小型商務(wù)網(wǎng)站如何應(yīng)對(duì)DDoS攻擊

DDoS(Distributed Denial of Service，分布式拒絕服務(wù)攻擊)，俗稱洪水攻擊。是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的新的破壞力更強(qiáng)的攻擊方式。分布式拒絕服務(wù)攻擊是指借助于客戶/服務(wù)器技術(shù)，將多個(gè)甚至幾十萬(wàn)個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DoS攻擊，從而成倍地提高了攻擊的威力。DDoS帶來(lái)的破壞是巨大的，你無(wú)法阻止黑客對(duì)你的網(wǎng)站發(fā)動(dòng)DDoS攻擊，除非主動(dòng)斷開(kāi)Internet連接。如果我們無(wú)法防止這種攻擊，那么，怎樣做才能最大限度地保護(hù)我們的企業(yè)網(wǎng)絡(luò)呢?

DDoS攻擊當(dāng)前主要有3種：

1.SYN/ACKFlood攻擊

這種攻擊方法是經(jīng)典最有效的DDoS方法，可攻擊各種系統(tǒng)的網(wǎng)絡(luò)服務(wù)，主要是通過(guò)向受害主機(jī)發(fā)送大量偽造源IP和源端口的SYN或ACK包，導(dǎo)致主機(jī)的緩存資源被耗盡或忙于發(fā)送回應(yīng)包而造成拒絕服務(wù)，由于源IP和源端口都是偽造的，故追蹤起來(lái)比較困難。其缺點(diǎn)是實(shí)施起來(lái)有一定難度，需要高帶寬的僵尸主機(jī)支持。

1.1 TCP全連接攻擊

TCP全連接攻擊就是通過(guò)許多僵尸主機(jī)不斷地與受害服務(wù)器建立大量的TCP連接，直到服務(wù)器的內(nèi)存等資源被耗盡而被拖跨，從而造成拒絕服務(wù)，這種攻擊的特點(diǎn)是可繞過(guò)一般防火墻的防護(hù)而達(dá)到攻擊目的，缺點(diǎn)是需要找很多僵尸主機(jī)，并且由于僵尸主機(jī)的IP是暴露的，因此容易被追蹤。

1.2 刷Script腳本攻擊

這種攻擊主要是針對(duì)存在ASP、JSP、PHP、CGI等腳本程序，并調(diào)用MSSQLServer、MySQLServer、Oracle等數(shù)據(jù)庫(kù)的網(wǎng)站系統(tǒng)而設(shè)計(jì)的，特征是和服務(wù)器建立正常的TCP連接，并不斷地向腳本程序提交查詢、列表等大量耗費(fèi)數(shù)據(jù)庫(kù)資源的調(diào)用，典型的以小博大的攻擊方法。常見(jiàn)的現(xiàn)象就是網(wǎng)站慢如蝸牛、ASP程序失效、PHP連接數(shù)據(jù)庫(kù)失敗、數(shù)據(jù)庫(kù)主程序占用CPU偏高。這種攻擊的特點(diǎn)是可以完全繞過(guò)普通的防火墻防護(hù)，輕松找一些Proxy代理就可實(shí)施攻擊，缺點(diǎn)是對(duì)付只有靜態(tài)頁(yè)面的網(wǎng)站效果會(huì)大打折扣，并且有些Proxy會(huì)暴露攻擊者的IP地址。

2、發(fā)現(xiàn)DDoS攻擊

根據(jù)以下異?，F(xiàn)象在網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)建立相應(yīng)規(guī)則，能夠較準(zhǔn)確地監(jiān)測(cè)出DDoS攻擊。

(1)根據(jù)分析，攻擊者在進(jìn)行DDoS攻擊前總要解析目標(biāo)的主機(jī)名，BIND域名服務(wù)器能夠記錄這些請(qǐng)求。由于每臺(tái)攻擊服務(wù)器在進(jìn)行一個(gè)攻擊前會(huì)發(fā)出PTR反向查詢請(qǐng)求，也就是說(shuō)在DDoS攻擊前域名服務(wù)器會(huì)接收到大量的反向解析目標(biāo)IP主機(jī)名的PTR查詢請(qǐng)求。

(2)當(dāng)DDoS攻擊一個(gè)站點(diǎn)時(shí)，會(huì)出現(xiàn)明顯超出該網(wǎng)絡(luò)正常工作時(shí)的極限通訊流量的現(xiàn)象?，F(xiàn)在的技術(shù)能夠分別對(duì)不同的源地址計(jì)算出對(duì)應(yīng)的極限值。當(dāng)明顯超出此極限值時(shí)，就表明存在DDoS攻擊的通訊。因此，可以在主干路由器端建立ACL訪問(wèn)控制規(guī)則以監(jiān)測(cè)和過(guò)濾這些通訊。

(3)特大型的ICP和UDP數(shù)據(jù)包。正常的UDP會(huì)話一般都使用小的UDP包，通常有效數(shù)據(jù)內(nèi)容不超過(guò)10字節(jié)。正常的ICMP消息也不會(huì)超過(guò)64到128字節(jié)。那些尺寸明顯大得多的數(shù)據(jù)包很有可能就是控制信息通訊用的，主要含有加密后的目標(biāo)地址和一些命令選項(xiàng)。一旦捕獲到(沒(méi)有經(jīng)過(guò)偽造的)控制信息通訊，DDoS服務(wù)器的位置就暴露出來(lái)了，因?yàn)榭刂菩畔⑼ㄓ崝?shù)據(jù)包的目標(biāo)地址是沒(méi)有偽造的。

(4)不屬于正常連接通訊的TCP和UDP數(shù)據(jù)包。最隱蔽的DDoS工具隨機(jī)使用多種通訊協(xié)議(包括基于連接的協(xié)議)通過(guò)基于無(wú)連接通道發(fā)送數(shù)據(jù)。優(yōu)秀的防火墻和路由規(guī)則能夠發(fā)現(xiàn)這些數(shù)據(jù)包。另外，那些連接到高于1024而且不屬于常用網(wǎng)絡(luò)服務(wù)的目標(biāo)端口的數(shù)據(jù)包也是非常值得懷疑的。

(5)數(shù)據(jù)段內(nèi)容只包含文字和數(shù)字字符(例如，沒(méi)有空格、標(biāo)點(diǎn)和控制字符)的數(shù)據(jù)包。這往往是數(shù)據(jù)經(jīng)過(guò)BASE64編碼后而只會(huì)含有BASE64字符集字符的特征。TFN2K發(fā)送的控制信息數(shù)據(jù)包就是這種類型的數(shù)據(jù)包。TFN2K(及其變種)的特征模式是在數(shù)據(jù)段中有一串A字符(AAA)，這是經(jīng)過(guò)調(diào)整數(shù)據(jù)段大小和加密算法后的結(jié)果。如果沒(méi)有使用BASE64編碼，對(duì)于使用了加密算法數(shù)據(jù)包，這個(gè)連續(xù)的字符就是“”。

(6)數(shù)據(jù)段內(nèi)容只包含二進(jìn)制和high-bit字符的數(shù)據(jù)包。雖然此時(shí)可能在傳輸二進(jìn)制文件，但如果這些數(shù)據(jù)包不屬于正常有效的通訊時(shí)，可以懷疑正在傳輸?shù)氖菦](méi)有被BASE64編碼但經(jīng)過(guò)加密的控制信息通訊數(shù)據(jù)包(如果實(shí)施這種規(guī)則，必須將20、21、80等端口上的傳輸排除在外)。

3、應(yīng)對(duì)DDoS攻擊

當(dāng)遭受DDoS攻擊的時(shí)候要如何設(shè)法存活并繼續(xù)提供正常服務(wù)呢?

由前面的介紹可以知道，若黑客攻擊規(guī)模遠(yuǎn)高于你的網(wǎng)絡(luò)頻寬、設(shè)備或主機(jī)所能處理的能力，其實(shí)是很難反抗攻擊的，但仍然有一些方法可以減輕攻擊所造成的影響。首先是調(diào)查攻擊來(lái)源，由于黑客由僵尸主機(jī)進(jìn)行攻擊，因此，可能無(wú)法直接查出黑客是由哪里發(fā)動(dòng)攻擊，必須一步一步從被攻擊目標(biāo)往回推，先調(diào)查攻擊是由管轄網(wǎng)絡(luò)的哪些邊界路由器進(jìn)來(lái)，上一步是外界哪臺(tái)路由器，聯(lián)絡(luò)這些路由器的管理者(可能是某個(gè)ISP或電信公司)并尋求他們協(xié)助阻擋或查出攻擊來(lái)源。假如，被攻擊的目標(biāo)只是單一IP，那么試圖改個(gè)IP并更改其DNSmapping或許可以避開(kāi)攻擊，這是最快速而有效的方式;但是，攻擊的目的就是要使正常使用者無(wú)法使用服務(wù)，更改IP的方式雖然避開(kāi)攻擊，以另一角度來(lái)看黑客也達(dá)到了他的目的。此外，假如攻擊的手法較為單純，可以由產(chǎn)生的流量找出其規(guī)則，那么利用路由器的ACLs(AccessControlLists)或防火墻規(guī)則也許可以阻擋，若可以發(fā)現(xiàn)流量都是來(lái)自同一來(lái)源或核心路由器，可以考慮暫時(shí)將那邊的流量擋起來(lái)，當(dāng)然這還是有可能將正常和異常的流量都一并擋掉，但至少其他來(lái)源可以得到正常的服務(wù)，這也是不得已的犧牲。此外，還可以考慮增加機(jī)器或頻寬作為被攻擊的緩沖之用，但這只是治標(biāo)不治本的做法。重要的是立即著手調(diào)查并與相關(guān)單位協(xié)調(diào)解決。

4、預(yù)防DDoS攻擊

預(yù)防DDoS攻擊必須透過(guò)網(wǎng)絡(luò)上各個(gè)團(tuán)體和使用者的共同合作，制定更嚴(yán)格的網(wǎng)絡(luò)標(biāo)準(zhǔn)來(lái)解決。每臺(tái)網(wǎng)絡(luò)設(shè)備或主機(jī)都需要隨時(shí)更新其系統(tǒng)漏洞、關(guān)閉不需要的服務(wù)、安裝必要的防毒和防火墻軟件、隨時(shí)注重系統(tǒng)安全，避免被黑客和自動(dòng)化的DDoS程序植入攻擊程序，以免成為黑客攻擊的幫兇。網(wǎng)絡(luò)管理人員可采取以下方法做好預(yù)防工作。

4.1 節(jié)點(diǎn)

掃描網(wǎng)絡(luò)管理員要定期掃描網(wǎng)絡(luò)節(jié)點(diǎn)，分析并發(fā)現(xiàn)可能存在的安全漏洞，對(duì)新出現(xiàn)的漏洞及時(shí)進(jìn)行修補(bǔ)。特別是骨干點(diǎn)的計(jì)算機(jī)，由于占用較高的帶寬，因此，對(duì)這些主機(jī)本身加強(qiáng)主機(jī)安全是非常重要的。而且，連接到網(wǎng)絡(luò)主節(jié)點(diǎn)的都是服務(wù)器級(jí)別的計(jì)算機(jī)，所以，定期掃描漏洞變得更加重要了。

4.2 配置防火墻

防火墻本身具備了抵御部分DDoS攻擊的能力。在發(fā)現(xiàn)攻擊行為存在時(shí)，可以犧牲備用設(shè)備引導(dǎo)攻擊數(shù)據(jù)流，這樣可以減輕或避免正常業(yè)務(wù)的順利進(jìn)行。當(dāng)然如果企業(yè)或用戶對(duì)網(wǎng)絡(luò)的要求很高，筆者建議設(shè)立專用的服務(wù)器來(lái)防止DDoS攻擊。

4.3 充分利用網(wǎng)絡(luò)設(shè)備

保護(hù)網(wǎng)絡(luò)資源合理配置使用路由器、防火墻等網(wǎng)絡(luò)設(shè)備，它們可將網(wǎng)絡(luò)有效地保護(hù)起來(lái)。相對(duì)服務(wù)器的重啟，網(wǎng)絡(luò)路由器等網(wǎng)絡(luò)設(shè)備的重啟要容易得多，而且服務(wù)器數(shù)據(jù)不會(huì)有太多的損失。負(fù)載均衡技術(shù)的使用，可以在攻擊發(fā)生時(shí)自動(dòng)均衡設(shè)備的使用情況，最大限度地降低DDoS的攻擊。

4.4 過(guò)濾服務(wù)及端口

在默認(rèn)情況下，服務(wù)器的很多端口是開(kāi)放的，用戶可以使用防火墻或一些管理軟件來(lái)過(guò)濾不必要的服務(wù)和端口。只開(kāi)放服務(wù)端口成為保障網(wǎng)絡(luò)安全的流行做法，例如，用戶可能會(huì)經(jīng)?？吹揭粋€(gè)服務(wù)器只開(kāi)放80端口等。

4.5 檢查訪問(wèn)者的來(lái)源

通過(guò)反向路由器查詢的方法檢查訪問(wèn)者的IP地址是否是真，如果發(fā)現(xiàn)虛假IP，應(yīng)立即將其屏蔽。黑客在攻擊時(shí)常采用假IP隱藏自己，因此，網(wǎng)絡(luò)管理員有必要了解自己網(wǎng)絡(luò)的用戶訪問(wèn)情況。

4.6 過(guò)濾所有被保留的IP地址

我們知道類似10.0.0.0、192. 168.0.0和172.16.0.0這樣的IP，并不是某個(gè)網(wǎng)段的固定IP地址，而是Internet內(nèi)部保留的區(qū)域性IP地址，網(wǎng)絡(luò)管理員應(yīng)把被保留的IP過(guò)濾掉。

4.7 限制SYN/ICMP流量

用戶應(yīng)在防火墻上配置SYN/ICMP的最大流量來(lái)限制SYN/ICMP所能占用的最大帶寬。當(dāng)出現(xiàn)大量的超過(guò)限定的SYN/ICMP流量時(shí)，管理員需要立即排查區(qū)分是否存在非法攻擊行為。限制SYN/ICMP也是過(guò)去對(duì)付DDoS攻擊最常使用的。據(jù)有關(guān)報(bào)道，電信級(jí)運(yùn)營(yíng)商已經(jīng)開(kāi)始積極運(yùn)做，準(zhǔn)備推出一系列的安全增值服務(wù)，IDC服務(wù)器托管商也已經(jīng)積極行動(dòng)起來(lái)，避免用戶免受DDoS攻擊的侵害，安全廠商更是在積極研究DDoS攻擊的原理及防御措施，力求最大限度地扼殺DDoS攻擊。筆者認(rèn)為，任何個(gè)體是很難防御住巨大的數(shù)據(jù)流攻擊，只有運(yùn)營(yíng)商、企業(yè)以及安全廠商共同聯(lián)合起來(lái)，才能更好地克服DDoS給用戶帶來(lái)的傷害。

（鐵生）