隨著網(wǎng)絡(luò)帶寬的增加和多種DDoS黑客工具的發(fā)布，各種DDoS攻擊軟件都可以很輕松地從互聯(lián)網(wǎng)上獲得。于是，DDoS拒絕服務(wù)攻擊的實(shí)施越來越容易，DDoS攻擊事件的上升趨勢(shì)給飛速發(fā)展的互聯(lián)網(wǎng)帶來了重大的安全威脅。商業(yè)競(jìng)爭(zhēng)、打擊報(bào)復(fù)、網(wǎng)絡(luò)敲詐……多種原因?qū)е潞芏郔DC托管機(jī)房、商業(yè)站點(diǎn)、游戲服務(wù)器、聊天網(wǎng)絡(luò)等網(wǎng)絡(luò)服務(wù)商長(zhǎng)期以來被DDoS攻擊所困擾，隨之而來的則是客戶投訴、同虛擬主機(jī)用戶受牽連、法律糾紛、商業(yè)損失等一系列問題。然而，從某種程度上看，DDoS攻擊永遠(yuǎn)不會(huì)消失，而以當(dāng)前的技術(shù)手段又無法從根本上解決問題，那么面對(duì)兇多吉少的DDoS險(xiǎn)灘，我們?cè)撊绾螒?yīng)對(duì)呢？ 認(rèn)識(shí)DDoS （1）趨利色彩濃重 和其他黑客攻擊一樣，早些年的DDoS攻擊是黑客出于練手、惡作劇或技術(shù)炫耀的目的來提高自己或黑客團(tuán)體在圈內(nèi)知名度的。而后，也有DDoS攻擊是出于政治原因，如2001年中美撞機(jī)事件引發(fā)的中美黑客大戰(zhàn)——在戰(zhàn)爭(zhēng)條件下，交戰(zhàn)雙方如果采取信息戰(zhàn)的方式，拒絕服務(wù)攻擊就是最常用的戰(zhàn)術(shù)手段之一。如今，更多的DDoS攻擊則是經(jīng)濟(jì)利益驅(qū)動(dòng)，競(jìng)爭(zhēng)對(duì)手為了降低對(duì)方的服務(wù)質(zhì)量，雇傭黑客團(tuán)體對(duì)對(duì)方的網(wǎng)上服務(wù)進(jìn)行拒絕服務(wù)攻擊，使顧客轉(zhuǎn)向自己。此外，由于拒絕服務(wù)攻擊會(huì)導(dǎo)致較大的損失，一些攻擊者以此作為敲詐勒索的手段，收取保護(hù)費(fèi)等?？傮w上看，網(wǎng)絡(luò)安全事件在保持整體數(shù)量顯著上升的同時(shí),也呈現(xiàn)出技術(shù)復(fù)雜化、動(dòng)機(jī)趨利化、政治化的特點(diǎn)。 （2）Botnet成就大規(guī)模攻擊 DDoS攻擊一般通過Internet上那些“僵尸”系統(tǒng)完成。由于大量個(gè)人電腦聯(lián)入Internet且防護(hù)措施非常少，所以極易被黑客利用。通過植入某些代碼，大量個(gè)人電腦就成為DDoS攻擊者的武器。當(dāng)黑客發(fā)動(dòng)大規(guī)模的DDoS時(shí)，只需要同時(shí)向這些僵尸機(jī)發(fā)送某些命令，就可以由這些“僵尸”機(jī)器完成攻擊。隨著Botnet的發(fā)展，DDoS造成的攻擊流量的規(guī)?？梢苑浅ｓ@人，會(huì)給應(yīng)用系統(tǒng)或是網(wǎng)絡(luò)本身帶來非常大的負(fù)載消耗。常見的DDOS攻擊手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等。 通常，網(wǎng)絡(luò)數(shù)據(jù)包利用TCP/IP協(xié)議在Internet傳輸，這些數(shù)據(jù)包本身是無害的，但是如果數(shù)據(jù)包異常過多，就會(huì)造成網(wǎng)絡(luò)設(shè)備或者服務(wù)器過載；或者數(shù)據(jù)包利用了某些協(xié)議的缺陷，人為的不完整或畸形，就會(huì)造成網(wǎng)絡(luò)設(shè)備或服務(wù)器服務(wù)正常處理，迅速消耗了系統(tǒng)資源，造成服務(wù)拒絕，這就是DDoS攻擊的工作原理。DDoS攻擊之所以難于防護(hù)，其關(guān)鍵之處就在于非法流量和合法流量相互混雜，防護(hù)過程中無法有效的檢測(cè)到DDoS攻擊，比如利用基于特征庫模式匹配的IDS系統(tǒng)，就很難從合法包中區(qū)分出非法包。加之許多DDoS攻擊都采用了偽造源地址IP的技術(shù)，從而成功的躲避了基于異常模式監(jiān)控的工具的識(shí)別。 （3）明確的攻擊目標(biāo) DDoS的攻擊通過消耗服務(wù)器端資源、迫使服務(wù)停止響應(yīng)，阻止合法用戶對(duì)正常網(wǎng)絡(luò)資源的訪問，從而達(dá)成攻擊者不可告人的目的。由于一些網(wǎng)絡(luò)通訊協(xié)議本身固有的缺陷，拒絕服務(wù)攻擊通常能夠以較小的資源耗費(fèi)代價(jià)導(dǎo)致目標(biāo)主機(jī)很大的資源開銷，因此往往可以通過一臺(tái)或有限幾臺(tái)主機(jī)給被攻擊方造成很大的破壞。特別是DDoS攻擊通過控制多臺(tái)傀儡主機(jī)策劃進(jìn)攻，更加強(qiáng)了攻擊的破壞性，甚至可以造成一些包括防火墻、路由器在內(nèi)的網(wǎng)絡(luò)設(shè)備的癱瘓。分布式拒絕服務(wù)攻擊一旦被實(shí)施，攻擊網(wǎng)絡(luò)包就會(huì)猶如洪水般涌向受害主機(jī)，從而把合法用戶的網(wǎng)絡(luò)包淹沒，導(dǎo)致用戶無妨正常的訪問網(wǎng)絡(luò)資源。DDoS帶來的危害是巨大的，很多門戶網(wǎng)站遭DDoS的攻擊后，網(wǎng)頁無法顯示，網(wǎng)站全面癱瘓，造成巨大的損失。對(duì)于提供帶寬服務(wù)的電信運(yùn)營商，大型的DDoS攻擊不僅僅影響其個(gè)別客戶，甚至對(duì)整個(gè)運(yùn)營商的網(wǎng)絡(luò)造成威脅，導(dǎo)致個(gè)別地區(qū)的網(wǎng)絡(luò)鏈路全面擁塞，嚴(yán)重影響業(yè)務(wù)。 （4）主要侵害對(duì)象 任何需要通過網(wǎng)絡(luò)提供服務(wù)的業(yè)務(wù)系統(tǒng)，不論是處于經(jīng)濟(jì)原因還是其他方面，都應(yīng)該對(duì)DDoS攻擊防護(hù)的投資進(jìn)行考慮。對(duì)于企業(yè)或政府的網(wǎng)絡(luò)系統(tǒng)，一般提供內(nèi)部業(yè)務(wù)系統(tǒng)或網(wǎng)站的Internet出口，雖然不會(huì)涉及大量的Internet用戶的訪問，但是如果遭到DDoS攻擊，仍然會(huì)帶來巨大的損失。對(duì)于企業(yè)而言，DDoS攻擊意味著業(yè)務(wù)系統(tǒng)不能正常對(duì)外提供服務(wù)，勢(shì)必影響企業(yè)正常的生產(chǎn)；政府網(wǎng)絡(luò)的出口如果遭到攻擊，將會(huì)帶來重大的政治影響，這些損失都是可以通過部署DDoS防護(hù)系統(tǒng)進(jìn)行規(guī)避的。 電子商務(wù)網(wǎng)站經(jīng)常是黑客實(shí)施DDoS攻擊的對(duì)象，其在DDoS防護(hù)方面的投資非常有必要。如果一個(gè)電子商務(wù)網(wǎng)站遭受了DDoS攻擊，則在系統(tǒng)無法提供正常服務(wù)的時(shí)間內(nèi)，由此引起的交易量下降、廣告損失、品牌損失、網(wǎng)站恢復(fù)的代價(jià)等等，都應(yīng)該作為其經(jīng)濟(jì)損失計(jì)算在內(nèi)，甚至目前有些黑客還利用DDoS攻擊對(duì)網(wǎng)站進(jìn)行敲詐勒索，這些都給網(wǎng)站的正常運(yùn)營帶來極大的影響，而DDoS防護(hù)措施就可以在很大程度上減小這些損失；另一方面，這些防護(hù)措施又避免了遭受攻擊的網(wǎng)站購買額外的帶寬或是設(shè)備，節(jié)省了大量重復(fù)投資，為客戶帶來了更好的投資回報(bào)率。 對(duì)于運(yùn)營商而言，保證其網(wǎng)絡(luò)可用性是影響ROI的決定因素。如果運(yùn)營商的基礎(chǔ)網(wǎng)絡(luò)遭受攻擊，那么所有承載的業(yè)務(wù)都會(huì)癱瘓，這必然導(dǎo)致服務(wù)質(zhì)量的下降甚至失效。同時(shí)，在目前競(jìng)爭(zhēng)激烈的運(yùn)營商市場(chǎng)，服務(wù)質(zhì)量的下降意味著客戶資源的流失，尤其是那些高ARPU值的大客戶，會(huì)轉(zhuǎn)投其他的運(yùn)營商，這對(duì)于運(yùn)營商而言是致命的打擊。所以，有效的DDoS防護(hù)措施對(duì)于保證網(wǎng)絡(luò)服務(wù)質(zhì)量有著重要意義。另一方面，對(duì)運(yùn)營商或是IDC而言，DDoS防護(hù)不僅僅可以避免業(yè)務(wù)損失，還能夠作為一種增值服務(wù)提供給最終用戶，這給運(yùn)營商帶來了新的利益增長(zhǎng)點(diǎn)，也增強(qiáng)了其行業(yè)競(jìng)爭(zhēng)能力。 DDoS應(yīng)對(duì)之道 雖然目前網(wǎng)絡(luò)安全產(chǎn)品的種類非常多，但是對(duì)于DDoS攻擊卻一籌莫展。常見的防火墻、入侵檢測(cè)、路由器等，由于涉及之初就沒有考慮相應(yīng)的DDoS防護(hù)，所以無法針對(duì)復(fù)雜的DDoS攻擊進(jìn)行有效的檢測(cè)和防護(hù), 所以依靠對(duì)現(xiàn)有的產(chǎn)品增加簡(jiǎn)單的功能或是系統(tǒng)調(diào)優(yōu)等方法只能應(yīng)付簡(jiǎn)單的DDoS攻擊，對(duì)大規(guī)模DDoS攻擊還是無法提供有效的防護(hù)。 （1）增強(qiáng)防御力 對(duì)用戶而言，首先要增強(qiáng)防御力。使用更大的帶寬及提升相關(guān)設(shè)備的性能是面對(duì)DDoS攻擊最直接的處理方法。雖然這必定需要耗用一定的資源，但是對(duì)于那些將生存寄托于這些在線系統(tǒng)的企業(yè)來說，進(jìn)行這種投入是具備足夠理由的。除了對(duì)其目標(biāo)的硬件能力進(jìn)行增強(qiáng)之外，同樣應(yīng)該充分發(fā)揮系統(tǒng)自身的潛能。通過對(duì)目標(biāo)系統(tǒng)的針對(duì)性處理，可以有效地放大現(xiàn)有資源的能量。其中，最基本的任務(wù)是做好更新補(bǔ)丁的工作，及時(shí)使解決一些操作系統(tǒng)的通訊協(xié)議堆棧存在的問題。業(yè)務(wù)系統(tǒng)的健壯性也應(yīng)該重視，在業(yè)務(wù)系統(tǒng)開發(fā)階段就應(yīng)該考慮到對(duì)應(yīng)用型flood攻擊的防御能力，如Web網(wǎng)站的架構(gòu)設(shè)計(jì)不但要考慮到網(wǎng)站的性能，還要考慮到數(shù)據(jù)庫服務(wù)器可承受的連接數(shù)，以避免數(shù)據(jù)庫連接耗盡型攻擊。 （2）產(chǎn)品選購要點(diǎn) 其次，要充分發(fā)揮安全產(chǎn)品的安全功能。發(fā)揮防火墻、UTM和IPS甚至路由器的安全功能，根據(jù)源目的IP和端口做的訪問控制是必要的，防火墻、UTM和IPS上也都有一定的DDoS防御功能，應(yīng)該盡可能充分的利用。聯(lián)想網(wǎng)御異常流量管理系統(tǒng)產(chǎn)品經(jīng)理王偉建議用戶使用專業(yè)的防DDoS攻擊產(chǎn)品。“盡管防火墻、UTM和IPS上也都有一定的DDoS防御功能，但只能解決一部分問題，一般只具有流量型flood防御功能，SYN flood的防御采用SYN代理或Cookie的機(jī)制，性能較低，其他抗攻擊功能基于簡(jiǎn)單的統(tǒng)計(jì)丟包算法，不能有效區(qū)分攻擊流量和正常流量。特別是對(duì)于應(yīng)用型flood攻擊，一般都不能有效防護(hù)。專業(yè)的抗DDoS產(chǎn)品具有靈活的部署方式，一般既支持透明接入，也支持旁路模式，當(dāng)旁路部署時(shí)，只有發(fā)生攻擊時(shí)，才把被攻擊目標(biāo)的流量進(jìn)行牽引，清洗后的流量再送回原有網(wǎng)絡(luò)，這樣就可以不改變用戶原先的拓?fù)浣Y(jié)構(gòu)，而且避免了單點(diǎn)故障，一旦有不可預(yù)測(cè)的設(shè)備故障發(fā)生，因?yàn)榕月返奶攸c(diǎn)，將不會(huì)對(duì)網(wǎng)絡(luò)服務(wù)造成中斷。而且可以采取針對(duì)目標(biāo)的保護(hù)方式，只對(duì)目標(biāo)相關(guān)的流量進(jìn)行牽引和處理，對(duì)其他的流量完全沒有影響。 在這里，Radware資深技術(shù)工程師張向東提示用戶可以從三個(gè)方面考慮產(chǎn)品選購。首先，用戶要注意對(duì)攻擊的防范。防護(hù)設(shè)備必須能夠在無需人為干預(yù)的狀態(tài)下實(shí)時(shí)阻止各種不同類型的攻擊。需要操作人員檢查日志之后來手工設(shè)定防范措施的產(chǎn)品，顯然無法在網(wǎng)絡(luò)上出現(xiàn)新型攻擊時(shí)提供真正的實(shí)時(shí)防范能力。此外，業(yè)務(wù)連續(xù)性也很重要。防護(hù)設(shè)備必須提供細(xì)致精確的檢測(cè)和防范措施，在阻止攻擊的同時(shí)不能影響合法流量。而這一點(diǎn)對(duì)于在遭受大量攻擊的情況下來保證關(guān)鍵業(yè)務(wù)應(yīng)用顯得尤為重要。最后，簡(jiǎn)單的操作必不可少。復(fù)雜的配置和不停的維護(hù)更改可能會(huì)導(dǎo)致錯(cuò)誤的配置，最終引起識(shí)別錯(cuò)誤和誤判。為了保證持續(xù)穩(wěn)定的高效防范，防護(hù)設(shè)備必須盡量避免特征或策略的更新和其他維護(hù)措施。 （3）產(chǎn)品部署之道 在產(chǎn)品部署方面，東軟網(wǎng)絡(luò)安全產(chǎn)品營銷中心產(chǎn)品經(jīng)理姚偉棟認(rèn)為，用戶可以從三個(gè)方面防范和抵御DDoS攻擊：（1）路由器訪問控制：采用ACL（Access Control List）過濾能夠靈活實(shí)現(xiàn)針對(duì)源目的IP地址、協(xié)議類型、端口號(hào)等各種形式的過濾，但同時(shí)也存在控制手段粗暴的缺陷，比如可能會(huì)為了過濾蠕蟲病毒（SQL Slammer）而同時(shí)也阻擋了針對(duì)SQL Server的正常訪問。這就需要有一種可以根據(jù)攻擊數(shù)據(jù)包特征提供更細(xì)化過濾策略的技術(shù)。（2）網(wǎng)關(guān)類安全設(shè)備過濾：通過防火墻等安全設(shè)備所內(nèi)置的防DDoS功能，對(duì)過往流量進(jìn)行全文查詢和特征匹配，對(duì)于命中的DDoS流量進(jìn)行實(shí)時(shí)過濾。這種技術(shù)的缺陷在于，一是檢測(cè)手段較為機(jī)械，只能針對(duì)已知DDoS行為進(jìn)行識(shí)別控制，二是處理性能較低，通常不超過1G bps。（3）Flow檢測(cè)和流量清洗技術(shù)：通過Flow技術(shù)，利用動(dòng)態(tài)基線和固定閥值兩種方式提供異常流量檢測(cè)服務(wù)，其中動(dòng)態(tài)基線和固定閥值分別描述了鏈路流量分布的“正常”和“異常”。 （4）聯(lián)合防御策略 防范DDoS攻擊不能僅依靠在單個(gè)節(jié)點(diǎn)部署產(chǎn)品，企業(yè)用戶和為其提供Internet連接的電信運(yùn)營商必須密切配合，采取聯(lián)合防御的策略。作為企業(yè)用戶需要重點(diǎn)考慮防御針對(duì)其關(guān)鍵服務(wù)的DDoS攻擊，如SYN Flood、UDP DNS Query Flood，此外要特別注意對(duì)HTTP Get Flood，CC（Challenge Collapsar，一種專門規(guī)避黑洞DDoS防護(hù)器的服務(wù)層面DDoS方式）等應(yīng)用層面DDoS攻擊的防護(hù)，這些攻擊僅需要利用自己極少的資源就能夠造成對(duì)方較大的資源消耗，所以企業(yè)用戶需要部署如IPS等設(shè)備來確保自己服務(wù)器，特別是Web和數(shù)據(jù)庫服務(wù)器的資源不被這些DDoS攻擊耗盡。防御上述攻擊，需要采用專用硬件架構(gòu)，比如基于NP ASIC CPU的混合架構(gòu)，而不是基于Intel的開放架構(gòu)，因?yàn)槿绻捎肵86架構(gòu)可以防御此類DDoS攻擊，則理論上被攻擊的服務(wù)器也采用了同樣的架構(gòu)，也應(yīng)該能夠防御此類DDoS攻擊才對(duì)，而事實(shí)證明這種設(shè)計(jì)是失敗的。 企業(yè)用戶可以采取上述措施來保護(hù)自己數(shù)據(jù)中心的服務(wù)器免遭攻擊，但是卻無法有效地防御帶寬耗盡型的海量DDOS攻擊，如UDP Flood、(M)Stream Flood、ICMP Flood，以及某些Bonet發(fā)起的攻擊，因?yàn)槠髽I(yè)用戶處于攻擊的最下游，這也就是為什么需要企業(yè)和運(yùn)營商采取聯(lián)合防御策略的原因，理論上如果運(yùn)營商的在其接入、或者匯聚以及網(wǎng)間互聯(lián)層面部署了相應(yīng)的DDoS系統(tǒng)，則到達(dá)企業(yè)用戶數(shù)據(jù)中心的流量基本都是干凈的，因?yàn)檫\(yùn)營商在源頭遏制了DDoS攻擊。運(yùn)營商檢測(cè)帶寬耗盡型的DDoS主要依靠全網(wǎng)流量分析和監(jiān)測(cè)系統(tǒng)來識(shí)別異常的流量，然后采用流量監(jiān)測(cè)系統(tǒng)和路由交換、防火墻設(shè)備協(xié)同工作的方式將異常流量牽引至路由黑洞，使其無法到達(dá)攻擊目標(biāo)，運(yùn)營商在全網(wǎng)部署此類系統(tǒng)需要較大的投入。

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請(qǐng)保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場(chǎng)，如有內(nèi)容涉嫌侵權(quán)，請(qǐng)聯(lián)系alex-e#qq.com處理。