隨著Internet互聯(lián)網(wǎng)絡(luò)帶寬的增加和多種DDOS黑客工具的不斷發(fā)布���,DDOS拒絕服務(wù)攻擊的實(shí)施越來(lái)越容易�����。出于商業(yè)競(jìng)爭(zhēng)�、打擊報(bào)復(fù)和網(wǎng)絡(luò)敲詐等多種因素����,導(dǎo)致很多IDC托管機(jī)房���、商業(yè)站點(diǎn)、游戲服務(wù)器���、聊天網(wǎng)絡(luò)等網(wǎng)絡(luò)服務(wù)商長(zhǎng)期以來(lái)一直被DDOS攻擊所困擾�����,隨之而來(lái)的是客戶(hù)投訴���、同虛擬主機(jī)用戶(hù)受牽連、法律糾紛���、商業(yè)損失等一系列問(wèn)題�����。因此����,解決DDOS攻擊問(wèn)題成為網(wǎng)絡(luò)服務(wù)商必須考慮的頭等大事�。
DDOS是英文Distributed Denial of Service的縮寫(xiě),意即“分布式拒絕服務(wù)”��,那么什么又是拒絕服務(wù)(Denial of Service)呢��?可以這么理解��,凡是能導(dǎo)致合法用戶(hù)不能夠訪(fǎng)問(wèn)正常網(wǎng)絡(luò)服務(wù)的行為都算是拒絕服務(wù)攻擊����。也就是說(shuō)拒絕服務(wù)攻擊的目的非常明確,就是要阻止合法用戶(hù)對(duì)正常網(wǎng)絡(luò)資源的訪(fǎng)問(wèn)���,從而達(dá)成攻擊者不可告人的目的�。雖然同樣是拒絕服務(wù)攻擊�����,但是DDOS和DOS還是有所不同���,DDOS的攻擊策略側(cè)重于通過(guò)很多“僵尸主機(jī)(被攻擊者入侵過(guò)或可間接利用的主機(jī))”向受害主機(jī)發(fā)送大量看似合法的網(wǎng)絡(luò)包����,從而造成網(wǎng)絡(luò)阻塞或服務(wù)器資源耗盡而導(dǎo)致拒絕服務(wù)��,分布式拒絕服務(wù)攻擊一旦被實(shí)施,攻擊網(wǎng)絡(luò)包就會(huì)猶如洪水般涌向受害主機(jī)�,從而把合法用戶(hù)的網(wǎng)絡(luò)包淹沒(méi),導(dǎo)致合法用戶(hù)無(wú)法正常訪(fǎng)問(wèn)服務(wù)器的網(wǎng)絡(luò)資源��,因此��,拒絕服務(wù)攻擊又被稱(chēng)之為“洪水式攻擊(或流量攻擊)”�,常見(jiàn)的DDOS攻擊手段有SYN Flood、ACK Flood�����、UDP Flood�����、ICMP Flood��、TCP Flood���、Connections Flood��、Script Flood�����、Proxy Flood等�;而DOS則側(cè)重于通過(guò)對(duì)主機(jī)特定漏洞的利用攻擊導(dǎo)致網(wǎng)絡(luò)棧失效�、系統(tǒng)崩潰、主機(jī)死機(jī)而無(wú)法提供正常的網(wǎng)絡(luò)服務(wù)功能�,從而造成拒絕服務(wù),常見(jiàn)的DOS攻擊手段有TearDrop���、Land��、Jolt���、IGMP Nuker、Boink��、Smurf��、Bonk����、OOB等。就這兩種拒絕服務(wù)攻擊而言���,DOS相當(dāng)于單挑���,DDOS相當(dāng)于群毆���。俗話(huà)說(shuō):雙拳難抵四手,好漢打不過(guò)人多��。所以DDOS這種無(wú)賴(lài)打法是很難防范的�。至于DOS攻擊,通過(guò)給主機(jī)服務(wù)器打補(bǔ)丁或安裝防火墻軟件就可以很好地防范�,下面介紹一下怎么對(duì)付DDOS攻擊。
對(duì)付DDOS是一個(gè)系統(tǒng)工程�����,想僅僅依靠某種系統(tǒng)或產(chǎn)品防住DDOS是不現(xiàn)實(shí)的�����,可以肯定�����,完全杜絕DDOS目前是不可能的�。但通過(guò)適當(dāng)?shù)拇胧┑钟蟛糠值腄DOS攻擊是可以做到的,基于攻擊和防御都有成本開(kāi)銷(xiāo)的緣故,若通過(guò)適當(dāng)?shù)霓k法增強(qiáng)抵御DDOS的能力���,也就意味著加大了攻擊者的攻擊成本���,那么絕大多數(shù)攻擊者將無(wú)法繼續(xù)而放棄,也就相當(dāng)于成功的抵御了DDOS攻擊�。
1��、充足的網(wǎng)絡(luò)帶寬保證
網(wǎng)絡(luò)帶寬直接決定了能抗受攻擊的能力�����,假若僅僅有10M帶寬的話(huà)�����,無(wú)論采取什么措施都很難對(duì)抗現(xiàn)在的SYNFlood攻擊�����,當(dāng)前至少要選擇100M的共享帶寬��,最好的當(dāng)然是掛在1000M的主干����。但需要注意的是��,使用的網(wǎng)絡(luò)設(shè)備也要進(jìn)行同步升級(jí)�。
2���、升級(jí)主機(jī)服務(wù)器硬件
在有網(wǎng)絡(luò)帶寬保證的前提下���,請(qǐng)盡量提升硬件配置,起關(guān)鍵作用的主要是CPU和內(nèi)存�����,別只貪價(jià)格不貴的便宜��,否則會(huì)付出高昂的性能代價(jià)����,再就是網(wǎng)卡一定要選用名牌的。
3��、網(wǎng)站優(yōu)化
大量事實(shí)證明�,把網(wǎng)站盡可能做成靜態(tài)頁(yè)面,不僅能大大提高抗攻擊能力����,而且還給黑客入侵帶來(lái)不少麻煩����,至少到現(xiàn)在為止關(guān)于HTML的溢出還沒(méi)出現(xiàn)��,若你非需要?jiǎng)討B(tài)腳本調(diào)用��,那就把它弄到另外一臺(tái)單獨(dú)主機(jī)去�,免的遭受攻擊時(shí)連累主服務(wù)器。當(dāng)然��,適當(dāng)放一些不做數(shù)據(jù)庫(kù)調(diào)用腳本還是可以的��,而且最好在需要調(diào)用數(shù)據(jù)庫(kù)的腳本中拒絕使用代理的訪(fǎng)問(wèn)�����,因?yàn)榻?jīng)驗(yàn)表明使用代理訪(fǎng)問(wèn)你網(wǎng)站的80%屬于惡意行為���。此外還可以對(duì)網(wǎng)站域名解析做一下CDN加速技術(shù),這樣也可以防范絕大部分針對(duì)網(wǎng)站域名的攻擊�����。
4、增強(qiáng)操作系統(tǒng)的TCP/IP棧
Win2000和Win2003作為服務(wù)器操作系統(tǒng)����,本身就具備一定的抵抗DDOS攻擊的能力,只是默認(rèn)狀態(tài)下沒(méi)有開(kāi)啟而已��,若開(kāi)啟的話(huà)可抵擋約10000個(gè)SYN攻擊包���,若沒(méi)有開(kāi)啟則僅能抵御數(shù)百個(gè)�����。具體開(kāi)啟方式��,可以咨詢(xún)相關(guān)技術(shù)人員或看下相關(guān)文章(例如《強(qiáng)化 TCP/IP 堆棧安全》)�����。
5�����、安裝專(zhuān)業(yè)抗DDOS防火墻
目前有一款可全功能免費(fèi)試用的“冰盾防火墻”����,是專(zhuān)門(mén)針對(duì)DDOS攻擊和黑客入侵而設(shè)計(jì)的專(zhuān)業(yè)級(jí)防火墻。據(jù)測(cè)試可有效對(duì)抗每秒數(shù)十萬(wàn)的SYN/ACK攻擊�、TCP全連接攻擊、刷腳本攻擊等DDOS攻擊����,而且可識(shí)別2000多種黑客行為的入侵檢測(cè)模塊,能夠有效防范端口掃描��、SQL注入�����、木馬上傳等攻擊�����。
以上幾條對(duì)抗DDOS建議�����,適合絕大多數(shù)擁有自己主機(jī)的用戶(hù)���,但假如采取以上措施后仍然不能解決DDOS問(wèn)題,就有些麻煩了��,可能需要更多投資,增加服務(wù)器數(shù)量并采用DNS輪巡或負(fù)載均衡技術(shù)�,甚至需要購(gòu)買(mǎi)更高級(jí)的網(wǎng)絡(luò)設(shè)備,從而使得抗DDOS攻擊能力成倍提高���,只要投資足夠深入�����,總有攻擊者會(huì)放棄的時(shí)候����,那時(shí)候你就成功了��。
