當(dāng)前位置:工程項(xiàng)目OA系統(tǒng) > 泛普各地 > 江西OA系統(tǒng) > 南昌OA系統(tǒng) > 南昌OA行業(yè)資訊
DDoS攻擊如何對你說“不”
2009年7月的一個(gè)下午,在“綠色網(wǎng)吧”門口,有大批的游戲玩家罵罵咧咧地從網(wǎng)吧走出來,網(wǎng)管隨即在門口掛出了“停止?fàn)I業(yè)”的牌子?!坝质沁@樣,玩著玩著突然掉線,重新登錄服務(wù)器完全沒反應(yīng)。一個(gè)月內(nèi)這樣的情況已經(jīng)發(fā)生第三次了,解決不了就別做了,關(guān)門得了?!币粋€(gè)剛從網(wǎng)吧走出來的男生嘴里絮叨著,他把手里的煙順手丟在了地上,狠狠地踩了兩腳。
“沒辦法啊,我們已經(jīng)裝了防火墻,也做了專門的網(wǎng)絡(luò)維護(hù),該做的我們都盡可能做了,黑客的攻擊防不勝防,我們對這些攻擊真是束手無策了?!本W(wǎng)吧老板顯得很無奈。
其實(shí),“綠色網(wǎng)吧”是遭受到了一輪DDoS攻擊,網(wǎng)速變得極慢,玩家根本無法正常上網(wǎng)。雖然最后并沒能查到究竟是誰組織的這次攻擊,但網(wǎng)吧老板懷疑是相距不遠(yuǎn)的另一家網(wǎng)吧采取的一種惡性競爭手段。
“低投高收”的“洪水式攻擊”
最近幾年,隨著互聯(lián)網(wǎng)的快速發(fā)展,上網(wǎng)人群日益增多,DDoS攻擊似乎又開始呈現(xiàn)出大規(guī)模爆發(fā)的趨勢。東軟網(wǎng)絡(luò)安全產(chǎn)品營銷中心產(chǎn)品經(jīng)理姚偉棟給出了這樣一組數(shù)據(jù):在2006年,國內(nèi)DDoS攻擊峰值流量只有2.5Gps,2007年達(dá)到了24Gps,2008年則達(dá)到了40Gps,每年在以兩倍以上的速度增長?!皣鴥?nèi)一個(gè)省級電信運(yùn)營商的出口帶寬是100Gps,DDoS攻擊流量占據(jù)了整體流量的40%,這相當(dāng)驚人?!彼f。2009年8月,Twitter、Facebook和YouTube賬戶也遭到阻斷服務(wù)攻擊。有報(bào)告指出,目前數(shù)百萬企業(yè)應(yīng)用正面臨DDoS攻擊的威脅。
那么,發(fā)動DDoS攻擊的人究竟是什么目的?他們是如何發(fā)動的?真的如某些人所說,DDoS攻擊是互聯(lián)網(wǎng)上的頑疾,很難防御嗎?為了弄清楚這些問題,記者走訪了幾家業(yè)內(nèi)知名的信息安全廠商。
“發(fā)起DDoS攻擊,大多數(shù)是為了惡性競爭。比如,網(wǎng)吧為了爭奪顧客資源,有時(shí)會采取一些惡意攻擊方法,造成被攻擊網(wǎng)吧網(wǎng)絡(luò)癱瘓而無法正常運(yùn)營,并對網(wǎng)吧經(jīng)營主造成直接經(jīng)濟(jì)損失?!?北京神州綠盟科技有限公司產(chǎn)品市場經(jīng)理崔云鵬告訴記者。“最開始是黑客對某個(gè)企業(yè)發(fā)動攻擊,然后進(jìn)行敲詐勒索; 后來演變成了某些企業(yè)花錢聘用這些黑客向另一個(gè)競爭對手發(fā)起攻擊,竊取商業(yè)機(jī)密或是使得對方網(wǎng)絡(luò)癱瘓無法正常工作。”
記者了解到,黑客們發(fā)動DDoS攻擊時(shí)需要找很多的“肉雞”組成一個(gè)僵尸網(wǎng)絡(luò),通過操縱僵尸網(wǎng)絡(luò),讓所有的“肉雞”一起向目標(biāo)發(fā)起攻擊,并向受害主機(jī)發(fā)送大量看似合法的網(wǎng)絡(luò)包,從而造成網(wǎng)絡(luò)阻塞或服務(wù)器資源耗盡而導(dǎo)致拒絕服務(wù),分布式拒絕服務(wù)攻擊一旦被實(shí)施,攻擊網(wǎng)絡(luò)包就會猶如洪水般涌向受害主機(jī),從而把合法用戶的網(wǎng)絡(luò)包淹沒,導(dǎo)致合法用戶無法正常訪問服務(wù)器的網(wǎng)絡(luò)資源。因此,拒絕服務(wù)攻擊又被稱之為“洪水式攻擊”。
姚偉棟認(rèn)為,除了商業(yè)惡意競爭催生DDoS攻擊的快速發(fā)展外,另一個(gè)刺激因素是攻擊的成本越來越低,而收益卻越來越高。以每臺“肉雞”貢獻(xiàn)1Mps流量計(jì)算,1000臺“肉雞”就可以達(dá)到1Gps,一次流量1Gps、時(shí)間一小時(shí)的攻擊目前圈內(nèi)可以接受的最低行內(nèi)價(jià)只需要2000元到3000元,實(shí)際攻擊成本比這個(gè)市價(jià)要低得多,只有一些高級攻擊費(fèi)用相對高些,但與收益比起來還是顯得微不足道。
“比如,在網(wǎng)絡(luò)上,買一個(gè)‘肉雞’只需要0.8元人民幣,一個(gè)1萬臺‘肉雞’組成的僵尸網(wǎng)絡(luò),只需要8000元錢,形成的DDoS攻擊流量可達(dá)10Gps,而據(jù)此獲得的商業(yè)收益,卻可能達(dá)到上億元?!?姚偉棟介紹說。據(jù)了解,現(xiàn)在有些黑客利用漏洞入侵大型知名游戲網(wǎng)絡(luò)來刷數(shù)據(jù)庫、盜刷賬號等級和道具,一次便可獲利上百萬元。
防御追查困難重重
DDoS攻擊發(fā)動起來簡單,預(yù)防起來卻是非常困難,這也是DDoS攻擊被稱為互聯(lián)網(wǎng)“腫瘤”的一個(gè)重要原因。
到目前為止,對DDoS攻擊的防御還是非常困難的?!白钪匾脑蚴牵@種攻擊的特點(diǎn)是利用了TCP/IP協(xié)議的漏洞,除非你不用TCP/IP協(xié)議,才有可能完全抵御住DDoS攻擊?!卑不罩行萝浖邢薰酒髽I(yè)發(fā)展部總監(jiān)徐航解釋了DDoS攻擊的防御難題。
“黑客們很巧妙地利用了TCP協(xié)議的三次握手,DDoS攻擊讓TCP三次握手中的第三步不能完成,也就是說,不發(fā)送確認(rèn)連接信息給服務(wù)器?!?姚偉棟說。這樣,服務(wù)器就無法完成第三次握手,但服務(wù)器不會立即放棄,而是會不停地重試并等待一定時(shí)間后才放棄這個(gè)未完成的連接,這段時(shí)間一般會持續(xù)大約30秒到兩分鐘。如果一個(gè)用戶在連接時(shí)出現(xiàn)問題導(dǎo)致服務(wù)器的一個(gè)線程等待一兩分鐘并不是什么大不了的問題,但是如果有人用特殊的軟件大量模擬這種情況,那后果就可想而知了。如果服務(wù)器一直在處理這些大量的半連接信息而消耗了大量的系統(tǒng)資源和網(wǎng)絡(luò)帶寬,其就不可能再有空去處理普通用戶的正常請求了,這時(shí)服務(wù)器也就無法正常工作了。
一般來說,常見的防火墻、入侵檢測設(shè)備、路由器等網(wǎng)絡(luò)設(shè)備,對于DDoS攻擊雖然有一定的防范作用,但一旦遭遇到有組織的大規(guī)模攻擊,往往都無能為力。而且由于在設(shè)計(jì)上的缺陷,在面臨大量攻擊的情況下,這些設(shè)備反而很容易最先癱瘓。至于退讓策略或是系統(tǒng)優(yōu)化等方法也只能應(yīng)付小規(guī)模DDoS攻擊,對大規(guī)模DDoS攻擊還是無法提供有效防護(hù)。
此外,黑客雖然也知道發(fā)動DDoS攻擊是犯法行為,但因?yàn)樽凡榈睦щy性,讓黑客們來勢洶洶。崔云鵬介紹,在網(wǎng)站遭受襲擊過后,通過網(wǎng)絡(luò)溯源查找幕后黑手是一大難題。通常,黑客們會建立很多個(gè)僵尸網(wǎng)絡(luò),很可能在國內(nèi)有幾個(gè),在國外有幾個(gè),這是一種跳躍式的分布,一下子從國內(nèi)跳到國外,然后又再跳回來。即使一層一層查下去,想要查到最上一層的僵尸主機(jī)也很難。此外,黑客還會把一個(gè)個(gè)龐大的“肉雞”系統(tǒng)分割成很多部分,就算你查到了一個(gè)部分,他們也可以很簡單地舍棄掉這部分,其他的部分仍然可以繼續(xù)工作。如此查找,即使最終能查到幕后黑手,但需要花費(fèi)巨額的人力和財(cái)力成本,只有關(guān)系到國家重大聲譽(yù)或經(jīng)濟(jì)損失時(shí)才可能徹底追查,一般情況也就不了了之了。
廠商方案各有不同
目前,業(yè)界普遍認(rèn)為,對于DDoS攻擊并沒有100%有效的防御手段。但是,由于攻擊者必須付出比防御者大得多的資源和努力才能擁有這樣的“動力”,所以積極部署防御措施,還是能夠在很大程度上緩解和抵御這類安全威脅的。那么,到底可以采取哪些技術(shù)措施進(jìn)行防范呢?目前,東軟、華為賽門鐵克、思科、綠盟、中新軟件等公司都推出了不同特色的解決方案。
東軟提出了通過流量變化來檢測是否受到DDoS攻擊的方法。據(jù)姚偉棟介紹,東軟的反DDoS攻擊方法與其他廠商的方案有所不同,一般廠商是通過特征碼來判斷是否受到DDoS攻擊,而東軟則是通過流量異常來判斷是否受到DDoS攻擊。這兩者之間最大的差別是: 前者只能判斷已知的DDoS攻擊,如果攻擊庫里沒有則無法判斷; 而后者可以判斷并抵御未知的DDoS攻擊。
對已經(jīng)檢測到的DDoS攻擊,東軟采取的處理方法是設(shè)定保護(hù)線和限制線:當(dāng)設(shè)備判斷當(dāng)前流量異常有DDoS攻擊發(fā)生時(shí),納入流量分析,進(jìn)入保護(hù)線; 當(dāng)流量到達(dá)一定程度并觸發(fā)限制線時(shí),將采取強(qiáng)制措施進(jìn)行流量限制?!皷|軟的反DDoS攻擊方案主要是針對電信運(yùn)營商級的DDoS攻擊,因?yàn)殡娦胚\(yùn)營商容易成為黑客攻擊的目標(biāo),而且遭受了DDoS攻擊后影響會非常大。”姚偉棟介紹說,“而中小企業(yè)的反DDoS攻擊,用防火墻、IPS、UTM就能完成?!?/P>
華為賽門鐵克安全解決方案部部長武鵬介紹了華賽的反DDoS攻擊解決方法,華賽提出了異常流量監(jiān)管解決方案ATIC,其中心思想是: 檢測中心發(fā)現(xiàn)流量異常后通告管理中心,管理中心控制清洗中心引流,由清洗中心精確區(qū)分異常流量和正常流量,丟棄異常流量并回注正常流量。其中,管理中心用于集中策略管理和報(bào)表呈現(xiàn),并對攻擊流量進(jìn)行動態(tài)控制,以消除對網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)性能的影響。
據(jù)了解,華賽的Anti-DDoS設(shè)備,是一個(gè)分層部署、逐層防護(hù)的全網(wǎng)異常流量清洗解決方案,該設(shè)備采用“NP+多核+分布式”架構(gòu),每塊單板能清洗10G DDoS攻擊流量。部署在骨干網(wǎng)的清洗方案專注于帶寬型DDoS攻擊流量的清洗; 接入側(cè)清洗方案則專注小流量及應(yīng)用型攻擊,以實(shí)現(xiàn)基于業(yè)務(wù)和帶寬資源的縱深防御?!斑@樣一來,不僅可以防御DDoS攻擊,非法訪問、安全傳輸和系統(tǒng)安全等問題都能得到解決?!蔽澌i強(qiáng)調(diào),華賽的解決方案是一個(gè)多方案保障網(wǎng)絡(luò)安全的解決辦法。
而綠盟公司則認(rèn)為,目前該公司已經(jīng)基本解決了DDoS攻擊的問題。崔云鵬介紹,反DDoS攻擊的最大難點(diǎn)是對DDoS攻擊的識別和流量清洗,因?yàn)镈DoS攻擊的訪問很多看起來都是正常的報(bào)文。因此,綠盟的產(chǎn)品針對這些難點(diǎn),自主研發(fā)了對拒絕服務(wù)攻擊進(jìn)行識別的獨(dú)特算法,能對SYN Flood、UDP Flood、UDP DNS Query Flood、(M)Stream Flood、ICMP Flood、HTTP Get Flood以及連接耗盡這些常見的攻擊行為進(jìn)行有效識別,并通過集成的機(jī)制實(shí)時(shí)對這些攻擊流量進(jìn)行阻斷?!拔覀兊姆桨妇褪前袲DoS攻擊攔截在門外,使其無法攻入服務(wù)器內(nèi)部,并對正常和異常的訪問進(jìn)行篩選,在防范惡意攻擊的同時(shí)還可以保證用戶的正常訪問。”崔云鵬總結(jié)了綠盟反DDoS攻擊解決方案的原理。
中新軟件主要是針對小型用戶遇到的DDoS攻擊推出了解決方案,采取的方法是: 對于TCP協(xié)議報(bào)文,通過連接跟蹤模塊來防護(hù)攻擊; 而對于UDP及ICMP協(xié)議報(bào)文,主要采用流量控制模塊來防護(hù)攻擊。針對進(jìn)出的所有連接均進(jìn)行連接跟蹤,并在跟蹤的同時(shí)進(jìn)行防護(hù),以化解針對TCP協(xié)議的各種攻擊。同時(shí),針對不同的端口應(yīng)用,中新還提供不同的防護(hù)手段,這使得運(yùn)行在同一服務(wù)器上的不同服務(wù),都可以獲得完善的攻擊防護(hù)。“這樣可以對攻擊進(jìn)行有效的檢測,針對不同的流量觸發(fā)不同的保護(hù)機(jī)制,這在提高效率的同時(shí)還確保了準(zhǔn)確度?!毙旌浇榻B說。
部署方式是關(guān)鍵
僅僅有了反DDoS攻擊產(chǎn)品,還并不能完全保證網(wǎng)絡(luò)或應(yīng)用不受DDoS攻擊,這些設(shè)備在網(wǎng)絡(luò)中的部署方法也非常重要,并且將直接決定應(yīng)用的效果。
姚偉棟認(rèn)為,設(shè)備部署在不同層次對反DDoS攻擊的效果是不一樣的,他建議,應(yīng)該將設(shè)備部署在越外圍越好?!氨热纾瑢κ屑夁\(yùn)營商網(wǎng)絡(luò),最好在省級出口部署反DDoS攻擊設(shè)備; 對于跨地區(qū)的大型企業(yè)網(wǎng)絡(luò),最好在每個(gè)互聯(lián)網(wǎng)出口處都部署反DDoS設(shè)備,再加上網(wǎng)絡(luò)管理雙管齊下,就可以降低受攻擊的可能性?!币澅硎?,“而對于中小企業(yè)來說,目前它們還沒有引起黑客的注意,針對這種情況,用合適的防火墻、IPS、UTM設(shè)備就可以了?!?/P>
“即使都是運(yùn)營商網(wǎng)絡(luò)反DDoS攻擊,由于運(yùn)營商為企業(yè)提供的帶寬服務(wù)類型不同,其對DDoS攻擊產(chǎn)品的部署方案和部署模式也不一樣。”武鵬認(rèn)為。比如,針對運(yùn)營商要保護(hù)帶寬資源、緩解城域網(wǎng)出口壓力、清洗帶寬型DDoS攻擊的情況,建議部署骨干網(wǎng)方案: netflow檢測中心+清洗中心+管理中心的動態(tài)引流清洗方案; 而針對運(yùn)營商為企業(yè)提供安全寬帶運(yùn)營增值服務(wù)的情況,建議采用DPI檢測中心+清洗中心+管理中心的動態(tài)引流清洗方案,這時(shí)還特別要注意在靠近企業(yè)端部署設(shè)備,以確保網(wǎng)絡(luò)流量異常時(shí)得到實(shí)時(shí)清洗。
崔云鵬則指出,針對不同類型的客戶,綠盟提供了不同的部署方案。對于大型運(yùn)營商來說,可以采用系統(tǒng)支持旁路的部署方式對DDoS攻擊流量進(jìn)行牽引,同時(shí)通過部署若干臺黑洞設(shè)備形成集群,這就增強(qiáng)了系統(tǒng)抵御巨大規(guī)模DDoS攻擊的能力,保證了正常流量的順暢通過; 而對于小型企業(yè)來說,則可以采用嵌入式部署方案,在遇到流量異常的時(shí)候直接阻斷攻擊,并及時(shí)保障企業(yè)網(wǎng)絡(luò)的安全。
中新的相關(guān)負(fù)責(zé)人在談到中小型企業(yè)反DDoS攻擊時(shí)提到,如果是在缺少專用設(shè)備的情況下,通過設(shè)置并優(yōu)化操作系統(tǒng)參數(shù),也是能夠提高系統(tǒng)本身對DDoS攻擊的抵御能力的。如果可以更換IP、更換域名或是通過購買負(fù)載均衡設(shè)備找到攻擊源頭,并從源頭處解決攻擊是最好的辦法。但是,當(dāng)前攻擊普遍采用的是偽造源地址,并且有大量的傀儡機(jī)存在,使得這種方法變得并不可行。因此,中新認(rèn)為,對于中小型企業(yè)來說,做好自身的網(wǎng)絡(luò)維護(hù)和系統(tǒng)清理是最重要的。
雖然安全廠商們推出了各種各樣防范DDoS攻擊的設(shè)備和解決方案,也提出了部署實(shí)施的關(guān)鍵措施,但要100%防范DDoS攻擊,似乎有很大的難度,還需要廠商在技術(shù)上進(jìn)一步探索,并需要用戶加強(qiáng)對網(wǎng)絡(luò)的檢測和管理,同時(shí)更需要政府和公安部門的大力支持,以打擊這一“網(wǎng)絡(luò)黑社會”團(tuán)體??偟膩碚f,DDoS攻擊由于其攻擊的突然性以及數(shù)據(jù)流的無限膨脹,防范的確是一大難題,盡管安全廠商提出了相對完善的解決方案,但實(shí)際效果還有待市場考驗(yàn)。
- 1SaaS部署有個(gè)性 不能像吃大鍋飯
- 2云計(jì)算能否完全取代存儲網(wǎng)絡(luò)?
- 3移動OA辦公軟件開發(fā)平臺的先進(jìn)性在哪里?
- 4動態(tài)分配虛擬存儲空間
- 5讓虛擬化管理你看不見的錢
- 6統(tǒng)一通信將向SaaS模式轉(zhuǎn)型
- 7自動精簡配置大幅提升SAN效率
- 8相輔相成SOA能否讓OA起飛?
- 9從傳統(tǒng)歸檔到云存儲歸檔的演變
- 10IT史記:運(yùn)維管理的由來
- 11金融行業(yè)OA軟件走在創(chuàng)新金融的路上
- 12為托管CRM數(shù)據(jù)加固防線
- 13OA系統(tǒng)幫助中小企業(yè)推進(jìn)辦公自動化、管理信息化
- 14企業(yè)固態(tài)硬盤 誰的最愛?
- 15存儲三大挑戰(zhàn):性能、備份與容量管理
- 16改善磁帶存儲性能的五種方法
- 17解讀企業(yè)虛擬化設(shè)備及安全問題
- 18在傳統(tǒng)中革新 物聯(lián)網(wǎng)探索移動交流
- 19物聯(lián)網(wǎng)三大應(yīng)用架構(gòu)
- 20UPS電源效能最大化十大必殺技
- 21測試IP攝像機(jī)的標(biāo)準(zhǔn)和方法探討
- 22泛普ThinkOne集群安裝手冊
- 23物聯(lián)網(wǎng)應(yīng)用尋求“支撐面”
- 24如何利用虛擬局域網(wǎng)簡化服務(wù)器部署
- 25新一代SAS技術(shù)浮出水面
- 26虛擬服務(wù)器環(huán)境下 用iSCSI還是FC?
- 27"移勱辦公"已經(jīng)成為企業(yè)管理者癿主流辦公方式之一
- 28詳細(xì)解析FCoE協(xié)議
- 29拒絕騙局 消除云計(jì)算的9個(gè)誤區(qū)
- 30選購服務(wù)器必須了解的十大術(shù)語解釋
成都公司:成都市成華區(qū)建設(shè)南路160號1層9號
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓