机械网--DDoS攻击的趋势与防御

1、阻断服务(Denial of Service) 在探讨DDoS 之前我们需要先对 DoS 有所了解，DoS泛指黑客试图妨碍正常使用者使用网络上的服务，例如剪断大楼的电话线路造成用户没法通话。而以网络来说，由于频宽、网络设备和服务器主机等处理的能力都有其限制，因此当黑客产生过量的网络封包使得设备处理不及，即可让正常的使用者没法正常使用该服务。例如黑客试图用大量封包攻击1般频宽相对小很多的拨接或ADSL 使用者，则受害者就会发现他要连的网站连不上或是反应10分缓慢。 DoS 攻击其实不是入侵主机也不能盗取机器上的资料，但是1样会造成攻击目标的伤害，如果攻击目标是个电子商务网站就会造成顾客没法到该网站购物。 2、散布式阻断服务(Distributed Denial of Service) DDoS 则是 DoS 的特例，黑客利用多台机器同时攻击来到达妨碍正常使用者使用服务的目的。黑客预先入侵大量主机以后，在被害主机上安装 DDoS 攻击程控被害主机对攻击目标展开攻击；有些 DDoS 工具采取多层次的架构，乃至可以1次控制高达上千台电脑展开攻击，利用这样的方式可以有效产生极大的网络流量以瘫痪攻击目标。早在2000年就产生过针对Yahoo,eBay, Buy.com 和 CNN 等知名网站的DDoS攻击，制止了合法的网络流量长达数个小时。 DDoS 攻击程序的分类，可以依照几种方式分类，以自动化程度可分为手动、半自动与自动攻击。早期的 DDoS攻击程序多半属于手动攻击，黑客手动寻觅可入侵的计算机入侵并植入攻击程序，再下指令攻击目标；半自动的攻击程序则多半具有 handler 控制攻击用的agent 程序，黑客散布自动化的入侵工具植入 agent 程序，然后使用 handler 控制所有agents 对目标发动DDoS攻击；自动攻击更进1步自动化全部攻击程序，将攻击的目标、时间和方式都事前写在攻击程序里，黑客散布攻击程序以后就会自动扫描可入侵的主机植入agent 并在预定的时间对指定目标发起攻击，例如近期的 W32/Blaster 网虫即属于此类。 若以攻击的弱点分类则可以分为协议攻击和暴力攻击两种。协议攻击是指黑客利用某个网络协议设计上的弱点或实行上的 bug 消耗大量资源，例如 TCP SYN攻击、对认证伺服器的攻击等；暴力攻击则是黑客使用大量正常的联机消耗被害目标的资源，由于黑客会准备多台主机发起 DDoS 攻击目标，只要单位时间内攻击方发出的网络流量高于目标所能处理速度，即可消耗掉目标的处理能力而使得正常的使用者没法使用服务。 若以攻击频率辨别则可分成延续攻击和变动频率攻击两种。延续攻击是当攻击指令下达以后，攻击主机就全力延续攻击，因此会瞬间产生大量流量阻断目标的服务，也因此很容易被侦测到；变动频率攻击则较为谨慎，攻击的频率可能从慢速渐渐增加或频率高低变化，利用这样的方式延缓攻击被侦测的时间。 3、从 DDoS 攻击下存活 那么当遭受 DDoS攻击的时候要如何想法存活并继续提供正常服务呢？由先前的介绍可以知道，若黑客攻击范围远高于你的网络频宽、设备或主机所能处理的能力，实际上是很难以抵抗攻击的，但仍然有1些方法可以减轻攻击所酿成的影响。 首先是调查攻击来源，由于黑客经过入侵机器进行攻击，因此你可能没法查出黑客是由哪里发动攻击，我们必须1步1步从被攻击目标往回推，先调查攻击是由管辖网络的哪些边界路由器进来，上1步是外界哪台路由器，连系这些路由器的管理者(多是某个ISP或电信公司)并寻求他们协助阻挡或查出攻击来源，而在他们处理之前可以进行哪些处理呢? 如果被攻击的目标只是单1 ip，那么试图改个 ip 并更改其 DNS mapping 或许可以避开攻击村民遭遇强拆怎么办，这是最快速而有效的方式；但是攻击的目的就是要使正常使用者没法使用服务，更改ip的方式虽然避开攻击，以另外1角度来看黑客也到达了他的目的。另外，如果攻击的手法较为单纯，可以由产生的流量找出其规则，那么利用路由器的ACLs(Access Control Lists)或防火墙规则也许可以阻挡，若可以发现流量都是来自同1来源或核心路由器土地征收必须经过哪个部门批准，可以考虑暂时将那边的流量挡起来，固然这还是有可能将正常和异常的流量都1并挡掉，但最少其它来源可以得到正常的服务，这有时是不得已的牺牲。如果行有余力，则可以考虑增加机器或频宽作为被攻击的缓冲之用，但这只是治标不治本的做法。最重要的是必须立即着手调查并与相干单位调和解决。 4、预防DDoS攻击 DDoS 必须透过网络上各个团体和使用者的共同合作，制定更严格的网络标准来解决。每台网络设备或主机都需要随时更新其系统漏洞、关闭不需要的服务、安装必要的防毒和防火墙软件、随时注意系统安全，避免被黑客和自动化的DDoS 程序植入攻击程序，以免成为黑客攻击的爪牙。 有些 DDoS 会伪装攻击来源，假造封包的来源ip，使人难以清查，这个部份可以透过设定路由器的过滤功能来避免，只要网域内的封包来源是其网域以外的ip，就应当直接抛弃此封包而不应当再送出去，如果网管设备都支持这项功能，网管人员都能够正确设定过滤掉假造的封包，也能够大量减少调查和追踪的时间。 网域之间保持联系是很重要的，如此才能有效早期预警和防治 DDoS 攻击只有集体土地证的房屋拆迁怎么办，有些ISP会在1些网络节点上放置感应器侦测突然的巨大流量，以提早警告和隔绝 DDoS 的受害区域，降落顾客的受害程度。(end)资讯分类行业动态帮助文档展会专题报道5金人物商家文章