|
拒绝服务,英文为"Distributed Denial of Service",也就是我们常说的DDoS。那什么又是拒绝服务呢?大家可以这样理解,凡是能导致合法用户不能进行正常的网络服务的行为都算是拒绝服务攻击。拒绝服务攻击的目的非常的明确,就是要阻止合法用户对正常网络资源的访问,从而达到攻击者不可告人的目的。文章简单的讲,拒绝服务就是用超出被攻击目标处理能力的海量数据包消耗可用系统、带宽资源,致使网络服务瘫痪的一种攻击手段。在早期,拒绝服务攻击主要是针对处理能力比较弱的单机,如个人PC,或是窄带宽连接的网站,对拥有高带宽连接,高性能设备的网站影响不大。在1999年底,伴随着DDoS的出现,高端网站高枕无忧的局面不复存在。DDoS实现是借助数百,甚至数千台被植入攻击守护进程的攻击主机同时发起的集团作战行为。因此,分布式拒绝服务也被称之为"洪水攻击"。常见的DDoS攻击手法有UDP Flood、SYN Flood、ICMP Flood、TCP Flood、Proxy Foold等等。曾经案例在新千年来临之际,全球知名网站雅虎第一个宣告因为遭受分布式拒绝服务攻击而彻底崩溃。UDP Flooder是一款拒绝服务攻击软件,是基于UDP协议对目标服务器进行洪水攻击。tw.WIngWit.cOm当年雅虎就是遭到来自50台计算机使用此软件攻击而导致瘫痪。紧接着Amazon.com、CNN、ZDNet、Buy.com、Excite和eBay等其他知名网站几乎在同一时间也遭受暴风骤雨般的DDoS攻击,带来了巨大的经济损失。而一些政治团体或非法组织,则通过DDoS攻击对政府门户网站或其它官方网站进行打击,造成巨大的政治影响。简单防御方法DDoS是一种特殊形式的拒绝服务攻击,所以对付它是一个系统工程,想仅仅依靠某种系统或产品防范DDoS是不现实的。可以肯定的是,要想完全杜绝DDoS目前是不可能的,但是通过适当的措施抵御90%的DDoS攻击是可以做到的。对于此类隐蔽性极好的DDoS攻击的防范,更重要的是用户要加强安全防范意识,提高网络系统的安全性。(一)通过对系统进行优化,高水平的技术专家,能够根据攻击迅速确定攻击类型,并对各种操作系统核心的配置了如指掌,同时能够根据己方所提供的服务类型和侧重点选择防护和退让策略。(二)建议网络管理者,在所管辖网络的出入口,配置源路由控制策略,限制非本网的源地址对外访问,这样就能保证至少本网内,不会有发动DoS/DDoS攻击的机器,如果这样做的网络增多了,DoS/DDoS攻击自然减少甚至杜绝。需要得到攻击路径中上级的网络设备服务商支持。(三)采取退让策略,利用DNS轮循,或者通过负载均衡、Cluster等技术增加响应主机数量,增加系统资源,从而提升抗打击能力。(四)安装抗DoS能力的防火墙,能够防护一些低规模的拒绝服务攻击,配置和操作相当简单。防火墙作为通用网络安全产品,在防DoS方面不可能达到专业产品的性能和效率,对大规模的DoS攻击是无能为力的,甚至会成为攻击目标。(五)建立网络安全事件应急响应小组,为所管辖的网络提供应急服务,一旦出现DDoS攻击或者其他的攻击,可以及时启动应急流程,借助有实力安全厂商、CNCERT(国家计算机网络应急技术处理协调中心)的力量,追查攻击的源头。必要时,申请公安部门的协助,诉诸于法律。
|
