDP協(xié)議的支持。在UDP洪水攻擊中，攻擊者通過(guò)欺騙手段連接到系統(tǒng)的UDP 字符發(fā)生器服務(wù)上，在接受到數(shù)據(jù)包后，字符發(fā)生器將會(huì)針對(duì)另一臺(tái)系統(tǒng)發(fā)送回送服務(wù)包。結(jié)果就是，系統(tǒng)之間來(lái)自字符發(fā)生器的半隨機(jī)字符泛濫，導(dǎo)致帶寬迅速被充滿，常規(guī)應(yīng)用的使用受到了影響。

防范UDP攻擊的一種方法是禁用或者過(guò)濾所有針對(duì)主機(jī)的UDP服務(wù)請(qǐng)求。只要容許被服務(wù)型的UDP請(qǐng)求，需要使用UDP或作為備份數(shù)據(jù)傳輸協(xié)議的普通應(yīng)用，將可以繼續(xù)正常工作。#p#

暴力攻擊

看起來(lái)，有這些多種方法都可以用來(lái)阻止DDoS攻擊，因此，有人可能會(huì)認(rèn)為這不會(huì)比垃圾郵件更難處理。但可惜的是，這種想法是完全錯(cuò)誤的。在任何心存不滿的人都可以糾集從數(shù)百到數(shù)萬(wàn)臺(tái)計(jì)算機(jī)對(duì)網(wǎng)站進(jìn)行DDoS攻擊的時(shí)間，防范工作將會(huì)是非常困難的。他們所要做的工作僅僅是從網(wǎng)絡(luò)上對(duì)可能存在的信息進(jìn)行了解，就可以迅速進(jìn)行所需要的攻擊。

類似Conficker的惡意軟件將數(shù)以十萬(wàn)計(jì)的Windows系統(tǒng)變成了潛在攻擊者可以使用的武器。由此導(dǎo)致的直接攻擊浪潮不會(huì)被寥寥無(wú)幾的防御措施所阻擋。防御者所能依靠的只有服務(wù)器，這也是為什么維基解密試圖選擇亞馬遜網(wǎng)絡(luò)服務(wù)或者大量增加網(wǎng)絡(luò)托管主機(jī)的資源才能防止洪水攻擊的原因。

我擔(dān)心，并且確信，在未來(lái)會(huì)看到更多這種類型的DDoS攻擊。隨著互聯(lián)網(wǎng)范圍的進(jìn)一步擴(kuò)大，越來(lái)越多的使用者通過(guò)寬帶接入，為攻擊者提供了更多未受保護(hù)的Windows系統(tǒng)來(lái)進(jìn)行控制。更糟的是，在類似低軌道離子加農(nóng)炮之類工具的幫助下，只要獲得一些志同道合朋友的幫助，任何中型網(wǎng)站都可以被摧毀。

請(qǐng)不要忘記，使用這些工具的話，可能會(huì)被跟蹤，并可能會(huì)面臨刑事指控。最近，一名大學(xué)生就因?yàn)槔肈DoS攻擊工具攻擊保守派的網(wǎng)站被判入獄30個(gè)月。

不過(guò)，即使這樣的威脅籠罩在攻擊者的頭上，我也沒(méi)有看到絲毫停止的跡象。

DDoS攻擊能否防御

近日進(jìn)行的一次郵件采訪中，賽門鐵克新加坡的經(jīng)理 Ronnie Ng解釋說(shuō)， LOIC 是一種網(wǎng)絡(luò)壓力測(cè)試程序，通過(guò)對(duì)特定網(wǎng)站服務(wù)器發(fā)送TCP, UDP 和 HTTP請(qǐng)求進(jìn)行DOS攻擊，測(cè)試網(wǎng)站負(fù)載能力。

大家都知道，如今網(wǎng)絡(luò)上能下載到各種攻擊程序，包括LOIC。Ng說(shuō)：“能發(fā)起這類攻擊的程序非常多，其中有些是合法軟件，通過(guò)簡(jiǎn)單的搜索就能找到這些程序，但還是要看使用者是否將其用在合法用途上。另外還有很多非法的攻擊程序，它們被設(shè)計(jì)出來(lái)的目的就是進(jìn)行非法活動(dòng)，通過(guò)僵尸網(wǎng)絡(luò)等方式，這種程序能夠?qū)崿F(xiàn)相當(dāng)高的攻擊效率?！?/p>

DDoS攻擊并不是什么新形式，而我們常常聽(tīng)到的是，網(wǎng)絡(luò)罪犯的攻擊手段不會(huì)總比網(wǎng)絡(luò)防護(hù)手段更先進(jìn)。

Ng說(shuō)：“攻擊者們總是在不斷嘗試用各種方法來(lái)獲取他們所需的信息。這些方法從DoS攻擊到利用各種系統(tǒng)漏洞，目的就是入侵目標(biāo)系統(tǒng)?！?他認(rèn)為，隨著防護(hù)技術(shù)的不斷進(jìn)步，技術(shù)所能提供的最大防護(hù)程度也在增加，同時(shí)良好的補(bǔ)丁管理機(jī)制以及使用者對(duì)網(wǎng)絡(luò)威脅的重視程度不斷增加，都能很有效的提高系統(tǒng)安全等級(jí)。

但是Ng也表示，雖然能夠通過(guò)支付費(fèi)用提高系統(tǒng)的安全等級(jí)，但是確保系統(tǒng)不受到DDoS攻擊是非常難的。他說(shuō)：“網(wǎng)店需要審核網(wǎng)關(guān)和防火墻規(guī)則，確保這些設(shè)備能夠處理每日都會(huì)出現(xiàn)的小規(guī)模的攻擊，另外還應(yīng)該有一套應(yīng)急方案，應(yīng)對(duì)大規(guī)模的攻擊。類似的策略可以是更嚴(yán)格的包過(guò)濾規(guī)則，判斷何時(shí)以及什么樣的數(shù)據(jù)包該被丟棄，以及針對(duì)IP地址的規(guī)則，當(dāng)出現(xiàn)明顯攻擊時(shí)將特定的IP地址列入黑名單?！?p#

應(yīng)用防火墻能否擊敗DDoS攻擊?

網(wǎng)絡(luò)安全專家表示，隨著網(wǎng)絡(luò)攻擊方式越來(lái)越狡詐，以網(wǎng)絡(luò)應(yīng)用為主營(yíng)業(yè)務(wù)的企業(yè)應(yīng)該尋求更好的防火墻對(duì)自身進(jìn)行防護(hù)，尤其是針對(duì)分布式拒絕服務(wù)攻擊(DDOS)。

F5 Networks 科技公司總經(jīng)理Vladimir Yordanov表示，超過(guò)80%的網(wǎng)絡(luò)攻擊是針對(duì)網(wǎng)絡(luò)應(yīng)用程序的，而傳統(tǒng)的防護(hù)措施，諸如服務(wù)器周邊的防火墻設(shè)備所能起到的防護(hù)作用很小。這就是為什么DDOS類的攻擊總能成功擊潰網(wǎng)站或支付系統(tǒng)的原因。

最近在接受采訪時(shí)，Yordanov解釋說(shuō)：“由于DDoS攻擊所采用的訪問(wèn)請(qǐng)求很難與正常訪問(wèn)請(qǐng)求區(qū)別開(kāi)，因此傳統(tǒng)的防御系統(tǒng)，比如入侵預(yù)防系統(tǒng)或入侵檢測(cè)系統(tǒng)很難阻擋住DDOS的攻擊。”

一般來(lái)說(shuō)，在應(yīng)用防火墻允許請(qǐng)求進(jìn)入系統(tǒng)前，會(huì)通過(guò)發(fā)送并響應(yīng)cookie來(lái)判斷該用戶是否真實(shí)，以及該訪問(wèn)請(qǐng)求是否有效。而在最近很多DDoS攻擊實(shí)例中，比如針對(duì)Paypal，MasterCard以及Visa網(wǎng)站所進(jìn)行的攻擊，都是通過(guò)僵尸網(wǎng)絡(luò)中的肉雞電腦發(fā)送的，而這些電腦并不能響應(yīng)應(yīng)用防火墻發(fā)送的查詢請(qǐng)求。

據(jù)報(bào)道，這一系列網(wǎng)絡(luò)攻擊被稱作“Operation Payback”，其目的是聲援被羈押的維基解密創(chuàng)始人Julian Assange。而維基解密網(wǎng)站也由于美國(guó)和歐洲ISP，網(wǎng)絡(luò)托管商以及支付供應(yīng)商的退出而關(guān)閉。

作為對(duì)Wikileaks和Assange所受遭遇的報(bào)復(fù)，支持者們動(dòng)用了超過(guò)3000臺(tái)志愿電腦以及超過(guò)3萬(wàn)臺(tái)肉雞電腦對(duì)PayPal, MasterCard和Visa網(wǎng)站發(fā)動(dòng)了DDoS攻擊。

沒(méi)有傻瓜式的解決方案

Yordanov指出，除了建立應(yīng)用防火墻，企業(yè)能考慮的其它類型的防護(hù)手段包括利用ISP過(guò)濾非法網(wǎng)絡(luò)請(qǐng)求后提供給企業(yè)接入的“清潔管道”以及采用更高級(jí)別的安全協(xié)議等。另外，企業(yè)還可以對(duì)網(wǎng)絡(luò)協(xié)議進(jìn)行修改，確保所有需要連接到服務(wù)器的請(qǐng)求都是預(yù)先核準(zhǔn)的。

但是，隨著技術(shù)的不斷進(jìn)步，黑客和網(wǎng)絡(luò)罪犯?jìng)円苍趪L試各種方法來(lái)破壞系統(tǒng)，移動(dòng)設(shè)備接入量的不斷增加，加劇了安全人員進(jìn)行系統(tǒng)防護(hù)的難度。 Yordanov認(rèn)為，員工的分散程度越大，企業(yè)網(wǎng)絡(luò)收到攻擊的風(fēng)險(xiǎn)也就越大，因?yàn)楹芏嗑W(wǎng)絡(luò)罪犯正是利用了這種分散辦公模式中存在的安全漏洞。

Yordanov表示，沒(méi)有什么傻瓜式的解決方案能夠百分百的安全，而能夠想到的傻瓜式解決方案就只有關(guān)閉系統(tǒng)電源了。

他說(shuō)：“與其看著系統(tǒng)被攻擊，更好的辦法就是徹底關(guān)閉系統(tǒng)。在以前，如果網(wǎng)管能夠追蹤IP地址，找出DDoS攻擊的發(fā)源地，他們就可以將發(fā)源地的IP地址段列入黑名單，但這僅限于靜態(tài)IP地址。而現(xiàn)在，越來(lái)越多的攻擊采用變化頻繁的地址，使得這種黑名單的方式也失效了?！?/p>

而Yordanov也提到了另一種不必關(guān)閉系統(tǒng)的方法，就是派人不斷地監(jiān)控網(wǎng)絡(luò)流量，但是這需要大量的網(wǎng)絡(luò)技術(shù)人員，并不適合中小企業(yè)。#p#

嘗試阻止DDoS攻擊

度過(guò)了一個(gè)歡樂(lè)的春節(jié)假期，回來(lái)后發(fā)現(xiàn)網(wǎng)站掛了。估計(jì)這是所有系統(tǒng)管理員最不想看到的一幕。我在文章標(biāo)題里很謹(jǐn)慎的用了“嘗試”這個(gè)詞，因?yàn)閷?shí)際上，正如上面所說(shuō)，目前還沒(méi)有什么有效的方法能夠真正預(yù)防或阻止大規(guī)模的DDoS攻擊。不過(guò)還是有一些方法可以幫助我們應(yīng)對(duì)DDoS攻擊的。

注意，確實(shí)有一種方法可以終結(jié)大多數(shù)DDoS攻擊。這需要所有基于Windows的僵尸網(wǎng)絡(luò)都與根系統(tǒng)脫離。遺憾的是，這是不可能發(fā)生的。

Windows在設(shè)計(jì)時(shí)就被認(rèn)為是不安全的系統(tǒng)，而目前世界上有數(shù)億人在使用這一系列平臺(tái)系統(tǒng)，其中很多人甚至連殺毒軟件都不知道裝一個(gè)。全球有數(shù)百萬(wàn)臺(tái)安裝有windows系統(tǒng)的電腦目前處于不同的僵尸網(wǎng)絡(luò)控制下，甚至你的電腦也在其列。由于大部分人還不愿意拋棄windows系統(tǒng)，尤其是最近一兩年，因此在僵尸網(wǎng)絡(luò)驅(qū)動(dòng)下的DDoS攻擊仍然將會(huì)持續(xù)下去，并且我認(rèn)為DDoS攻擊將會(huì)越來(lái)越普遍。

不過(guò)，有些類型的 DDoS攻擊已經(jīng)越來(lái)越少見(jiàn)了。美國(guó)國(guó)土安全部網(wǎng)絡(luò)和架構(gòu)安全項(xiàng)目主管Sean Donelan 在North American Network Operators Group (NANOG，一個(gè)致力于建立骨干網(wǎng)和企業(yè)網(wǎng)絡(luò)的組織)上的一封郵件里表示，“隨著大部分路由器操作系統(tǒng)的升級(jí)，由SMURF發(fā)起的DDoS攻擊看似已經(jīng)有所緩解了。而隨著SYN Cookies或類似操作系統(tǒng)的改變，使得由TCP SYN發(fā)起的DDoS攻擊也看似得到了緩解?！?/p>

一句話，如果你將網(wǎng)關(guān)服務(wù)器，交換機(jī)，防火墻和其他網(wǎng)絡(luò)設(shè)備都更新到了最新的操作系統(tǒng)版本，那么就可以抵御這些利用TCP/IP 和 TCP/IP 堆棧的弱點(diǎn)所發(fā)動(dòng)的DDoS攻擊。我相信大部分網(wǎng)管應(yīng)該都已經(jīng)這樣做了，如果你還沒(méi)有及時(shí)更新設(shè)備OS，那么立即去做。

當(dāng)然，如果有人蓄意要攻擊你的網(wǎng)站，那你所能做的防御措施也不多。德國(guó)網(wǎng)絡(luò)安全公司Probe Networks的創(chuàng)始人Jonas Frey認(rèn)為，面對(duì)DDoS攻擊，網(wǎng)站的應(yīng)對(duì)策略只有加大帶寬。Frey解釋說(shuō)：“就算你的網(wǎng)站采用了 802.3ba with 40/100 Gbps (每秒GB級(jí)的吞吐量)，仍然不夠用。因?yàn)槿缃竦南M(fèi)者所使用的終端帶寬也比以往增加了，而通過(guò)惡意軟件也可以輕松的建立一個(gè)有一定規(guī)模的僵尸網(wǎng)絡(luò)。就算用戶的平均帶寬不超過(guò)2Mbps(每秒吞吐量)的上傳帶寬，那么整個(gè)僵尸網(wǎng)絡(luò)中所有終端所發(fā)送來(lái)的數(shù)據(jù)流量也是驚人的?！比绻衱indows系統(tǒng)都正確安裝了補(bǔ)丁和殺毒軟件，可能這種攻擊會(huì)少一些，但是正如Frey所說(shuō)的：“系統(tǒng)能打補(bǔ)丁，愚蠢的頭腦不行?！?/p>

所以說(shuō)，要為你的Web服務(wù)器留出盡量多的帶寬。如果你使用的是Web服務(wù)器托管服務(wù)，那么就要檢查一下托管商接入骨干網(wǎng)的數(shù)量和帶寬。如果只有連接到一個(gè)或者兩個(gè)骨干網(wǎng)，或者每個(gè)連接所提供的帶寬太小，那么最好換別家試試看。在面對(duì)DDoS攻擊時(shí)，最有效的抵抗方法就是增加帶寬。

選播及負(fù)載分享

如果你的公司將網(wǎng)站存放在多個(gè)服務(wù)器上，那么可以通過(guò)使用選播和多播源發(fā)現(xiàn)協(xié)議(MSDP)幫助你抵御DDoS攻擊。

選播是一種聯(lián)網(wǎng)技術(shù)，互聯(lián)網(wǎng)上不同的位置可以擁有相同的IP前綴。用大家能理解的話來(lái)說(shuō)，就是采用相同域名的不同服務(wù)器共享相同的IP地址。

當(dāng)網(wǎng)站采用選播方式并被正確配置后，發(fā)生DDoS攻擊時(shí)會(huì)出現(xiàn)這樣的情況：網(wǎng)絡(luò)收到頁(yè)面請(qǐng)求，交換機(jī)檢查距離最近的服務(wù)器是否正常工作，如果服務(wù)器由于DDoS攻擊而沒(méi)有正常工作，選播機(jī)制將自動(dòng)將頁(yè)面請(qǐng)求轉(zhuǎn)發(fā)給下一個(gè)服務(wù)器。因此，如果你的服務(wù)器位于紐約，舊金山和倫敦，而DDoS攻擊是來(lái)自美國(guó)東海岸的一個(gè)僵尸網(wǎng)絡(luò)，那么DDoS攻擊所帶來(lái)的數(shù)據(jù)負(fù)載，將被自動(dòng)分配給這幾個(gè)服務(wù)器。

選播，或者其他負(fù)載分享技術(shù)并不能提供完美的防護(hù)能力。因?yàn)橐淮巫銐虼笠?guī)模的DDoS攻擊可以將參與負(fù)載分享的所有服務(wù)器搞垮，就好像多米諾骨牌一樣。這可不是件好事。

很多公司，比如 Arbor Networks, BlockDOS, 和 ServerOrigin，都提供DDOS防護(hù)服務(wù)，但是他們也不能提供完美的服務(wù)承諾。

而這些 DDOS 防護(hù)公司，比如剛才提到的BlockDOS和ServerOrigin，就是提供分布式服務(wù)器，利用選播技術(shù)為企業(yè)網(wǎng)絡(luò)服務(wù)器提供攻擊轉(zhuǎn)移服務(wù)。如果你的網(wǎng)站沒(méi)有優(yōu)秀的管理員或沒(méi)有足夠好的服務(wù)器托管商幫你進(jìn)行負(fù)載共享，你就需要這兩家公司的服務(wù)了。 Arbor則是提供實(shí)時(shí)的網(wǎng)絡(luò)分析服務(wù)器，這樣你就能及時(shí)看到DDoS攻擊波的到來(lái)，并在該公司的幫助下實(shí)施相應(yīng)的防御。

在目前這種網(wǎng)絡(luò)環(huán)境下，我們?cè)俦M力也只能這樣了。正如Arbor Networks公司首席解決方案專家Roland Dobbins 所說(shuō)的：“DDoS攻擊只是表象，真正的問(wèn)題根源是僵尸網(wǎng)絡(luò)?！倍┦W(wǎng)絡(luò)的問(wèn)題，不是一時(shí)半會(huì)兒就能徹底解決的。

網(wǎng)頁(yè)題目：DDoS攻擊揮之不去的夢(mèng)魘
本文網(wǎng)址：http://fisionsoft.com.cn/article/djeooee.html

新聞中心

其他資訊