拒絕服務,英文為"Distributed Denial of Service",也就是我們常說的DDoS。那什麼又是拒絕服務呢?大家可以這樣理解,凡是能導致合法用戶不能進行正常的網路服務的行為都算是拒絕服務攻擊。拒絕服務攻擊的目的非常的明確,就是要阻止合法用戶對正常網路資源的訪問,從而達到攻擊者不可告人的目的。www.sq120.com推薦文章
簡單的講,拒絕服務就是用超出被攻擊目標處理能力的海量數據包消耗可用系統、帶寬資源,致使網路服務癱瘓的一種攻擊手段。在早期,拒絕服務攻擊主要是針對處理能力比較弱的單機,如個人PC,或是窄帶寬連接的網站,對擁有高帶寬連接,高性能設備的網站影響不大。
在1999年底,伴隨著DDoS的出現,高端網站高枕無憂的局面不復存在。DDoS實現是借助數百,甚至數千臺被植入攻擊守護進程的攻擊主機同時發起的集團作戰行為。因此,分佈式拒絕服務也被稱之為"洪水攻擊"。常見的DDoS攻擊手法有UDP Flood、SYN Flood、ICMP Flood、TCP Flood、Proxy Foold等等。
曾經案例
在新千年來臨之際,全球知名網站雅虎第一個宣告因為遭受分佈式拒絕服務攻擊而徹底崩潰。UDP Flooder是一款拒絕服務攻擊軟體,是基於UDP協議對目標伺服器進行洪水攻擊。
當年雅虎就是遭到來自50臺電腦使用此軟體攻擊而導致癱瘓。緊接著Amazon.com、CNN、ZDNet、Buy.com、Excite和eBay等其他知名網站幾乎在同一時間也遭受暴風驟雨般的DDoS攻擊,帶來了巨大的經濟損失。而一些政治團體或非法組織,則通過DDoS攻擊對政府門戶網站或其他官方網站進行打擊,造成巨大的政治影響。
簡單防禦方法
DDoS是一種特殊形式的拒絕服務攻擊,所以對付它是一個系統工程,想僅僅依靠某種系統或產品防範DDoS是不現實的。可以肯定的是,要想完全杜絕DDoS目前是不可能的,但是通過適當的措施抵禦90%的DDoS攻擊是可以做到的。對於此類隱蔽性極好的DDoS攻擊的防範,更重要的是用戶要加強安全防範意識,提高網路系統的安全性。
(一)通過對系統進行優化,高水準的技術專家,能夠根據攻擊迅速確定攻擊類型,並對各種操作系統核心的配置瞭若指掌,同時能夠根據己方所提供的服務類型和側重點選擇防護和退讓策略。
(二)建議網路管理者,在所管轄網路的出入口,配置源路由控制策略,限制非本網的源地址對外訪問,這樣就能保證至少本網內,不會有發動DoS/DDoS攻擊的機器,如果這樣做的網路增多了,DoS/DDoS攻擊自然減少甚至杜絕。需要得到攻擊路徑中上級的網路設備服務商支持。
(三)採取退讓策略,利用DNS輪循,或者通過負載均衡、Cluster等技術增加回應主機數量,增加系統資源,從而提升抗打擊能力。
(四)安裝抗DoS能力的防火牆,能夠防護一些低規模的拒絕服務攻擊,配置和操作相當簡單。防火牆作為通用網路安全產品,在防DoS方面不可能達到專業產品的性能和效率,對大規模的DoS攻擊是無能為力的,甚至會成為攻擊目標。
(五)建立網路安全事件應急回應小組,為所管轄的網路提供應急服務,一旦出現DDoS攻擊或者其他的攻擊,可以及時啟動應急流程,借助有實力安全廠商、CNCERT(國家電腦網絡應急技術處理協調中心)的力量,追查攻擊的源頭。必要時,申請公安部門的協助,訴諸於法律。 |