DDoS(Distributed Denial of Service，分布式拒絕服務(wù)攻擊)，俗稱洪水攻擊。是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的新的破壞力更強的攻擊方式。分布式拒絕服務(wù)攻擊是指借助于客戶/服務(wù)器技術(shù)，將多個甚至幾十萬個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標(biāo)發(fā)動DoS攻擊，從而成倍地提高了攻擊的威力。DDoS帶來的破壞是巨大的，你無法阻止黑客對你的網(wǎng)站發(fā)動DDoS攻擊，除非主動斷開Internet連接。如果我們無法防止這種攻擊，那么，怎樣做才能最大限度地保護我們的企業(yè)網(wǎng)絡(luò)呢?

　　1、了解DDoS攻擊當(dāng)前主要有三種流行的DDoS攻擊：

　　1.1SYN/ACKFlood攻擊

　　這種攻擊方法是經(jīng)典最有效的DDoS方法，可攻擊各種系統(tǒng)的網(wǎng)絡(luò)服務(wù)，主要是通過向受害主機發(fā)送大量偽造源IP和源端口的SYN或ACK包，導(dǎo)致主機的緩存資源被耗盡或忙于發(fā)送回應(yīng)包而造成拒絕服務(wù)，由于源IP和源端口都是偽造的，故追蹤起來比較困難。其缺點是實施起來有一定難度，需要高帶寬的僵尸主機支持。

　　1.2TCP全連接攻擊

　　TCP全連接攻擊就是通過許多僵尸主機不斷地與受害服務(wù)器建立大量的TCP連接，直到服務(wù)器的內(nèi)存等資源被耗盡而被拖跨，從而造成拒絕服務(wù)，這種攻擊的特點是可繞過一般防火墻的防護而達(dá)到攻擊目的，缺點是需要找很多僵尸主機，并且由于僵尸主機的IP是暴露的，因此容易被追蹤。

　　1.3刷Script腳本攻擊

　　這種攻擊主要是針對存在ASP、JSP、PHP、CGI等腳本程序，并調(diào)用MSSQLServer、MySQLServer、Oracle等數(shù)據(jù)庫的網(wǎng)站系統(tǒng)而設(shè)計的，特征是和服務(wù)器建立正常的TCP連接，并不斷地向腳本程序提交查詢、列表等大量耗費數(shù)據(jù)庫資源的調(diào)用，典型的以小博大的攻擊方法。常見的現(xiàn)象就是網(wǎng)站慢如蝸牛、ASP程序失效、PHP連接數(shù)據(jù)庫失敗、數(shù)據(jù)庫主程序占用CPU偏高。這種攻擊的特點是可以完全繞過普通的防火墻防護，輕松找一些Proxy代理就可實施攻擊，缺點是對付只有靜態(tài)頁面的網(wǎng)站效果會大打折扣，并且有些Proxy會暴露攻擊者的IP地址。

　　2、發(fā)現(xiàn)DDoS攻擊

　　根據(jù)以下異?，F(xiàn)象在網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)建立相應(yīng)規(guī)則，能夠較準(zhǔn)確地監(jiān)測出DDoS攻擊。

　　(1)根據(jù)分析，攻擊者在進行DDoS攻擊前總要解析目標(biāo)的主機名，BIND域名服務(wù)器能夠記錄這些請求。由于每臺攻擊服務(wù)器在進行一個攻擊前會發(fā)出PTR反向查詢請求，也就是說在DDoS攻擊前域名服務(wù)器會接收到大量的反向解析目標(biāo)IP主機名的PTR查詢請求。

　　(2)當(dāng)DDoS攻擊一個站點時，會出現(xiàn)明顯超出該網(wǎng)絡(luò)正常工作時的極限通訊流量的現(xiàn)象。現(xiàn)在的技術(shù)能夠分別對不同的源地址計算出對應(yīng)的極限值。當(dāng)明顯超出此極限值時，就表明存在DDoS攻擊的通訊。因此，可以在主干路由器端建立ACL訪問控制規(guī)則以監(jiān)測和過濾這些通訊。

　　(3)特大型的ICP和UDP數(shù)據(jù)包。正常的UDP會話一般都使用小的UDP包，通常有效數(shù)據(jù)內(nèi)容不超過10字節(jié)。正常的ICMP消息也不會超過64到128字節(jié)。那些尺寸明顯大得多的數(shù)據(jù)包很有可能就是控制信息通訊用的，主要含有加密后的目標(biāo)地址和一些命令選項。一旦捕獲到(沒有經(jīng)過偽造的)控制信息通訊，DDoS服務(wù)器的位置就暴露出來了，因為控制信息通訊數(shù)據(jù)包的目標(biāo)地址是沒有偽造的。

　　(4)不屬于正常連接通訊的TCP和UDP數(shù)據(jù)包。最隱蔽的DDoS工具隨機使用多種通訊協(xié)議(包括基于連接的協(xié)議)通過基于無連接通道發(fā)送數(shù)據(jù)。優(yōu)秀的防火墻和路由規(guī)則能夠發(fā)現(xiàn)這些數(shù)據(jù)包。另外，那些連接到高于1024而且不屬于常用網(wǎng)絡(luò)服務(wù)的目標(biāo)端口的數(shù)據(jù)包也是非常值得懷疑的。

　　(5)數(shù)據(jù)段內(nèi)容只包含文字和數(shù)字字符(例如，沒有空格、標(biāo)點和控制字符)的數(shù)據(jù)包。這往往是數(shù)據(jù)經(jīng)過BASE64編碼后而只會含有BASE64字符集字符的特征。TFN2K發(fā)送的控制信息數(shù)據(jù)包就是這種類型的數(shù)據(jù)包。TFN2K(及其變種)的特征模式是在數(shù)據(jù)段中有一串A字符(AAA)，這是經(jīng)過調(diào)整數(shù)據(jù)段大小和加密算法后的結(jié)果。如果沒有使用BASE64編碼，對于使用了加密算法數(shù)據(jù)包，這個連續(xù)的字符就是“”。

　　(6)數(shù)據(jù)段內(nèi)容只包含二進制和high-bit字符的數(shù)據(jù)包。雖然此時可能在傳輸二進制文件，但如果這些數(shù)據(jù)包不屬于正常有效的通訊時，可以懷疑正在傳輸?shù)氖菦]有被BASE64編碼但經(jīng)過加密的控制信息通訊數(shù)據(jù)包(如果實施這種規(guī)則，必須將20、21、80等端口上的傳輸排除在外)。

　　3、應(yīng)對DDoS攻擊

　　當(dāng)遭受DDoS攻擊的時候要如何設(shè)法存活并繼續(xù)提供正常服務(wù)呢?

　　由前面的介紹可以知道，若黑客攻擊規(guī)模遠(yuǎn)高于你的網(wǎng)絡(luò)頻寬、設(shè)備或主機所能處理的能力，其實是很難反抗攻擊的，但仍然有一些方法可以減輕攻擊所造成的影響。首先是調(diào)查攻擊來源，由于黑客由僵尸主機進行攻擊，因此，可能無法直接查出黑客是由哪里發(fā)動攻擊，必須一步一步從被攻擊目標(biāo)往回推，先調(diào)查攻擊是由管轄網(wǎng)絡(luò)的哪些邊界路由器進來，上一步是外界哪臺路由器，聯(lián)絡(luò)這些路由器的管理者(可能是某個ISP或電信公司)并尋求他們協(xié)助阻擋或查出攻擊來源。假如，被攻擊的目標(biāo)只是單一IP，那么試圖改個IP并更改其DNSmapping或許可以避開攻擊，這是最快速而有效的方式;但是，攻擊的目的就是要使正常使用者無法使用服務(wù)，更改IP的方式雖然避開攻擊，以另一角度來看黑客也達(dá)到了他的目的。此外，假如攻擊的手法較為單純，可以由產(chǎn)生的流量找出其規(guī)則，那么利用路由器的ACLs(AccessControlLists)或防火墻規(guī)則也許可以阻擋，若可以發(fā)現(xiàn)流量都是來自同一來源或核心路由器，可以考慮暫時將那邊的流量擋起來，當(dāng)然這還是有可能將正常和異常的流量都一并擋掉，但至少其他來源可以得到正常的服務(wù)，這也是不得已的犧牲。此外，還可以考慮增加機器或頻寬作為被攻擊的緩沖之用，但這只是治標(biāo)不治本的做法。最重要的是，必須立即著手調(diào)查并與相關(guān)單位協(xié)調(diào)解決。

　　4、預(yù)防DDoS攻擊

　　預(yù)防DDoS攻擊必須透過網(wǎng)絡(luò)上各個團體和使用者的共同合作，制定更嚴(yán)格的網(wǎng)絡(luò)標(biāo)準(zhǔn)來解決。每臺網(wǎng)絡(luò)設(shè)備或主機都需要隨時更新其系統(tǒng)漏洞、關(guān)閉不需要的服務(wù)、安裝必要的防毒和防火墻軟件、隨時注重系統(tǒng)安全，避免被黑客和自動化的DDoS程序植入攻擊程序，以免成為黑客攻擊的幫兇。網(wǎng)絡(luò)管理人員可采取以下方法做好預(yù)防工作。

　　4.1節(jié)點

　　掃描網(wǎng)絡(luò)管理員要定期掃描網(wǎng)絡(luò)節(jié)點，分析并發(fā)現(xiàn)可能存在的安全漏洞，對新出現(xiàn)的漏洞及時進行修補。特別是骨干點的計算機，由于需要占用較高的帶寬，因此，對這些主機本身加強主機安全是非常重要的。而且，連接到網(wǎng)絡(luò)主節(jié)點的都是服務(wù)器級別的計算機，所以，定期掃描漏洞就變得更加重要了。

　　4.2配置防火墻

　　防火墻本身具備了抵御部分DDoS攻擊的能力。在發(fā)現(xiàn)攻擊行為存在時，可以犧牲備用設(shè)備引導(dǎo)攻擊數(shù)據(jù)流，這樣可以減輕或避免正常業(yè)務(wù)的順利進行。當(dāng)然如果企業(yè)或用戶對網(wǎng)絡(luò)的要求很高，筆者建議設(shè)立專用的服務(wù)器來防止DDoS攻擊。

　　4.3充分利用網(wǎng)絡(luò)設(shè)備

　　保護網(wǎng)絡(luò)資源合理配置使用路由器、防火墻等網(wǎng)絡(luò)設(shè)備，它們可將網(wǎng)絡(luò)有效地保護起來。相對服務(wù)器的重啟，網(wǎng)絡(luò)路由器等網(wǎng)絡(luò)設(shè)備的重啟要容易得多，而且服務(wù)器數(shù)據(jù)不會有太多的損失。負(fù)載均衡技術(shù)的使用，可以在攻擊發(fā)生時自動均衡設(shè)備的使用情況，最大限度地降低DDoS的攻擊。

　　4.4過濾服務(wù)及端口

　　在默認(rèn)情況下，服務(wù)器的很多端口是開放的，用戶可以使用防火墻或一些管理軟件來過濾不必要的服務(wù)和端口。只開放服務(wù)端口成為保障網(wǎng)絡(luò)安全的流行做法，例如，用戶可能會經(jīng)常看到一個服務(wù)器只開放80端口等。

　　4.5檢查訪問者的來源

　　通過反向路由器查詢的方法檢查訪問者的IP地址是否是真，如果發(fā)現(xiàn)虛假IP，應(yīng)立即將其屏蔽。黑客在攻擊時常采用假IP隱藏自己，因此，網(wǎng)絡(luò)管理員有必要了解自己網(wǎng)絡(luò)的用戶訪問情況。

　　4.6過濾所有被保留的IP地址

　　我們知道類似10.0.0.0、192.168.0.0和172.16.0.0這樣的IP，并不是某個網(wǎng)段的固定IP地址，而是Internet內(nèi)部保留的區(qū)域性IP地址，網(wǎng)絡(luò)管理員應(yīng)把被保留的IP過濾掉。

　　4.7限制SYN/ICMP流量

　　用戶應(yīng)在防火墻上配置SYN/ICMP的最大流量來限制SYN/ICMP所能占用的最大帶寬。當(dāng)出現(xiàn)大量的超過限定的SYN/ICMP流量時，管理員需要立即排查區(qū)分是否存在非法攻擊行為。限制SYN/ICMP也是過去對付DDoS攻擊最常使用的。據(jù)有關(guān)報道，電信級運營商已經(jīng)開始積極運做，準(zhǔn)備推出一系列的安全增值服務(wù)，IDC服務(wù)器托管商也已經(jīng)積極行動起來，避免用戶免受DDoS攻擊的侵害，安全廠商更是在積極研究DDoS攻擊的原理及防御措施，力求最大限度地扼殺DDoS攻擊。筆者認(rèn)為，任何個體是很難防御住巨大的數(shù)據(jù)流攻擊，只有運營商、企業(yè)以及安全廠商共同聯(lián)合起來，才能更好地克服DDoS給用戶帶來的傷害。