2006年年底，號(hào)稱亞洲最大的IDC機(jī)房??北京亦莊國(guó)際數(shù)據(jù)中心機(jī)房受到了最猖狂分布式拒絕服務(wù)（DDoS）攻擊。據(jù)說12月20日當(dāng)天，該IDC機(jī)房最高攻擊流量超過12G，而北京亦莊機(jī)房的帶寬也就是7G，這造成了北京亦莊機(jī)房的間歇性癱瘓。此次攻擊事件應(yīng)該說是目前已知分布式拒絕服務(wù)攻擊（DDoS）事件中的流量最大的一次攻擊。

　　實(shí)際上這次攻擊事件只是DDoS眾多攻擊事件中的代表，冰山只露出了小小的一角�？v觀網(wǎng)絡(luò)安全，分布式拒絕服務(wù)攻擊（DDoS）攻擊是網(wǎng)絡(luò)安全最大的威脅，已經(jīng)對(duì)正常的網(wǎng)絡(luò)秩序造成嚴(yán)重影響。因此，了解DDoS的工作原理，制定必要的防范措施，成為保證網(wǎng)絡(luò)安全必要條件之一。

　　DDoS攻擊 高帶寬下的產(chǎn)物

　　分布式拒絕服務(wù)攻擊（DDoS）是目前黑客經(jīng)常采用而難以防范的攻擊手段。高速?gòu)V泛連接的網(wǎng)絡(luò)給大家?guī)�來了方便，也為DDoS攻擊創(chuàng)造了極為有利的條件。

　　在低速網(wǎng)絡(luò)時(shí)代時(shí)，黑客占領(lǐng)攻擊用的傀儡機(jī)時(shí)，總是會(huì)優(yōu)先考慮離目標(biāo)網(wǎng)絡(luò)距離近的機(jī)器，因?yàn)榻?jīng)過路由器的跳數(shù)少，效果好。而現(xiàn)在電信骨干節(jié)點(diǎn)之間的連接都是以G為級(jí)別的，大城市之間更可以達(dá)到2.5G的連接，這使得攻擊可以從更遠(yuǎn)的地方或者其他城市發(fā)起，攻擊者的傀儡機(jī)位置可以在分布在更大的范圍，選擇起來更靈活了。

　　DDoS攻擊手段是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。單一的DoS攻擊一般是采用一對(duì)一方式的，當(dāng)攻擊目標(biāo)CPU速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項(xiàng)性能指標(biāo)不高的情況下，它的攻擊效果是明顯的。

　　而隨著計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展，計(jì)算機(jī)的處理能力迅速增長(zhǎng)，內(nèi)存大大增加，同時(shí)也出現(xiàn)了千兆級(jí)別的網(wǎng)絡(luò)，這使得DoS攻擊的困難程度加大了??目標(biāo)對(duì)惡意攻擊包的“消化能力”加強(qiáng)了不少。例如你的攻擊軟件每秒鐘可以發(fā)送6,000個(gè)攻擊包，但我的主機(jī)與網(wǎng)絡(luò)帶寬每秒鐘可以處理20,000個(gè)攻擊包，這樣一來攻擊就不會(huì)產(chǎn)生什么效果。

圖一DDoS攻擊流程示意圖

　　DDoS的攻擊手法則不同。如圖一所示，攻擊者只需要在PC1進(jìn)行操作，通過PC2作為跳板，3號(hào)區(qū)域的所有計(jì)算機(jī)，全部向受害者發(fā)數(shù)據(jù)包，這就是利用PC1對(duì)PC4進(jìn)行DDoS攻擊的過程。為了逃避追查，黑客之不會(huì)直接通過PC2進(jìn)行操作，僅僅把PC2作為一個(gè)跳板，降低用戶規(guī)避DDoS攻擊的風(fēng)險(xiǎn)。

DDoS攻擊將損害大多數(shù)人的利益

　　被攻擊主機(jī)上有大量等待的TCP連接 ，網(wǎng)絡(luò)中充斥著大量的無用的數(shù)據(jù)包，制造出高流量無用數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，使受害主機(jī)無法正常和外界通訊。利用受害主機(jī)提供的服務(wù)或傳輸協(xié)議上的缺陷，反復(fù)高速的發(fā)出特定的服務(wù)請(qǐng)求，使受害主機(jī)無法及時(shí)處理所有正常請(qǐng)求 ，嚴(yán)重時(shí)會(huì)造成系統(tǒng)死機(jī)。

　　DDoS的表現(xiàn)形式主要有兩種，一種為流量攻擊，主要是針對(duì)網(wǎng)絡(luò)帶寬的攻擊，即大量攻擊包導(dǎo)致網(wǎng)絡(luò)帶寬被阻塞，合法網(wǎng)絡(luò)包被虛假的攻擊包淹沒而無法到達(dá)主機(jī)。如利用缺省報(bào)文形成數(shù)據(jù)等待隊(duì)列，導(dǎo)致遠(yuǎn)程目標(biāo)機(jī)處理大量的數(shù)據(jù)流量形成速慢,漸而崩潰 。另一種表現(xiàn)則是資源耗盡攻擊，這類攻擊主要是針對(duì)服務(wù)器主機(jī)的攻擊，即通過大量攻擊包導(dǎo)致主機(jī)的內(nèi)存被耗盡或CPU被內(nèi)核及應(yīng)用程序占完而造成無法提供網(wǎng)絡(luò)服務(wù)。

　　這種攻擊行為不只是影響到的企業(yè)，因?yàn)檫@類攻擊是耗用網(wǎng)絡(luò)有限資源的攻擊，甚至可以說這類攻擊將威脅到整個(gè)國(guó)家的根本利益，癱瘓我們的基礎(chǔ)設(shè)施。如果我們沒有手段進(jìn)行遏制的話，這種對(duì)基礎(chǔ)設(shè)施的攻擊帶來的損失就更加不可估量了，受害者不會(huì)僅僅是IDC、企業(yè)等，也會(huì)包括我們每一位個(gè)體。

　　監(jiān)測(cè)可主動(dòng)防御DDoS攻擊

　　采用DDoS方式進(jìn)行攻擊的攻擊者日益增多，我們只有及早發(fā)現(xiàn)自己受到攻擊才能避免遭受慘重的損失，檢測(cè)DDoS攻擊的主要方法有以下幾種：　　

　　1、根據(jù)異常情況分析 當(dāng)網(wǎng)絡(luò)的通訊量突然急劇增長(zhǎng)，超過平常的極限值時(shí)，你可一定要提高警惕，檢測(cè)此時(shí)的通訊；當(dāng)網(wǎng)站的某一特定服務(wù)總是失敗時(shí)，你也要多加注意；當(dāng)發(fā)現(xiàn)有特大型的ICP和UDP數(shù)據(jù)包通過或數(shù)據(jù)包內(nèi)容可疑時(shí)都要留神。總之，當(dāng)你的機(jī)器出現(xiàn)異常情況時(shí)，你最好分析這些情況，防患于未然。

　　2、使用DDoS檢測(cè)工具 當(dāng)攻擊者想使其攻擊陰謀得逞時(shí)，他首先要掃描系統(tǒng)漏洞，目前市面上的一些網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，可以杜絕攻擊者的掃描行為。另外，一些掃描器工具可以發(fā)現(xiàn)攻擊者植入系統(tǒng)的代理程序，并可以把它從系統(tǒng)中刪除。

由于DDoS攻擊具有隱蔽性，因此到目前為止我們還沒有發(fā)現(xiàn)對(duì)DDoS攻擊行之有效的解決方法。所以我們要加強(qiáng)安全防范意識(shí)，提高網(wǎng)絡(luò)系統(tǒng)的安全性。可采取的安全防御措施有以下幾種：　　

　　1、及早發(fā)現(xiàn)系統(tǒng)存在的攻擊漏洞，及時(shí)安裝系統(tǒng)補(bǔ)丁程序。對(duì)一些重要的信息（例如系統(tǒng)配置信息）建立和完善備份機(jī)制。對(duì)一些特權(quán)帳號(hào)（例如管理員帳號(hào)）的密碼設(shè)置要謹(jǐn)慎。通過這樣一系列的舉措可以把攻擊者的可乘之機(jī)降低到最小。　

　　2、在網(wǎng)絡(luò)管理方面，要經(jīng)常檢查系統(tǒng)的物理環(huán)境，禁止那些不必要的網(wǎng)絡(luò)服務(wù)。建立邊界安全界限，確保輸出的包受到正確限制。經(jīng)常檢測(cè)系統(tǒng)配置信息，并注意查看每天的安全日志�！　�

　　3、利用網(wǎng)絡(luò)安全設(shè)備（例如：防火墻）來加固網(wǎng)絡(luò)的安全性，配置好它們的安全規(guī)則，過濾掉所有的可能的偽造數(shù)據(jù)包�！�

　　4、比較好的防御措施就是和你的網(wǎng)絡(luò)服務(wù)提供商協(xié)調(diào)工作，讓他們幫助你實(shí)現(xiàn)路由的訪問控制和對(duì)帶寬總量的限制。　　

　　5、當(dāng)你發(fā)現(xiàn)自己正在遭受DDoS攻擊時(shí)，你應(yīng)當(dāng)啟動(dòng)您的應(yīng)付策略，從而阻擋從已知攻擊節(jié)點(diǎn)的流量。把偽地址通過IP策略過濾后，DDoS攻擊自然會(huì)消失。具體的IP策略防范DDoS攻擊步驟：

　　步驟一 在Web→高級(jí)配置→組管理中，建立一個(gè)工作組“all”（可以自定義名稱），包含整個(gè)網(wǎng)段的所有IP地址（192.168.1.1--192.168.1.254）。

　　步驟二 Web→高級(jí)配置→業(yè)務(wù)管理→業(yè)務(wù)策略配置中，建立策略“pemit”（可以自定義名稱），允許“all工作組”到所有目標(biāo)地址（0.0.0.1-255.255.255.255）的訪問，按照?qǐng)D二進(jìn)行配置并，保存配置退出。

圖二配制策略圖

　　步驟三 Web高級(jí)配置→業(yè)務(wù)管理→全局配置中，取消“允許其他用戶”的選中，選中“啟用業(yè)務(wù)管理”，保存。

　　6、當(dāng)你是潛在的DDoS攻擊受害者，你發(fā)現(xiàn)你的計(jì)算機(jī)被攻擊者用做主控端和代理端時(shí)，你不能因?yàn)槟愕南到y(tǒng)暫時(shí)沒有受到損害而掉以輕心，攻擊者已發(fā)現(xiàn)你系統(tǒng)的漏洞，這對(duì)你的系統(tǒng)是一個(gè)很大的威脅。所以一旦發(fā)現(xiàn)系統(tǒng)中存在DDoS攻擊的工具軟件要及時(shí)把它清除，以免留下后患。

　　總之，被動(dòng)防御不是最終的解決辦法，必須各界聯(lián)手進(jìn)行主動(dòng)防御，不僅要過濾攻擊的流量，還要反溯誰在攻擊，有技術(shù)的用戶要實(shí)使反偵察攻擊，以其技還彼其身。

標(biāo)簽： ddos idc 安全 防火墻 防御ddos 服務(wù)器 機(jī)房 漏洞 企業(yè) 數(shù)據(jù)中心機(jī)房 網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全設(shè)備 網(wǎng)站 選擇 用戶

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。