根据“2003年FBI计算机犯罪与安全调查”显示,DDoS(分布式拒绝服务)攻击是排名第二的网络犯罪,并且数量不断攀升。在此前曾一度被炒得沸沸扬扬的Yahoo、CNN等著名网站被黑客攻击事件中,参与攻击的“主力部队”就是DDoS。而随着DDoS攻击工具的不断涌现,发动DDoS攻击将变得越来越容易。因此,如何防范DDoS攻击,确保网络运行的顺畅,是近年来网络安全领域研究的重点。
作为破坏力较强的黑客攻击手段,DDoS是一种形式比较特殊的拒绝服务攻击。作为一种分布、协作的大规模攻击方式,它往往把受害目标锁定在Internet站点、数据库服务器等为用户提供网络服务的设备上。由于DDoS攻击的恶劣性(往往通过利用一批受控制的网络终端向某一个公共端口发起冲击,来势迅猛又令人难以防备,具有极大破坏力),因此受到网络安全业界的广泛关注。而网络安全措施从最初的入侵检测系统(IDS)到目前新兴的GSN全局安全网络体系,使对抗黑客攻击的手段日益提升,向着智能化、全局化的方向大步迈进,在防范DDoS攻击的过程中发挥着越来越重要的作用。
知己知彼:全面解剖DDoS攻击
DDoS攻击的原型是采用分布式攻击的方式(客户端/服务器模式),但随着技术的发展,目前的DDoS攻击已经日趋复杂和隐蔽。DDoS攻击的原理是入侵者先控制了一些节点,将它们设计成控制点,这些控制点控制了大量的主机,将它们设计成攻击点,攻击点中 装载了攻击程序,正是由这些攻击点计算机对攻击目标发动的攻击。这种结构使入侵者远离攻击的目标,隐藏了入侵者的具体位置。DDoS攻击的前奏是率先攻破一些安全性较差的电脑作为控制点主机。因为这些电脑在标准网络服务程序中存在众所周知的缺陷,它们还没有来得及打补丁或进行系统升级,还有可能是操作系统本身有Bug。对于这样的系统,入侵者很容易闯入,并将其作为发动攻击的“自动炮台”。
典型的DDoS攻击包括带宽攻击和应用攻击。在带宽攻击中,网络资源或网络设备被高流量数据包所消耗。在应用攻击时,TCP或HTTP资源无法被用来处理交易或请求。发动攻击时,入侵者只需运行一个简单的命令,一层一层发送命令到所有控制的攻击点上,让这些攻击点一齐“开炮”——向目标传送大量的无用的数据包,就在这样的“炮火”下,攻击目标的网络带宽被占满,路由器处理能力被耗尽。而较之一般的黑客攻击手段来说,DDoS的可怕之处有二:一是DDoS利用Internet的开放性和从任意源地址向任意目标地址发送攻击数据包;二是人们很难将非法的数据包与合法的数据包区分开。
屡战屡败:防范手段失效溯源
既然了解DDoS攻击的起源结果,为什么还会让它如此肆虐呢?平心而论,以往所采用的几种防御形式的被动和片面,是DDoS攻击难以被遏止的真正原因。
在遭遇DDoS攻击时,一些用户会选择直接丢弃数据包的过滤手段。通过改变数据流的传送方向,将其丢弃在一个数据“黑洞”中,以阻止所有的数据流。这种方法的缺点是所有的数据流(不管是合法的还是非法的)都被丢弃,业务应用被中止。数据包过滤和速率限制等措施同样能够会所有应用,拒绝为合法用户提供接入。这样做的结果很明显,就是“因噎废食”,可以说是恰恰满足了黑客的心愿。
