近一段時(shí)期以來(lái)，“黑客”已經(jīng)成為網(wǎng)絡(luò)上最熱門(mén)的一個(gè)詞語(yǔ)。“熊貓”剛走，“灰鴿子”又來(lái)。我們看到，隨著網(wǎng)絡(luò)的普及和帶寬資費(fèi)的松動(dòng)，國(guó)內(nèi)的“黑客”部落，已經(jīng)從最初的炫耀技術(shù)，慢慢向“職業(yè)化”發(fā)展。

　　早期的“黑客”，主要利用操作系統(tǒng)或者軟件的漏洞，入侵一些 WEB 服務(wù)等，竄改頁(yè)面的內(nèi)容，比如在主頁(yè)寫(xiě)上“您的主頁(yè)被 XXX 攻克” 的字樣，以炫耀自己的技術(shù)。他們追求的只是“肉雞”的占領(lǐng)，而盡量不破壞影響用戶(hù)的正常服務(wù)，更不會(huì)以此來(lái)要挾獲取利益。

　　而現(xiàn)在，黑客們已經(jīng)不滿(mǎn)足于炫耀，而是更加的務(wù)實(shí)。他們現(xiàn)在開(kāi)始利用網(wǎng)絡(luò)來(lái)竊取銀行秘碼，股票交易秘碼，和一些游戲的帳戶(hù)，其最終目的已經(jīng)不是炫耀，而是直接利用網(wǎng)絡(luò)來(lái)賺錢(qián)，來(lái)?yè)Q取現(xiàn)金。一些更高級(jí)的黑客們，會(huì)利用已經(jīng)占領(lǐng)的大量“肉機(jī)”，在一些人的利益的誘惑下，向一些網(wǎng)站， ISP 游戲提供商或者網(wǎng)吧運(yùn)營(yíng)商發(fā)動(dòng) DDOS 拒絕服務(wù)攻擊，造成網(wǎng)絡(luò)擁擠，正常的經(jīng)營(yíng)被迫關(guān)閉，這些黑客也因此會(huì)可以獲得高額報(bào)酬。由于這類(lèi)活動(dòng)已經(jīng)超越的法律的界限，因此一些人才提出“做黑客要低調(diào)”，以逃避公安的追查。在網(wǎng)絡(luò)經(jīng)歷的幾年的低谷期后，逐漸開(kāi)始欣欣向榮的今天，這些“黑客”也要趁著這股東風(fēng)，在網(wǎng)上興風(fēng)作浪，賺取不義之財(cái)。

　　對(duì)比以前，目前黑客進(jìn)行的活動(dòng)更加具有破壞力，已經(jīng)嚴(yán)重影響了人們的正常的經(jīng)濟(jì)活動(dòng)秩序。如果不盡早對(duì)利用網(wǎng)絡(luò)犯罪這個(gè)毒瘤加以重視，研究并采取必要的措施，將嚴(yán)重阻礙國(guó)內(nèi)信息化網(wǎng)絡(luò)的建設(shè)，甚至破壞國(guó)內(nèi)的經(jīng)濟(jì)發(fā)展和社會(huì)的和諧。

　　公安機(jī)關(guān)，運(yùn)營(yíng)商和網(wǎng)絡(luò)安全廠(chǎng)商已經(jīng)意識(shí)到網(wǎng)絡(luò)攻擊問(wèn)題的嚴(yán)重性，今年1月由三方參加的在北京舉辦的防護(hù)網(wǎng)絡(luò)黑客 DDOS 的高層研討會(huì)上，就提出許多有建設(shè)性的意見(jiàn)。

　　目前，黑客進(jìn)行網(wǎng)絡(luò)破壞活動(dòng)主要是兩類(lèi)途徑：

　　一：利用郵件，網(wǎng)絡(luò)下載，聊天等工具分發(fā)和傳播后門(mén)程序。

　　用戶(hù)從不名網(wǎng)站的鏈接下載一些程序中，有時(shí)就會(huì)有黑客設(shè)計(jì)的陷阱，用戶(hù)運(yùn)行這些程序后，后門(mén)程序也一同種植在機(jī)器中，這些木馬程序會(huì)獲取用戶(hù)的超級(jí)管理員權(quán)限，監(jiān)視和記錄用戶(hù)的所有操作動(dòng)作，包括通過(guò)鍵盤(pán)敲入的任何指令，盜用用戶(hù)的一些特殊帳戶(hù)，密碼，然后自動(dòng)發(fā)給黑客。另外，黑客還會(huì)通過(guò)木馬程序開(kāi)放某些特殊端口，供黑客控制主機(jī)和繼續(xù)進(jìn)一步入侵時(shí)使用，此時(shí)，這臺(tái)主機(jī)就成為黑客的“肉雞”。同時(shí)，利用一些操作系統(tǒng)的漏洞，一些高級(jí)的木馬程序有時(shí)還會(huì)像病毒一樣試圖連接局域網(wǎng)內(nèi)的其他程序，進(jìn)行復(fù)制和傳播，入侵內(nèi)網(wǎng)的其他主機(jī)。

　　二：黑客利用占領(lǐng)的“肉機(jī)”，向一些網(wǎng)站，交易平臺(tái)，游戲，網(wǎng)吧等一些經(jīng)營(yíng)性服務(wù)器發(fā)起 DDOS 拒絕服務(wù)攻擊，利用同一時(shí)間的海量數(shù)據(jù)阻塞網(wǎng)絡(luò)鏈路，使正常服務(wù)無(wú)法連接和訪(fǎng)問(wèn)。這種類(lèi)型的攻擊，以不僅僅是炫耀技術(shù)，而更多是有很多直接獲利的目的，他們或者是惡意商業(yè)競(jìng)爭(zhēng)的對(duì)手花錢(qián)雇傭的(據(jù)報(bào)道，現(xiàn)在黑客市場(chǎng)的價(jià)格是租用每個(gè)“肉雞”的價(jià)格，僅需要幾角錢(qián) / 每星期)，或者因此達(dá)到敲詐或者報(bào)復(fù)的目的。

　　DoS 攻擊

　　通常而言， DoS 的網(wǎng)絡(luò)數(shù)據(jù)包同樣是利用 TCP/IP 協(xié)議在 Internet 傳輸。這些數(shù)據(jù)包本身一般是無(wú)害的，但是如果數(shù)據(jù)包異常過(guò)多，就會(huì)造成網(wǎng)絡(luò)設(shè)備或者服務(wù)器過(guò)載，迅速消耗了系統(tǒng)資源，造成服務(wù)拒絕，這就是 DoS 攻擊的基本工作原理。

　　DoS 攻擊之所以難于防護(hù)，其關(guān)鍵之處就在于非法流量和合法流量相互混雜，防護(hù)過(guò)程中無(wú)法有效的檢測(cè)到 DoS 攻擊。加之許多 DoS 攻擊都采用了偽造源地址 IP 的技術(shù)，從而成功的躲避了基于統(tǒng)計(jì)模式工具的識(shí)別。

　　具體 DOS 攻擊實(shí)現(xiàn)有如下幾種方法：

　　1 、 SYN FLOOD

　　利用服務(wù)器的連接緩沖區(qū)，設(shè)置特殊的 TCP 包頭，向服務(wù)器端不斷地發(fā)送大量只有 SYN 標(biāo)志的 TCP 連接請(qǐng)求。當(dāng)服務(wù)器接收的時(shí)候，認(rèn)為是沒(méi)有建立起來(lái)的連接請(qǐng)求，于是這些請(qǐng)求建立會(huì)話(huà)，排到緩沖區(qū)隊(duì)列中。如果發(fā)送的 SYN 請(qǐng)求超過(guò)了服務(wù)器能容納的限度，緩沖區(qū)隊(duì)列占滿(mǎn)，那么服務(wù)器就不再接收新的請(qǐng)求了，因此其他合法用戶(hù)的連接都會(huì)被拒絕掉。

　　2 、 IP 欺騙 DOS 攻擊

　　這種攻擊利用 RST 位來(lái)實(shí)現(xiàn)。假設(shè)現(xiàn)在有一個(gè)合法用戶(hù) (1.1.1.1) 已經(jīng)同服務(wù)器建立了正常的連接，攻擊者構(gòu)造攻擊的 TCP 數(shù)據(jù)，偽裝自己的 IP 為 1.1.1.1 ，并向服務(wù)器發(fā)送一個(gè)帶有 RST 位的 TCP 數(shù)據(jù)段。服務(wù)器接收到這樣的數(shù)據(jù)后，會(huì)認(rèn)為從 1.1.1.1 發(fā)送的連接有錯(cuò)誤，從而清空緩沖區(qū)中建立好的連接。這時(shí)，如果合法用戶(hù) 1.1.1.1 再發(fā)送合法數(shù)據(jù)，服務(wù)器就已經(jīng)沒(méi)有這樣的連接了，該用戶(hù)就必須從新開(kāi)始建立連接。攻擊者偽造大量的 IP 地址，向目標(biāo)主機(jī)發(fā)送 RST 數(shù)據(jù)，從而使服務(wù)器不對(duì)合法用戶(hù)服務(wù)。

　　3 、 帶寬 DOS 攻擊( UDP Flood ， ICMP Flood )

　　這類(lèi)攻擊完全利用連接帶寬足夠大，持續(xù)向目標(biāo)服務(wù)器發(fā)送大量請(qǐng)求，如 UDP 的包， ICMP 的 ping 包，來(lái)消耗服務(wù)器的緩沖區(qū)，或者僅消耗服務(wù)器的連接帶寬，從而達(dá)到網(wǎng)絡(luò)擁塞，使服務(wù)器不能正常提供服務(wù)。

　　DDOS 攻擊

　　單一的 DoS 攻擊一般是采用一對(duì)一方式的，“分布式拒絕服務(wù)攻擊”( Distributed Denial of Service ，簡(jiǎn)稱(chēng) DDoS )是建立在傳統(tǒng)的 DoS 攻擊基礎(chǔ)之上一類(lèi)攻擊方式。當(dāng)計(jì)算機(jī)與網(wǎng)絡(luò)的處理能力加大了，用一臺(tái)攻擊機(jī)來(lái)攻擊不再能起作用的話(huà)，攻擊者就使用 10 臺(tái)甚至 100 臺(tái)攻擊機(jī)同時(shí)攻擊。這就是 DDos 。 DDoS 就是利用更多的傀儡機(jī)“肉雞”來(lái)同時(shí)發(fā)起進(jìn)攻，更大規(guī)模的來(lái)進(jìn)攻受害者，破壞力更強(qiáng)。

　　現(xiàn)在，高速?gòu)V泛連接的網(wǎng)絡(luò)給大家?guī)��?lái)了方便，但同時(shí)也為 DDoS 攻擊創(chuàng)造了極為有利的條件。在低速網(wǎng)絡(luò)時(shí)代時(shí)，黑客占領(lǐng)攻擊用的傀儡機(jī)時(shí)，總是會(huì)優(yōu)先考慮離目標(biāo)網(wǎng)絡(luò)距離近的機(jī)器，因?yàn)榻?jīng)過(guò)路由器的跳數(shù)少，效果好。而現(xiàn)在電信骨干節(jié)點(diǎn)之間的連接都是以 G 為級(jí)別的，大城市之間更可以達(dá)到 2.5G 的連接，這使得攻擊可以從更遠(yuǎn)的地方或者其他城市發(fā)起，攻擊者的傀儡機(jī)位置可以在分布在更大的范圍，選擇起來(lái)更靈活了，攻擊也更加隱蔽。 　　 當(dāng)主機(jī)服務(wù)器被 DDoS 攻擊時(shí)，通常會(huì)有如下現(xiàn)象 ：

　　•被攻擊主機(jī)上有大量等待的 TCP 連接

　　•網(wǎng)絡(luò)中充斥著大量的無(wú)用的數(shù)據(jù)包，源地址一般為偽造的

　　•高流量無(wú)用數(shù)據(jù)造成網(wǎng)絡(luò)擁塞，使受害主機(jī)無(wú)法正常和外界通訊

　　•反復(fù)高速的發(fā)出特定的服務(wù)請(qǐng)求，使受害主機(jī)無(wú)法及時(shí)處理所有正常請(qǐng)求

　　•系統(tǒng)服務(wù)器 CPU 利用率極高，處理速度緩慢，甚至宕機(jī)

　　如何應(yīng)對(duì) DDOS 攻擊

　　從以上的分析可以看出，黑客的攻擊方式已經(jīng)越來(lái)越簡(jiǎn)單，門(mén)檻越來(lái)越低，因此，這次攻擊事件越來(lái)越頻繁，造成的破壞力也越來(lái)越嚴(yán)重。

　　首先，要加強(qiáng)每個(gè)網(wǎng)絡(luò)用戶(hù)的安全意識(shí)，安裝殺毒軟件，安裝軟件或者硬件防火墻，不從不名網(wǎng)站下載軟件，不訪(fǎng)問(wèn)一些不名網(wǎng)站，不打開(kāi)不名郵件，盡量避免木馬的種植。

　　其次，要求國(guó)家立法單位，對(duì)網(wǎng)絡(luò)犯罪進(jìn)行立法，對(duì)傳播病毒，木馬，和進(jìn)行黑客攻擊的行為進(jìn)行定性，并有法可依，保障國(guó)家信息高速網(wǎng)絡(luò)平臺(tái)的安全，為國(guó)內(nèi)信息化建設(shè)保駕護(hù)航。

　　再次，我們的運(yùn)營(yíng)商有義務(wù)在網(wǎng)絡(luò)平臺(tái)升級(jí)和建設(shè)的過(guò)程中，有效在各個(gè)節(jié)點(diǎn)抵御黑客惡意攻擊的行為，以?xún)艋�我們的網(wǎng)絡(luò)。不光僅僅是只加強(qiáng)可以看到效益的終端平臺(tái)，如 IDC 機(jī)房的抗 DDOS 防護(hù)，而是應(yīng)該在網(wǎng)絡(luò)的各個(gè)節(jié)點(diǎn)都加強(qiáng)防護(hù)，特別是在接入端進(jìn)行 DDOS 防護(hù)和源地址檢測(cè)，使得黑客的主機(jī)或者占領(lǐng)的“肉雞”，無(wú)法拉起大量帶寬，有效記錄各種用戶(hù)(特別是網(wǎng)吧用戶(hù))的網(wǎng)絡(luò)行為，建立電子檔案，以協(xié)助公安部門(mén)對(duì)網(wǎng)絡(luò)犯罪進(jìn)行調(diào)查，為指證犯罪提供證據(jù)。

　　對(duì)我們的一些網(wǎng)絡(luò)運(yùn)營(yíng)平臺(tái)用戶(hù)，如經(jīng)營(yíng)性網(wǎng)站，門(mén)戶(hù)網(wǎng)站，網(wǎng)上交易平臺(tái)，網(wǎng)絡(luò)游戲提供商，網(wǎng)吧， VOIP 提供商等，也要加強(qiáng)網(wǎng)絡(luò)出口的防護(hù)，發(fā)現(xiàn)和舉證攻擊行為，做好日志記錄，并利用硬件防護(hù)設(shè)備，最大程度的減少黑客攻擊的危害，保障經(jīng)營(yíng)性平臺(tái)的正常運(yùn)行。

　　對(duì)我們企事業(yè)單位的網(wǎng)絡(luò)，雖不象經(jīng)營(yíng)性的網(wǎng)絡(luò)，成為黑客攻擊的重點(diǎn)目標(biāo)，但也可能存在“誤傷”的現(xiàn)象，如與某個(gè)網(wǎng)吧共在一個(gè)運(yùn)營(yíng)商的路由器下，或者黑客得到的 IP 地址不準(zhǔn)確，目前這類(lèi)網(wǎng)絡(luò)事件也不少。因此，在新的網(wǎng)絡(luò)的設(shè)計(jì)中，防護(hù) DDOS ，也應(yīng)該成為企業(yè)網(wǎng)絡(luò)安全防護(hù)的重點(diǎn)，同時(shí)，在企業(yè)網(wǎng)絡(luò)的規(guī)劃中，如何防止自己內(nèi)部的主機(jī)和服務(wù)器避免成為黑客的“肉雞”，也是企業(yè)在新形勢(shì)下防護(hù)的一個(gè)重點(diǎn)課題，要求我們的企業(yè)網(wǎng)絡(luò)要真正做到 1 )對(duì)內(nèi)部主機(jī)的有效防護(hù)，避免成為黑客的“肉雞” 2 )當(dāng)內(nèi)部主機(jī)成為“肉雞”后能很快發(fā)現(xiàn)，并在很快的時(shí)間內(nèi)殺掉控制程序 3 )“肉雞”攻擊和傳播時(shí)迅速報(bào)警，切斷其攻擊和傳播途徑，同時(shí)，不影響出口帶寬和內(nèi)部其他主機(jī)網(wǎng)絡(luò)的正常使用。

　　因此，在防護(hù) DDOS 和黑客攻擊的問(wèn)題上，要求我們的公安機(jī)關(guān)，運(yùn)營(yíng)商和網(wǎng)絡(luò)安全廠(chǎng)商，和網(wǎng)絡(luò)的用戶(hù)，在意識(shí)到網(wǎng)絡(luò)攻擊問(wèn)題的嚴(yán)重性前提下，多方配合，共同加強(qiáng)我們的網(wǎng)絡(luò)平臺(tái)安全性的建設(shè)性，凈化我們的網(wǎng)絡(luò)，不給黑客以生存的攻擊，保障我們十幾年來(lái)信息網(wǎng)絡(luò)平臺(tái)建設(shè)的成果，為我國(guó)的經(jīng)濟(jì)建設(shè)提供堅(jiān)固安全的網(wǎng)絡(luò)信息化平臺(tái)。

　　在網(wǎng)絡(luò)安全廠(chǎng)商方面，對(duì)于專(zhuān)用的抗 DDOS 設(shè)備，許多廠(chǎng)商也參與進(jìn)來(lái)，研制了許多新型設(shè)備，目前大多數(shù)還是集中在解決IDC機(jī)房的主機(jī)防護(hù)上。

　　其實(shí)，通過(guò)上述的研究，我們知道，要徹底根除 DDOS 和黑客攻擊，攻擊源頭，接入節(jié)點(diǎn)和一些骨干節(jié)點(diǎn)才是防護(hù)的重點(diǎn)，在這個(gè)層次上做的比較好的廠(chǎng)商不是很多，舉個(gè)例子，大唐龍創(chuàng)公司，大唐龍創(chuàng)公司在接入節(jié)點(diǎn)DDOS 防護(hù)上有很好的解決方案。擴(kuò)充了其 DDOS 防護(hù)的產(chǎn)品線(xiàn)，為運(yùn)營(yíng)商提供“接入節(jié)點(diǎn)”的黑客攻擊防護(hù)，在防護(hù)接入帶寬的同時(shí)，使得黑客和黑客的占領(lǐng)的“肉雞”無(wú)法施展效力，無(wú)處藏身，從源頭上解決目前黑客 DDOS 攻擊猖獗的問(wèn)題。