隨著網(wǎng)絡(luò)帶寬的增加和多種DDoS黑客工具的發(fā)布，各種DDoS攻擊軟件都可以很輕松地從互聯(lián)網(wǎng)上獲得。于是，DDoS拒絕服務(wù)攻擊的實施越來越容易，DDoS攻擊事件的上升趨勢給飛速發(fā)展的互聯(lián)網(wǎng)帶來了重大的安全威脅。商業(yè)競爭、打擊報復(fù)、網(wǎng)絡(luò)敲詐……多種原因?qū)е潞芏郔DC托管機房、商業(yè)站點、游戲服務(wù)器、聊天網(wǎng)絡(luò)等網(wǎng)絡(luò)服務(wù)商長期以來被DDoS攻擊所困擾，隨之而來的則是客戶投訴、同虛擬主機用戶受牽連、法律糾紛、商業(yè)損失等一系列問題。然而，從某種程度上看，DDoS攻擊永遠不會消失，而以當(dāng)前的技術(shù)手段又無法從根本上解決問題，那么面對兇多吉少的DDoS險灘，我們該如何應(yīng)對呢？ 認識DDoS （1）趨利色彩濃重 和其他黑客攻擊一樣，早些年的DDoS攻擊是黑客出于練手、惡作劇或技術(shù)炫耀的目的來提高自己或黑客團體在圈內(nèi)知名度的。而后，也有DDoS攻擊是出于政治原因，如2001年中美撞機事件引發(fā)的中美黑客大戰(zhàn)——在戰(zhàn)爭條件下，交戰(zhàn)雙方如果采取信息戰(zhàn)的方式，拒絕服務(wù)攻擊就是最常用的戰(zhàn)術(shù)手段之一。如今，更多的DDoS攻擊則是經(jīng)濟利益驅(qū)動，競爭對手為了降低對方的服務(wù)質(zhì)量，雇傭黑客團體對對方的網(wǎng)上服務(wù)進行拒絕服務(wù)攻擊，使顧客轉(zhuǎn)向自己。此外，由于拒絕服務(wù)攻擊會導(dǎo)致較大的損失，一些攻擊者以此作為敲詐勒索的手段，收取保護費等?？傮w上看，網(wǎng)絡(luò)安全事件在保持整體數(shù)量顯著上升的同時,也呈現(xiàn)出技術(shù)復(fù)雜化、動機趨利化、政治化的特點。 （2）Botnet成就大規(guī)模攻擊 DDoS攻擊一般通過Internet上那些“僵尸”系統(tǒng)完成。由于大量個人電腦聯(lián)入Internet且防護措施非常少，所以極易被黑客利用。通過植入某些代碼，大量個人電腦就成為DDoS攻擊者的武器。當(dāng)黑客發(fā)動大規(guī)模的DDoS時，只需要同時向這些僵尸機發(fā)送某些命令，就可以由這些“僵尸”機器完成攻擊。隨著Botnet的發(fā)展，DDoS造成的攻擊流量的規(guī)模可以非常驚人，會給應(yīng)用系統(tǒng)或是網(wǎng)絡(luò)本身帶來非常大的負載消耗。常見的DDOS攻擊手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等。 通常，網(wǎng)絡(luò)數(shù)據(jù)包利用TCP/IP協(xié)議在Internet傳輸，這些數(shù)據(jù)包本身是無害的，但是如果數(shù)據(jù)包異常過多，就會造成網(wǎng)絡(luò)設(shè)備或者服務(wù)器過載；或者數(shù)據(jù)包利用了某些協(xié)議的缺陷，人為的不完整或畸形，就會造成網(wǎng)絡(luò)設(shè)備或服務(wù)器服務(wù)正常處理，迅速消耗了系統(tǒng)資源，造成服務(wù)拒絕，這就是DDoS攻擊的工作原理。DDoS攻擊之所以難于防護，其關(guān)鍵之處就在于非法流量和合法流量相互混雜，防護過程中無法有效的檢測到DDoS攻擊，比如利用基于特征庫模式匹配的IDS系統(tǒng)，就很難從合法包中區(qū)分出非法包。加之許多DDoS攻擊都采用了偽造源地址IP的技術(shù)，從而成功的躲避了基于異常模式監(jiān)控的工具的識別。 （3）明確的攻擊目標(biāo) DDoS的攻擊通過消耗服務(wù)器端資源、迫使服務(wù)停止響應(yīng)，阻止合法用戶對正常網(wǎng)絡(luò)資源的訪問，從而達成攻擊者不可告人的目的。由于一些網(wǎng)絡(luò)通訊協(xié)議本身固有的缺陷，拒絕服務(wù)攻擊通常能夠以較小的資源耗費代價導(dǎo)致目標(biāo)主機很大的資源開銷，因此往往可以通過一臺或有限幾臺主機給被攻擊方造成很大的破壞。特別是DDoS攻擊通過控制多臺傀儡主機策劃進攻，更加強了攻擊的破壞性，甚至可以造成一些包括防火墻、路由器在內(nèi)的網(wǎng)絡(luò)設(shè)備的癱瘓。分布式拒絕服務(wù)攻擊一旦被實施，攻擊網(wǎng)絡(luò)包就會猶如洪水般涌向受害主機，從而把合法用戶的網(wǎng)絡(luò)包淹沒，導(dǎo)致用戶無妨正常的訪問網(wǎng)絡(luò)資源。DDoS帶來的危害是巨大的，很多門戶網(wǎng)站遭DDoS的攻擊后，網(wǎng)頁無法顯示，網(wǎng)站全面癱瘓，造成巨大的損失。對于提供帶寬服務(wù)的電信運營商，大型的DDoS攻擊不僅僅影響其個別客戶，甚至對整個運營商的網(wǎng)絡(luò)造成威脅，導(dǎo)致個別地區(qū)的網(wǎng)絡(luò)鏈路全面擁塞，嚴重影響業(yè)務(wù)。 （4）主要侵害對象 任何需要通過網(wǎng)絡(luò)提供服務(wù)的業(yè)務(wù)系統(tǒng)，不論是處于經(jīng)濟原因還是其他方面，都應(yīng)該對DDoS攻擊防護的投資進行考慮。對于企業(yè)或政府的網(wǎng)絡(luò)系統(tǒng)，一般提供內(nèi)部業(yè)務(wù)系統(tǒng)或網(wǎng)站的Internet出口，雖然不會涉及大量的Internet用戶的訪問，但是如果遭到DDoS攻擊，仍然會帶來巨大的損失。對于企業(yè)而言，DDoS攻擊意味著業(yè)務(wù)系統(tǒng)不能正常對外提供服務(wù)，勢必影響企業(yè)正常的生產(chǎn)；政府網(wǎng)絡(luò)的出口如果遭到攻擊，將會帶來重大的政治影響，這些損失都是可以通過部署DDoS防護系統(tǒng)進行規(guī)避的。 電子商務(wù)網(wǎng)站經(jīng)常是黑客實施DDoS攻擊的對象，其在DDoS防護方面的投資非常有必要。如果一個電子商務(wù)網(wǎng)站遭受了DDoS攻擊，則在系統(tǒng)無法提供正常服務(wù)的時間內(nèi)，由此引起的交易量下降、廣告損失、品牌損失、網(wǎng)站恢復(fù)的代價等等，都應(yīng)該作為其經(jīng)濟損失計算在內(nèi)，甚至目前有些黑客還利用DDoS攻擊對網(wǎng)站進行敲詐勒索，這些都給網(wǎng)站的正常運營帶來極大的影響，而DDoS防護措施就可以在很大程度上減小這些損失；另一方面，這些防護措施又避免了遭受攻擊的網(wǎng)站購買額外的帶寬或是設(shè)備，節(jié)省了大量重復(fù)投資，為客戶帶來了更好的投資回報率。 對于運營商而言，保證其網(wǎng)絡(luò)可用性是影響ROI的決定因素。如果運營商的基礎(chǔ)網(wǎng)絡(luò)遭受攻擊，那么所有承載的業(yè)務(wù)都會癱瘓，這必然導(dǎo)致服務(wù)質(zhì)量的下降甚至失效。同時，在目前競爭激烈的運營商市場，服務(wù)質(zhì)量的下降意味著客戶資源的流失，尤其是那些高ARPU值的大客戶，會轉(zhuǎn)投其他的運營商，這對于運營商而言是致命的打擊。所以，有效的DDoS防護措施對于保證網(wǎng)絡(luò)服務(wù)質(zhì)量有著重要意義。另一方面，對運營商或是IDC而言，DDoS防護不僅僅可以避免業(yè)務(wù)損失，還能夠作為一種增值服務(wù)提供給最終用戶，這給運營商帶來了新的利益增長點，也增強了其行業(yè)競爭能力。 DDoS應(yīng)對之道 雖然目前網(wǎng)絡(luò)安全產(chǎn)品的種類非常多，但是對于DDoS攻擊卻一籌莫展。常見的防火墻、入侵檢測、路由器等，由于涉及之初就沒有考慮相應(yīng)的DDoS防護，所以無法針對復(fù)雜的DDoS攻擊進行有效的檢測和防護, 所以依靠對現(xiàn)有的產(chǎn)品增加簡單的功能或是系統(tǒng)調(diào)優(yōu)等方法只能應(yīng)付簡單的DDoS攻擊，對大規(guī)模DDoS攻擊還是無法提供有效的防護。 （1）增強防御力 對用戶而言，首先要增強防御力。使用更大的帶寬及提升相關(guān)設(shè)備的性能是面對DDoS攻擊最直接的處理方法。雖然這必定需要耗用一定的資源，但是對于那些將生存寄托于這些在線系統(tǒng)的企業(yè)來說，進行這種投入是具備足夠理由的。除了對其目標(biāo)的硬件能力進行增強之外，同樣應(yīng)該充分發(fā)揮系統(tǒng)自身的潛能。通過對目標(biāo)系統(tǒng)的針對性處理，可以有效地放大現(xiàn)有資源的能量。其中，最基本的任務(wù)是做好更新補丁的工作，及時使解決一些操作系統(tǒng)的通訊協(xié)議堆棧存在的問題。業(yè)務(wù)系統(tǒng)的健壯性也應(yīng)該重視，在業(yè)務(wù)系統(tǒng)開發(fā)階段就應(yīng)該考慮到對應(yīng)用型flood攻擊的防御能力，如Web網(wǎng)站的架構(gòu)設(shè)計不但要考慮到網(wǎng)站的性能，還要考慮到數(shù)據(jù)庫服務(wù)器可承受的連接數(shù)，以避免數(shù)據(jù)庫連接耗盡型攻擊。 （2）產(chǎn)品選購要點 其次，要充分發(fā)揮安全產(chǎn)品的安全功能。發(fā)揮防火墻、UTM和IPS甚至路由器的安全功能，根據(jù)源目的IP和端口做的訪問控制是必要的，防火墻、UTM和IPS上也都有一定的DDoS防御功能，應(yīng)該盡可能充分的利用。聯(lián)想網(wǎng)御異常流量管理系統(tǒng)產(chǎn)品經(jīng)理王偉建議用戶使用專業(yè)的防DDoS攻擊產(chǎn)品。“盡管防火墻、UTM和IPS上也都有一定的DDoS防御功能，但只能解決一部分問題，一般只具有流量型flood防御功能，SYN flood的防御采用SYN代理或Cookie的機制，性能較低，其他抗攻擊功能基于簡單的統(tǒng)計丟包算法，不能有效區(qū)分攻擊流量和正常流量。特別是對于應(yīng)用型flood攻擊，一般都不能有效防護。專業(yè)的抗DDoS產(chǎn)品具有靈活的部署方式，一般既支持透明接入，也支持旁路模式，當(dāng)旁路部署時，只有發(fā)生攻擊時，才把被攻擊目標(biāo)的流量進行牽引，清洗后的流量再送回原有網(wǎng)絡(luò)，這樣就可以不改變用戶原先的拓撲結(jié)構(gòu)，而且避免了單點故障，一旦有不可預(yù)測的設(shè)備故障發(fā)生，因為旁路的特點，將不會對網(wǎng)絡(luò)服務(wù)造成中斷。而且可以采取針對目標(biāo)的保護方式，只對目標(biāo)相關(guān)的流量進行牽引和處理，對其他的流量完全沒有影響。 在這里，Radware資深技術(shù)工程師張向東提示用戶可以從三個方面考慮產(chǎn)品選購。首先，用戶要注意對攻擊的防范。防護設(shè)備必須能夠在無需人為干預(yù)的狀態(tài)下實時阻止各種不同類型的攻擊。需要操作人員檢查日志之后來手工設(shè)定防范措施的產(chǎn)品，顯然無法在網(wǎng)絡(luò)上出現(xiàn)新型攻擊時提供真正的實時防范能力。此外，業(yè)務(wù)連續(xù)性也很重要。防護設(shè)備必須提供細致精確的檢測和防范措施，在阻止攻擊的同時不能影響合法流量。而這一點對于在遭受大量攻擊的情況下來保證關(guān)鍵業(yè)務(wù)應(yīng)用顯得尤為重要。最后，簡單的操作必不可少。復(fù)雜的配置和不停的維護更改可能會導(dǎo)致錯誤的配置，最終引起識別錯誤和誤判。為了保證持續(xù)穩(wěn)定的高效防范，防護設(shè)備必須盡量避免特征或策略的更新和其他維護措施。 （3）產(chǎn)品部署之道 在產(chǎn)品部署方面，東軟網(wǎng)絡(luò)安全產(chǎn)品營銷中心產(chǎn)品經(jīng)理姚偉棟認為，用戶可以從三個方面防范和抵御DDoS攻擊：（1）路由器訪問控制：采用ACL（Access Control List）過濾能夠靈活實現(xiàn)針對源目的IP地址、協(xié)議類型、端口號等各種形式的過濾，但同時也存在控制手段粗暴的缺陷，比如可能會為了過濾蠕蟲病毒（SQL Slammer）而同時也阻擋了針對SQL Server的正常訪問。這就需要有一種可以根據(jù)攻擊數(shù)據(jù)包特征提供更細化過濾策略的技術(shù)。（2）網(wǎng)關(guān)類安全設(shè)備過濾：通過防火墻等安全設(shè)備所內(nèi)置的防DDoS功能，對過往流量進行全文查詢和特征匹配，對于命中的DDoS流量進行實時過濾。這種技術(shù)的缺陷在于，一是檢測手段較為機械，只能針對已知DDoS行為進行識別控制，二是處理性能較低，通常不超過1G bps。（3）Flow檢測和流量清洗技術(shù)：通過Flow技術(shù)，利用動態(tài)基線和固定閥值兩種方式提供異常流量檢測服務(wù)，其中動態(tài)基線和固定閥值分別描述了鏈路流量分布的“正常”和“異常”。 （4）聯(lián)合防御策略 防范DDoS攻擊不能僅依靠在單個節(jié)點部署產(chǎn)品，企業(yè)用戶和為其提供Internet連接的電信運營商必須密切配合，采取聯(lián)合防御的策略。作為企業(yè)用戶需要重點考慮防御針對其關(guān)鍵服務(wù)的DDoS攻擊，如SYN Flood、UDP DNS Query Flood，此外要特別注意對HTTP Get Flood，CC（Challenge Collapsar，一種專門規(guī)避黑洞DDoS防護器的服務(wù)層面DDoS方式）等應(yīng)用層面DDoS攻擊的防護，這些攻擊僅需要利用自己極少的資源就能夠造成對方較大的資源消耗，所以企業(yè)用戶需要部署如IPS等設(shè)備來確保自己服務(wù)器，特別是Web和數(shù)據(jù)庫服務(wù)器的資源不被這些DDoS攻擊耗盡。防御上述攻擊，需要采用專用硬件架構(gòu)，比如基于NP ASIC CPU的混合架構(gòu)，而不是基于Intel的開放架構(gòu)，因為如果采用X86架構(gòu)可以防御此類DDoS攻擊，則理論上被攻擊的服務(wù)器也采用了同樣的架構(gòu)，也應(yīng)該能夠防御此類DDoS攻擊才對，而事實證明這種設(shè)計是失敗的。 企業(yè)用戶可以采取上述措施來保護自己數(shù)據(jù)中心的服務(wù)器免遭攻擊，但是卻無法有效地防御帶寬耗盡型的海量DDOS攻擊，如UDP Flood、(M)Stream Flood、ICMP Flood，以及某些Bonet發(fā)起的攻擊，因為企業(yè)用戶處于攻擊的最下游，這也就是為什么需要企業(yè)和運營商采取聯(lián)合防御策略的原因，理論上如果運營商的在其接入、或者匯聚以及網(wǎng)間互聯(lián)層面部署了相應(yīng)的DDoS系統(tǒng)，則到達企業(yè)用戶數(shù)據(jù)中心的流量基本都是干凈的，因為運營商在源頭遏制了DDoS攻擊。運營商檢測帶寬耗盡型的DDoS主要依靠全網(wǎng)流量分析和監(jiān)測系統(tǒng)來識別異常的流量，然后采用流量監(jiān)測系統(tǒng)和路由交換、防火墻設(shè)備協(xié)同工作的方式將異常流量牽引至路由黑洞，使其無法到達攻擊目標(biāo)，運營商在全網(wǎng)部署此類系統(tǒng)需要較大的投入。

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非maisonbaluchon.cn所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請聯(lián)系alex-e#qq.com處理。