不為人知的DDOS攻擊與防御

      一 了解阻斷服務(Denial of Service) 
      在探討 DDoS 之前系統(tǒng)之家再次強調，我們必須先對 DoS 有所了解，DoS泛指黑客試圖妨礙正常使用者使用網絡上的服務，例如剪斷大樓的電話線路造成用戶無法通話。而以網絡來說，由于頻寬、網絡設備和服務器主機等處理的能力都有其限制，因此當黑客產生過量的網絡封包使得設備處理不及，即可讓正常的使用者無法正常使用該服務。例如黑客試圖用大量封包攻擊一般頻寬相對小得多的撥接或 ADSL 使用者，則受害者就會發(fā)現(xiàn)他要連的網站連不上或是反應十分緩慢。 
      二 分布式阻斷服務(Distributed Denial of Service) 
      DDoS 則是 DoS 的特例，黑客利用多臺機器同時攻擊來達到妨礙正常使用者使用服務的目的。黑客預先入侵大量主機以后，在被害主機上安裝 DDoS 攻擊程控被害主機對攻擊目標展開攻擊；有些 DDoS 工具采用多層次的架構，甚至可以一次控制高達上千臺電腦展開攻擊，利用這樣的方式可以有效產生極大的網絡流量以癱瘓攻擊目標。早在2000年就發(fā)生過針對Yahoo, eBay, Buy.com 等知名網站的DDoS攻擊，阻止了合法的網絡流量長達數個小時。 
      三 DDOS攻擊的分類： 
      可以依照幾種方式分類，以自動化程度可分為手動、半自動與自動攻擊。早期的 DDoS 攻擊程序多半屬于手動攻擊，黑客手動尋找可入侵的計算機入侵并植入攻擊程序，再下指令攻擊目標；半自動的攻擊程序則多半具有 handler 控制攻擊用的agent 程序，黑客散布自動化的入侵工具植入 agent 程序，然后使用 handler 控制所有agents 對目標發(fā)動 DDoS 攻擊；自動攻擊更進一步自動化整個攻擊程序，將攻擊的目標、時間和方式都事先寫在攻擊程序里，黑客散布攻擊程序以后就會自動掃描可入侵的主機植入 agent 并在預定的時間對指定目標發(fā)起攻擊，例如近期的 W32/Blaster 網蟲即屬于此類。 
      若以攻擊的弱點分類則可以分為協(xié)議攻擊和暴力攻擊兩種。協(xié)議攻擊是指黑客利用某個網絡協(xié)議設計上的弱點或執(zhí)行上的 bug 消耗大量資源，例如 TCP SYN 攻擊、對認證伺服器的攻擊等；暴力攻擊則是黑客使用大量正常的聯(lián)機消耗被害目標的資源，由于黑客會準備多臺主機發(fā)起 DDoS 攻擊目標，只要單位時間內攻擊方發(fā)出的網絡流量高于目標所能處理速度，即可消耗掉目標的處理能力而使得正常的使用者無法使用服務。 
      若以攻擊頻率區(qū)分則可分成持續(xù)攻擊和變動頻率攻擊兩種。持續(xù)攻擊是當攻擊指令下達以后，攻擊主機就全力持續(xù)攻擊，因此會瞬間產生大量流量阻斷目標的服務，也因此很容易被偵測到；變動頻率攻擊則較為謹慎，攻擊的頻率可能從慢速漸漸增加或頻率高低變化，利用這樣的方式延緩攻擊被偵測的時間。 
      四 判斷是否被DDos攻擊： 
      DDOS的表現(xiàn)形式主要有兩種，一種為流量攻擊，主要是針對網絡帶寬的攻擊，即大量攻擊包導致網絡帶寬被阻塞，合法網絡包被虛假的攻擊包淹沒而無法到達主機；另一種為資源耗盡攻擊，主要是針對服務器主機的攻擊，即通過大量攻擊包導致主機的內存被耗盡或CPU被內核及應用程序占完而造成無法提供網絡服務。
      如何判斷網站是否遭受了流量攻擊呢？可通過Ping命令來測試，若發(fā)現(xiàn)Ping超時或丟包嚴重(假定平時是正常的)，則可能遭受了流量攻擊，此時若發(fā)現(xiàn)和你的主機接在同一交換機上的服務器也訪問不了了，基本可以確定是遭受了流量攻擊。當然，這樣測試的前提是你到服務器主機之間的ICMP協(xié)議沒有被路由器和防火墻等設備屏蔽，否則可采取Telnet主機服務器的網絡服務端口來測試，效果是一樣的。不過有一點可以肯定，假如平時Ping你的主機服務器和接在同一交換機上的主機服務器都是正常的，突然都Ping不通了或者是嚴重丟包，那么假如可以排除網絡故障因素的話則肯定是遭受了流量攻擊，再一個流量攻擊的典型現(xiàn)象是，一旦遭受流量攻擊，會發(fā)現(xiàn)用遠程終端連接網站服務器會失敗。

      相對于流量攻擊而言，資源耗盡攻擊要容易判斷一些，假如平時Ping網站主機和訪問網站都是正常的，發(fā)現(xiàn)突然網站訪問非常緩慢或無法訪問了，而Ping還可以Ping通，則很可能遭受了資源耗盡攻擊，此時若在服務器上用Netstat -na命令觀察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等狀態(tài)存在，而ESTABLISHED很少，則可判定肯定是遭受了資源耗盡攻擊。還有一種屬于資源耗盡攻擊的現(xiàn)象是，Ping自己的網站主機Ping不通或者是丟包嚴重，而Ping與自己的主機在同一交換機上的服務器則正常，造成這種原因是網站主機遭受攻擊后導致系統(tǒng)內核或某些應用程序CPU利用率達到100%無法回應Ping命令，其實帶寬還是有的，否則就Ping不通接在同一交換機上的主機了。 
      五 如何抵御DDoS攻擊： 
      對付DDOS是一個系統(tǒng)工程，想僅僅依靠某種系統(tǒng)或產品防住DDOS是不現(xiàn)實的，可以肯定的是，完全杜絕DDOS目前是不可能的，但通過適當的措施抵御90%的DDOS攻擊是可以做到的，基于攻擊和防御都有成本開銷的緣故，若通過適當的辦法增強了抵御DDOS的能力，也就意味著加大了攻擊者的攻擊成本，那么絕大多數攻擊者將無法繼續(xù)下去而放棄，也就相當于成功的抵御了DDOS攻擊。 
      1、采用高性能的網絡設備 
      首先要保證網絡設備不能成為瓶頸，因此選擇路由器、交換機、硬件防火墻等設備的時候要盡量選用知名度高、口碑好的產品。再就是假如和網絡提供商有特殊關系或協(xié)議的話就更好了，當大量攻擊發(fā)生的時候請他們在網絡接點處做一下流量限制來對抗某些種類的DDOS攻擊是非常有效的。 
      2、盡量避免NAT的使用 
      無論是路由器還是硬件防護墻設備要盡量避免采用網絡地址轉換NAT的使用，因為采用此技術會較大降低網絡通信能力，其實原因很簡單，因為NAT需要對地址來回轉換，轉換過程中需要對網絡包的校驗和進行計算，因此浪費了很多CPU的時間，但有些時候必須使用NAT，那就沒有好辦法了。 
      3、充足的網絡帶寬保證 
      網絡帶寬直接決定了能抗受攻擊的能力，假若僅僅有10M帶寬的話，無論采取什么措施都很難對抗現(xiàn)在的SYNFlood攻擊，當前至少要選擇100M的共享帶寬，最好的當然是掛在1000M的主干上了。但需要注意的是，主機上的網卡是1000M的并不意味著它的網絡帶寬就是千兆的，若把它接在100M的交換機上，它的實際帶寬不會超過100M，再就是接在100M的帶寬上也不等于就有了百兆的帶寬，因為網絡服務商很可能會在交換機上限制實際帶寬為10M，這點一定要搞清楚。 
      4、升級主機服務器硬件 
      在有網絡帶寬保證的前提下，請盡量提升硬件配置，要有效對抗每秒10萬個SYN攻擊包，服務器的配置至少應該為：P4 2.4G/DDR512M/SCSI-HD，起關鍵作用的主要是CPU和內存，若有志強雙CPU的話就用它吧，內存一定要選擇DDR的高速內存，硬盤要盡量選擇SCSI的，別只貪IDE價格不貴量還足的便宜，否則會付出高昂的性能代價，再就是網卡一定要選用3COM或Intel等名牌的，若是Realtek的還是用在自己的PC上吧。 
      5、把網站做成靜態(tài)頁面 
      大量事實證明，把網站盡可能做成靜態(tài)頁面，不僅能大大提高抗攻擊能力，而且還給黑客入侵帶來不少麻煩，至少到現(xiàn)在為止關于HTML的溢出還沒出現(xiàn)，看看吧！新浪、搜狐、網易等門戶網站主要都是靜態(tài)頁面，若你非需要動態(tài)腳本調用，那就把它弄到另外一臺單獨主機去，免的遭受攻擊時連累主服務器，當然，適當放一些不做數據庫調用腳本還是可以的，此外，最好在需要調用數據庫的腳本中拒絕使用代理的訪問，因為經驗表明使用代理訪問你網站的80%屬于惡意行為