DDoS攻擊如何對你說“不”

申請免費(fèi)試用、咨詢電話：400-8352-114

2009年7月的一個(gè)下午，在“綠色網(wǎng)吧”門口，有大批的游戲玩家罵罵咧咧地從網(wǎng)吧走出來，網(wǎng)管隨即在門口掛出了“停止?fàn)I業(yè)”的牌子?！坝质沁@樣，玩著玩著突然掉線，重新登錄服務(wù)器完全沒反應(yīng)。一個(gè)月內(nèi)這樣的情況已經(jīng)發(fā)生第三次了，解決不了就別做了，關(guān)門得了?！币粋€(gè)剛從網(wǎng)吧走出來的男生嘴里絮叨著，他把手里的煙順手丟在了地上，狠狠地踩了兩腳。

“沒辦法啊，我們已經(jīng)裝了防火墻，也做了專門的網(wǎng)絡(luò)維護(hù)，該做的我們都盡可能做了，黑客的攻擊防不勝防，我們對這些攻擊真是束手無策了?！本W(wǎng)吧老板顯得很無奈。

其實(shí)，“綠色網(wǎng)吧”是遭受到了一輪DDoS攻擊，網(wǎng)速變得極慢，玩家根本無法正常上網(wǎng)。雖然最后并沒能查到究竟是誰組織的這次攻擊，但網(wǎng)吧老板懷疑是相距不遠(yuǎn)的另一家網(wǎng)吧采取的一種惡性競爭手段。

“低投高收”的“洪水式攻擊”

最近幾年，隨著互聯(lián)網(wǎng)的快速發(fā)展，上網(wǎng)人群日益增多，DDoS攻擊似乎又開始呈現(xiàn)出大規(guī)模爆發(fā)的趨勢。東軟網(wǎng)絡(luò)安全產(chǎn)品營銷中心產(chǎn)品經(jīng)理姚偉棟給出了這樣一組數(shù)據(jù):在2006年，國內(nèi)DDoS攻擊峰值流量只有2.5Gps，2007年達(dá)到了24Gps，2008年則達(dá)到了40Gps，每年在以兩倍以上的速度增長?！皣鴥?nèi)一個(gè)省級電信運(yùn)營商的出口帶寬是100Gps，DDoS攻擊流量占據(jù)了整體流量的40%，這相當(dāng)驚人?！彼f。2009年8月，Twitter、Facebook和YouTube賬戶也遭到阻斷服務(wù)攻擊。有報(bào)告指出，目前數(shù)百萬企業(yè)應(yīng)用正面臨DDoS攻擊的威脅。

那么，發(fā)動DDoS攻擊的人究竟是什么目的？他們是如何發(fā)動的？真的如某些人所說，DDoS攻擊是互聯(lián)網(wǎng)上的頑疾，很難防御嗎？為了弄清楚這些問題，記者走訪了幾家業(yè)內(nèi)知名的信息安全廠商。

“發(fā)起DDoS攻擊，大多數(shù)是為了惡性競爭。比如，網(wǎng)吧為了爭奪顧客資源，有時(shí)會采取一些惡意攻擊方法，造成被攻擊網(wǎng)吧網(wǎng)絡(luò)癱瘓而無法正常運(yùn)營，并對網(wǎng)吧經(jīng)營主造成直接經(jīng)濟(jì)損失?！?北京神州綠盟科技有限公司產(chǎn)品市場經(jīng)理崔云鵬告訴記者。“最開始是黑客對某個(gè)企業(yè)發(fā)動攻擊，然后進(jìn)行敲詐勒索; 后來演變成了某些企業(yè)花錢聘用這些黑客向另一個(gè)競爭對手發(fā)起攻擊，竊取商業(yè)機(jī)密或是使得對方網(wǎng)絡(luò)癱瘓無法正常工作。”

記者了解到，黑客們發(fā)動DDoS攻擊時(shí)需要找很多的“肉雞”組成一個(gè)僵尸網(wǎng)絡(luò)，通過操縱僵尸網(wǎng)絡(luò)，讓所有的“肉雞”一起向目標(biāo)發(fā)起攻擊，并向受害主機(jī)發(fā)送大量看似合法的網(wǎng)絡(luò)包，從而造成網(wǎng)絡(luò)阻塞或服務(wù)器資源耗盡而導(dǎo)致拒絕服務(wù)，分布式拒絕服務(wù)攻擊一旦被實(shí)施，攻擊網(wǎng)絡(luò)包就會猶如洪水般涌向受害主機(jī)，從而把合法用戶的網(wǎng)絡(luò)包淹沒，導(dǎo)致合法用戶無法正常訪問服務(wù)器的網(wǎng)絡(luò)資源。因此，拒絕服務(wù)攻擊又被稱之為“洪水式攻擊”。

姚偉棟認(rèn)為，除了商業(yè)惡意競爭催生DDoS攻擊的快速發(fā)展外，另一個(gè)刺激因素是攻擊的成本越來越低，而收益卻越來越高。以每臺“肉雞”貢獻(xiàn)1Mps流量計(jì)算，1000臺“肉雞”就可以達(dá)到1Gps，一次流量1Gps、時(shí)間一小時(shí)的攻擊目前圈內(nèi)可以接受的最低行內(nèi)價(jià)只需要2000元到3000元，實(shí)際攻擊成本比這個(gè)市價(jià)要低得多，只有一些高級攻擊費(fèi)用相對高些，但與收益比起來還是顯得微不足道。

“比如，在網(wǎng)絡(luò)上，買一個(gè)‘肉雞’只需要0.8元人民幣，一個(gè)1萬臺‘肉雞’組成的僵尸網(wǎng)絡(luò)，只需要8000元錢，形成的DDoS攻擊流量可達(dá)10Gps，而據(jù)此獲得的商業(yè)收益，卻可能達(dá)到上億元?！?姚偉棟介紹說。據(jù)了解，現(xiàn)在有些黑客利用漏洞入侵大型知名游戲網(wǎng)絡(luò)來刷數(shù)據(jù)庫、盜刷賬號等級和道具，一次便可獲利上百萬元。

防御追查困難重重

DDoS攻擊發(fā)動起來簡單，預(yù)防起來卻是非常困難，這也是DDoS攻擊被稱為互聯(lián)網(wǎng)“腫瘤”的一個(gè)重要原因。

到目前為止，對DDoS攻擊的防御還是非常困難的?！白钪匾脑蚴牵@種攻擊的特點(diǎn)是利用了TCP/IP協(xié)議的漏洞，除非你不用TCP/IP協(xié)議，才有可能完全抵御住DDoS攻擊?！卑不罩行萝浖邢薰酒髽I(yè)發(fā)展部總監(jiān)徐航解釋了DDoS攻擊的防御難題。

“黑客們很巧妙地利用了TCP協(xié)議的三次握手，DDoS攻擊讓TCP三次握手中的第三步不能完成，也就是說，不發(fā)送確認(rèn)連接信息給服務(wù)器?！?姚偉棟說。這樣，服務(wù)器就無法完成第三次握手，但服務(wù)器不會立即放棄，而是會不停地重試并等待一定時(shí)間后才放棄這個(gè)未完成的連接，這段時(shí)間一般會持續(xù)大約30秒到兩分鐘。如果一個(gè)用戶在連接時(shí)出現(xiàn)問題導(dǎo)致服務(wù)器的一個(gè)線程等待一兩分鐘并不是什么大不了的問題，但是如果有人用特殊的軟件大量模擬這種情況，那后果就可想而知了。如果服務(wù)器一直在處理這些大量的半連接信息而消耗了大量的系統(tǒng)資源和網(wǎng)絡(luò)帶寬，其就不可能再有空去處理普通用戶的正常請求了，這時(shí)服務(wù)器也就無法正常工作了。

一般來說，常見的防火墻、入侵檢測設(shè)備、路由器等網(wǎng)絡(luò)設(shè)備，對于DDoS攻擊雖然有一定的防范作用，但一旦遭遇到有組織的大規(guī)模攻擊，往往都無能為力。而且由于在設(shè)計(jì)上的缺陷，在面臨大量攻擊的情況下，這些設(shè)備反而很容易最先癱瘓。至于退讓策略或是系統(tǒng)優(yōu)化等方法也只能應(yīng)付小規(guī)模DDoS攻擊，對大規(guī)模DDoS攻擊還是無法提供有效防護(hù)。

此外，黑客雖然也知道發(fā)動DDoS攻擊是犯法行為，但因?yàn)樽凡榈睦щy性，讓黑客們來勢洶洶。崔云鵬介紹，在網(wǎng)站遭受襲擊過后，通過網(wǎng)絡(luò)溯源查找幕后黑手是一大難題。通常，黑客們會建立很多個(gè)僵尸網(wǎng)絡(luò)，很可能在國內(nèi)有幾個(gè)，在國外有幾個(gè)，這是一種跳躍式的分布，一下子從國內(nèi)跳到國外，然后又再跳回來。即使一層一層查下去，想要查到最上一層的僵尸主機(jī)也很難。此外，黑客還會把一個(gè)個(gè)龐大的“肉雞”系統(tǒng)分割成很多部分，就算你查到了一個(gè)部分，他們也可以很簡單地舍棄掉這部分，其他的部分仍然可以繼續(xù)工作。如此查找，即使最終能查到幕后黑手，但需要花費(fèi)巨額的人力和財(cái)力成本，只有關(guān)系到國家重大聲譽(yù)或經(jīng)濟(jì)損失時(shí)才可能徹底追查，一般情況也就不了了之了。

廠商方案各有不同

目前，業(yè)界普遍認(rèn)為，對于DDoS攻擊并沒有100%有效的防御手段。但是，由于攻擊者必須付出比防御者大得多的資源和努力才能擁有這樣的“動力”，所以積極部署防御措施，還是能夠在很大程度上緩解和抵御這類安全威脅的。那么，到底可以采取哪些技術(shù)措施進(jìn)行防范呢？目前，東軟、華為賽門鐵克、思科、綠盟、中新軟件等公司都推出了不同特色的解決方案。

東軟提出了通過流量變化來檢測是否受到DDoS攻擊的方法。據(jù)姚偉棟介紹，東軟的反DDoS攻擊方法與其他廠商的方案有所不同，一般廠商是通過特征碼來判斷是否受到DDoS攻擊，而東軟則是通過流量異常來判斷是否受到DDoS攻擊。這兩者之間最大的差別是: 前者只能判斷已知的DDoS攻擊，如果攻擊庫里沒有則無法判斷; 而后者可以判斷并抵御未知的DDoS攻擊。

對已經(jīng)檢測到的DDoS攻擊，東軟采取的處理方法是設(shè)定保護(hù)線和限制線：當(dāng)設(shè)備判斷當(dāng)前流量異常有DDoS攻擊發(fā)生時(shí)，納入流量分析，進(jìn)入保護(hù)線; 當(dāng)流量到達(dá)一定程度并觸發(fā)限制線時(shí)，將采取強(qiáng)制措施進(jìn)行流量限制?！皷|軟的反DDoS攻擊方案主要是針對電信運(yùn)營商級的DDoS攻擊，因?yàn)殡娦胚\(yùn)營商容易成為黑客攻擊的目標(biāo)，而且遭受了DDoS攻擊后影響會非常大。”姚偉棟介紹說，“而中小企業(yè)的反DDoS攻擊，用防火墻、IPS、UTM就能完成?！?/P>

華為賽門鐵克安全解決方案部部長武鵬介紹了華賽的反DDoS攻擊解決方法，華賽提出了異常流量監(jiān)管解決方案ATIC，其中心思想是: 檢測中心發(fā)現(xiàn)流量異常后通告管理中心，管理中心控制清洗中心引流，由清洗中心精確區(qū)分異常流量和正常流量，丟棄異常流量并回注正常流量。其中，管理中心用于集中策略管理和報(bào)表呈現(xiàn)，并對攻擊流量進(jìn)行動態(tài)控制，以消除對網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)性能的影響。

據(jù)了解，華賽的Anti-DDoS設(shè)備，是一個(gè)分層部署、逐層防護(hù)的全網(wǎng)異常流量清洗解決方案，該設(shè)備采用“NP＋多核＋分布式”架構(gòu)，每塊單板能清洗10G DDoS攻擊流量。部署在骨干網(wǎng)的清洗方案專注于帶寬型DDoS攻擊流量的清洗; 接入側(cè)清洗方案則專注小流量及應(yīng)用型攻擊，以實(shí)現(xiàn)基于業(yè)務(wù)和帶寬資源的縱深防御?！斑@樣一來，不僅可以防御DDoS攻擊，非法訪問、安全傳輸和系統(tǒng)安全等問題都能得到解決?！蔽澌i強(qiáng)調(diào)，華賽的解決方案是一個(gè)多方案保障網(wǎng)絡(luò)安全的解決辦法。

而綠盟公司則認(rèn)為，目前該公司已經(jīng)基本解決了DDoS攻擊的問題。崔云鵬介紹，反DDoS攻擊的最大難點(diǎn)是對DDoS攻擊的識別和流量清洗，因?yàn)镈DoS攻擊的訪問很多看起來都是正常的報(bào)文。因此，綠盟的產(chǎn)品針對這些難點(diǎn)，自主研發(fā)了對拒絕服務(wù)攻擊進(jìn)行識別的獨(dú)特算法，能對SYN Flood、UDP Flood、UDP DNS Query Flood、(M)Stream Flood、ICMP Flood、HTTP Get Flood以及連接耗盡這些常見的攻擊行為進(jìn)行有效識別，并通過集成的機(jī)制實(shí)時(shí)對這些攻擊流量進(jìn)行阻斷?！拔覀兊姆桨妇褪前袲DoS攻擊攔截在門外，使其無法攻入服務(wù)器內(nèi)部，并對正常和異常的訪問進(jìn)行篩選，在防范惡意攻擊的同時(shí)還可以保證用戶的正常訪問。”崔云鵬總結(jié)了綠盟反DDoS攻擊解決方案的原理。

中新軟件主要是針對小型用戶遇到的DDoS攻擊推出了解決方案，采取的方法是: 對于TCP協(xié)議報(bào)文，通過連接跟蹤模塊來防護(hù)攻擊; 而對于UDP及ICMP協(xié)議報(bào)文，主要采用流量控制模塊來防護(hù)攻擊。針對進(jìn)出的所有連接均進(jìn)行連接跟蹤，并在跟蹤的同時(shí)進(jìn)行防護(hù)，以化解針對TCP協(xié)議的各種攻擊。同時(shí)，針對不同的端口應(yīng)用，中新還提供不同的防護(hù)手段，這使得運(yùn)行在同一服務(wù)器上的不同服務(wù)，都可以獲得完善的攻擊防護(hù)。“這樣可以對攻擊進(jìn)行有效的檢測，針對不同的流量觸發(fā)不同的保護(hù)機(jī)制，這在提高效率的同時(shí)還確保了準(zhǔn)確度?！毙旌浇榻B說。

部署方式是關(guān)鍵

僅僅有了反DDoS攻擊產(chǎn)品，還并不能完全保證網(wǎng)絡(luò)或應(yīng)用不受DDoS攻擊，這些設(shè)備在網(wǎng)絡(luò)中的部署方法也非常重要，并且將直接決定應(yīng)用的效果。

姚偉棟認(rèn)為，設(shè)備部署在不同層次對反DDoS攻擊的效果是不一樣的，他建議，應(yīng)該將設(shè)備部署在越外圍越好?！氨热纾瑢κ屑夁\(yùn)營商網(wǎng)絡(luò)，最好在省級出口部署反DDoS攻擊設(shè)備; 對于跨地區(qū)的大型企業(yè)網(wǎng)絡(luò)，最好在每個(gè)互聯(lián)網(wǎng)出口處都部署反DDoS設(shè)備，再加上網(wǎng)絡(luò)管理雙管齊下，就可以降低受攻擊的可能性?！币澅硎?，“而對于中小企業(yè)來說，目前它們還沒有引起黑客的注意，針對這種情況，用合適的防火墻、IPS、UTM設(shè)備就可以了?！?/P>

“即使都是運(yùn)營商網(wǎng)絡(luò)反DDoS攻擊，由于運(yùn)營商為企業(yè)提供的帶寬服務(wù)類型不同，其對DDoS攻擊產(chǎn)品的部署方案和部署模式也不一樣。”武鵬認(rèn)為。比如，針對運(yùn)營商要保護(hù)帶寬資源、緩解城域網(wǎng)出口壓力、清洗帶寬型DDoS攻擊的情況，建議部署骨干網(wǎng)方案: netflow檢測中心+清洗中心+管理中心的動態(tài)引流清洗方案; 而針對運(yùn)營商為企業(yè)提供安全寬帶運(yùn)營增值服務(wù)的情況，建議采用DPI檢測中心+清洗中心+管理中心的動態(tài)引流清洗方案，這時(shí)還特別要注意在靠近企業(yè)端部署設(shè)備，以確保網(wǎng)絡(luò)流量異常時(shí)得到實(shí)時(shí)清洗。

崔云鵬則指出，針對不同類型的客戶，綠盟提供了不同的部署方案。對于大型運(yùn)營商來說，可以采用系統(tǒng)支持旁路的部署方式對DDoS攻擊流量進(jìn)行牽引，同時(shí)通過部署若干臺黑洞設(shè)備形成集群，這就增強(qiáng)了系統(tǒng)抵御巨大規(guī)模DDoS攻擊的能力，保證了正常流量的順暢通過; 而對于小型企業(yè)來說，則可以采用嵌入式部署方案，在遇到流量異常的時(shí)候直接阻斷攻擊，并及時(shí)保障企業(yè)網(wǎng)絡(luò)的安全。

中新的相關(guān)負(fù)責(zé)人在談到中小型企業(yè)反DDoS攻擊時(shí)提到，如果是在缺少專用設(shè)備的情況下，通過設(shè)置并優(yōu)化操作系統(tǒng)參數(shù)，也是能夠提高系統(tǒng)本身對DDoS攻擊的抵御能力的。如果可以更換IP、更換域名或是通過購買負(fù)載均衡設(shè)備找到攻擊源頭，并從源頭處解決攻擊是最好的辦法。但是，當(dāng)前攻擊普遍采用的是偽造源地址，并且有大量的傀儡機(jī)存在，使得這種方法變得并不可行。因此，中新認(rèn)為，對于中小型企業(yè)來說，做好自身的網(wǎng)絡(luò)維護(hù)和系統(tǒng)清理是最重要的。

雖然安全廠商們推出了各種各樣防范DDoS攻擊的設(shè)備和解決方案，也提出了部署實(shí)施的關(guān)鍵措施，但要100%防范DDoS攻擊，似乎有很大的難度，還需要廠商在技術(shù)上進(jìn)一步探索，并需要用戶加強(qiáng)對網(wǎng)絡(luò)的檢測和管理，同時(shí)更需要政府和公安部門的大力支持，以打擊這一“網(wǎng)絡(luò)黑社會”團(tuán)體?？偟膩碚f，DDoS攻擊由于其攻擊的突然性以及數(shù)據(jù)流的無限膨脹，防范的確是一大難題，盡管安全廠商提出了相對完善的解決方案，但實(shí)際效果還有待市場考驗(yàn)。