高敏 葉晰

基金項目:溫州市科技計劃項目(Y20100301)

[摘 要]本文首先介紹了典型的服務器模型，描述了分布式拒絕服務攻擊（DDoS）對電子商務網(wǎng)站的巨大危害，最后從管理和技術兩個方面提出了幾種防范分布式拒絕服務攻擊措施。

[關鍵詞]電子商務 DDoS網(wǎng)絡安全 分布式拒絕服務攻擊

隨著網(wǎng)絡技術的發(fā)展，電子商務和電子政務等信息化工程也日益完善，然而從安全的角度來看，電子商務網(wǎng)絡所面臨的網(wǎng)絡安全問題卻始終如揮之不去的夢魘。DDoS（Distributed Deny of Service-分布式拒絕服務攻擊）攻擊的目的就是使服務器某一層的資源利用率達到極限，致使網(wǎng)站訪問延時甚至癱瘓，進而嚴重影響正常用戶的電子商務活動。

一、典型的服務器模型

如圖所示，服務器模型是由多個服務器組成的有層次的結構。每一層諸如：處理器計算能力，存儲空間和網(wǎng)絡帶寬等資源都是有限的。一般來說如果服務器出現(xiàn)以下幾種情況：資源被迅速消耗、系統(tǒng)吞吐量降低且響應時間不斷增大，則我們可判定服務器受到了DDoS攻擊。正如前面所說DDoS攻擊的目的就是使某一層的資源利用率達到極限，從而導致利用服務器資源的正常用戶數(shù)量減少。

二、DDoS攻擊的產(chǎn)生機理

拒絕服務DoS攻擊顧名思義就是使Internet中的受攻擊對象(主機、服務器、路由器等網(wǎng)絡設備)無法提供或者接受正常服務的一種攻擊，典型的DoS攻擊中，攻擊者向受害者發(fā)送大量的數(shù)據(jù)從而消耗其資源(網(wǎng)絡帶寬，路由器上的包緩沖區(qū)，目標機器的CPU和內(nèi)存)，從而使用戶無法訪問所需信息。因此可以說DoS是一種損人不利已的攻擊行為,而分布式DoS(DDoS, distributed DoS)攻擊破壞性更大，往往借助僵尸網(wǎng)絡。

從拒絕服務攻擊的原理可以看出，不管是拒絕服務攻擊階段還是分布式拒絕服務攻擊的攻擊階段，都需要很高的網(wǎng)絡帶寬。特別是校園網(wǎng)絡的寬帶和大量主機資源，以及學生的好奇，想在教育網(wǎng)絡中進行入侵實驗的諸多特點，正好滿足拒絕服務攻擊的要求。在比較嚴重的網(wǎng)絡攻擊事件中，以校園網(wǎng)為“基地”發(fā)起的拒絕服務攻擊事件令人印象深刻。最著名的是2002年黑客對Yahoo和EBay等網(wǎng)站發(fā)起的拒絕服務攻擊，使這些網(wǎng)站的服務一度關閉，據(jù)調(diào)查，這些攻擊就是從校園網(wǎng)絡中發(fā)起的。事后分析得知這些攻擊都是采用了分布式拒絕服務攻擊。類似的攻擊在中國也是屢見不鮮。中國國防部網(wǎng)站總編輯季桂林指出：“國防部網(wǎng)站從上線試運行第一天開始，就受到大量的、不間斷的DDoS攻擊。第一個月受到的攻擊達230 多萬次，攻擊方式包括侵入式攻擊和阻塞式攻擊，第一周的攻擊最為密集”。

三、DDoS攻擊的防范

到目前為止，完全抵御DDoS攻擊還是比較困難的，但我們可以從管理和技術兩個方面減少DDoS的攻擊。首先在管理方面我們要加強每個網(wǎng)絡用戶的安全意識，安裝殺毒軟件，安裝軟件或者硬件防火墻，不從不明網(wǎng)站下載軟件，不訪問一些不明網(wǎng)站，不打開不明郵件，盡量避免木馬的種植。其次在技術的手段上，我們還應加強以下幾點：

1.區(qū)分正常流量和攻擊流量。我們可根據(jù)正常流量和攻擊流量的不同行為、統(tǒng)計特征等進行區(qū)別,也可通過認證的方式讓所有用戶付出一定的代價,比如計算、人工參與輸入認證碼等來區(qū)別。一個典型的例子是Google網(wǎng)站在發(fā)現(xiàn)訪問流量異常時，會要求每個用戶在每個搜索前先輸入驗證碼。此類防御方法的優(yōu)點是實施成本簡單，但會影響用戶的體驗滿意度，而且無法防御非頁面訪問的流量攻擊。

2.確保服務器的系統(tǒng)文件是最新的版本，并及時更新系統(tǒng)補丁。

3.關閉不必要的服務。

4.正確設置防火墻。

5.禁止對主機的非開放服務的訪問，限制特定IP 地址的訪問。

6.啟用防火墻的防DDoS的屬性，或者使用專用的抗DDoS設備。嚴格限制對外開放的服務器的向外訪問，運行端口映射程序禍端口掃描程序，要認真檢查特權端口和非特權端口。

7.認真檢查網(wǎng)絡設備和主機/服務器系統(tǒng)的日志。只要日志出現(xiàn)漏洞或是時間變更，那這臺機器就可能遭到了攻擊。

8.限制在防火墻外與網(wǎng)絡文件共享。這樣會給黑客截取系統(tǒng)文件的機會，主機的信息暴露給黑客，無疑是給了對方入侵的機會。

四、結束語

作為一種新穎的商務活動過程，電子商務將帶來一場史無前例的革命，而電子商務的安全性問題也越來越受到人們的重視。分布式拒絕服務攻擊（DDoS）嚴重威脅了電子商務網(wǎng)站的正常運作。對DDoS的原理與應付方法的研究一直在進行中，找到一個既有效又切實可行的方案不是一朝一夕的事情，因此此時要求我們的公安機關，運營商和網(wǎng)絡安全廠商和網(wǎng)絡的用戶，在意識到網(wǎng)絡攻擊問題的嚴重性前提下，多方配合，共同加強網(wǎng)絡平臺安全性的建設性。這樣一來可以把攻擊帶來的損失降低到最小，從而提高了電子商務活動的安全性，為我國的經(jīng)濟建設提供堅固安全的網(wǎng)絡信息化平臺。

參考文獻:

[1]謝逸等.新網(wǎng)絡環(huán)境下應用層DDoS攻擊的剖析與防御.電信科學,2007年01期,89-93頁

[2]新華網(wǎng).國防部網(wǎng)站遭230多萬次攻擊3個月點擊12.5億.2009年11月18日,http://news.xinhuanet.com/it/2009-11/18/content_12480973.htm

[3]李目海.基于流量的分布式拒絕服務攻擊檢測.華東師范大學2010年博士論文