DDoS攻擊如何對(duì)你說(shuō)“不”

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

2009年7月的一個(gè)下午，在“綠色網(wǎng)吧”門口，有大批的游戲玩家罵罵咧咧地從網(wǎng)吧走出來(lái)，網(wǎng)管隨即在門口掛出了“停止?fàn)I業(yè)”的牌子?！坝质沁@樣，玩著玩著突然掉線，重新登錄服務(wù)器完全沒(méi)反應(yīng)。一個(gè)月內(nèi)這樣的情況已經(jīng)發(fā)生第三次了，解決不了就別做了，關(guān)門得了?！币粋€(gè)剛從網(wǎng)吧走出來(lái)的男生嘴里絮叨著，他把手里的煙順手丟在了地上，狠狠地踩了兩腳。

“沒(méi)辦法啊，我們已經(jīng)裝了防火墻，也做了專門的網(wǎng)絡(luò)維護(hù)，該做的我們都盡可能做了，黑客的攻擊防不勝防，我們對(duì)這些攻擊真是束手無(wú)策了?！本W(wǎng)吧老板顯得很無(wú)奈。

其實(shí)，“綠色網(wǎng)吧”是遭受到了一輪DDoS攻擊，網(wǎng)速變得極慢，玩家根本無(wú)法正常上網(wǎng)。雖然最后并沒(méi)能查到究竟是誰(shuí)組織的這次攻擊，但網(wǎng)吧老板懷疑是相距不遠(yuǎn)的另一家網(wǎng)吧采取的一種惡性競(jìng)爭(zhēng)手段。

“低投高收”的“洪水式攻擊”

最近幾年，隨著互聯(lián)網(wǎng)的快速發(fā)展，上網(wǎng)人群日益增多，DDoS攻擊似乎又開始呈現(xiàn)出大規(guī)模爆發(fā)的趨勢(shì)。東軟網(wǎng)絡(luò)安全產(chǎn)品營(yíng)銷中心產(chǎn)品經(jīng)理姚偉棟給出了這樣一組數(shù)據(jù):在2006年，國(guó)內(nèi)DDoS攻擊峰值流量只有2.5Gps，2007年達(dá)到了24Gps，2008年則達(dá)到了40Gps，每年在以兩倍以上的速度增長(zhǎng)?！皣?guó)內(nèi)一個(gè)省級(jí)電信運(yùn)營(yíng)商的出口帶寬是100Gps，DDoS攻擊流量占據(jù)了整體流量的40%，這相當(dāng)驚人?！彼f(shuō)。2009年8月，Twitter、Facebook和YouTube賬戶也遭到阻斷服務(wù)攻擊。有報(bào)告指出，目前數(shù)百萬(wàn)企業(yè)應(yīng)用正面臨DDoS攻擊的威脅。

那么，發(fā)動(dòng)DDoS攻擊的人究竟是什么目的？他們是如何發(fā)動(dòng)的？真的如某些人所說(shuō)，DDoS攻擊是互聯(lián)網(wǎng)上的頑疾，很難防御嗎？為了弄清楚這些問(wèn)題，記者走訪了幾家業(yè)內(nèi)知名的信息安全廠商。

“發(fā)起DDoS攻擊，大多數(shù)是為了惡性競(jìng)爭(zhēng)。比如，網(wǎng)吧為了爭(zhēng)奪顧客資源，有時(shí)會(huì)采取一些惡意攻擊方法，造成被攻擊網(wǎng)吧網(wǎng)絡(luò)癱瘓而無(wú)法正常運(yùn)營(yíng)，并對(duì)網(wǎng)吧經(jīng)營(yíng)主造成直接經(jīng)濟(jì)損失?！?北京神州綠盟科技有限公司產(chǎn)品市場(chǎng)經(jīng)理崔云鵬告訴記者?！白铋_始是黑客對(duì)某個(gè)企業(yè)發(fā)動(dòng)攻擊，然后進(jìn)行敲詐勒索; 后來(lái)演變成了某些企業(yè)花錢聘用這些黑客向另一個(gè)競(jìng)爭(zhēng)對(duì)手發(fā)起攻擊，竊取商業(yè)機(jī)密或是使得對(duì)方網(wǎng)絡(luò)癱瘓無(wú)法正常工作?！?/P>

記者了解到，黑客們發(fā)動(dòng)DDoS攻擊時(shí)需要找很多的“肉雞”組成一個(gè)僵尸網(wǎng)絡(luò)，通過(guò)操縱僵尸網(wǎng)絡(luò)，讓所有的“肉雞”一起向目標(biāo)發(fā)起攻擊，并向受害主機(jī)發(fā)送大量看似合法的網(wǎng)絡(luò)包，從而造成網(wǎng)絡(luò)阻塞或服務(wù)器資源耗盡而導(dǎo)致拒絕服務(wù)，分布式拒絕服務(wù)攻擊一旦被實(shí)施，攻擊網(wǎng)絡(luò)包就會(huì)猶如洪水般涌向受害主機(jī)，從而把合法用戶的網(wǎng)絡(luò)包淹沒(méi)，導(dǎo)致合法用戶無(wú)法正常訪問(wèn)服務(wù)器的網(wǎng)絡(luò)資源。因此，拒絕服務(wù)攻擊又被稱之為“洪水式攻擊”。

姚偉棟認(rèn)為，除了商業(yè)惡意競(jìng)爭(zhēng)催生DDoS攻擊的快速發(fā)展外，另一個(gè)刺激因素是攻擊的成本越來(lái)越低，而收益卻越來(lái)越高。以每臺(tái)“肉雞”貢獻(xiàn)1Mps流量計(jì)算，1000臺(tái)“肉雞”就可以達(dá)到1Gps，一次流量1Gps、時(shí)間一小時(shí)的攻擊目前圈內(nèi)可以接受的最低行內(nèi)價(jià)只需要2000元到3000元，實(shí)際攻擊成本比這個(gè)市價(jià)要低得多，只有一些高級(jí)攻擊費(fèi)用相對(duì)高些，但與收益比起來(lái)還是顯得微不足道。

“比如，在網(wǎng)絡(luò)上，買一個(gè)‘肉雞’只需要0.8元人民幣，一個(gè)1萬(wàn)臺(tái)‘肉雞’組成的僵尸網(wǎng)絡(luò)，只需要8000元錢，形成的DDoS攻擊流量可達(dá)10Gps，而據(jù)此獲得的商業(yè)收益，卻可能達(dá)到上億元。” 姚偉棟介紹說(shuō)。據(jù)了解，現(xiàn)在有些黑客利用漏洞入侵大型知名游戲網(wǎng)絡(luò)來(lái)刷數(shù)據(jù)庫(kù)、盜刷賬號(hào)等級(jí)和道具，一次便可獲利上百萬(wàn)元。

防御追查困難重重

DDoS攻擊發(fā)動(dòng)起來(lái)簡(jiǎn)單，預(yù)防起來(lái)卻是非常困難，這也是DDoS攻擊被稱為互聯(lián)網(wǎng)“腫瘤”的一個(gè)重要原因。

到目前為止，對(duì)DDoS攻擊的防御還是非常困難的。“最重要的原因是，這種攻擊的特點(diǎn)是利用了TCP/IP協(xié)議的漏洞，除非你不用TCP/IP協(xié)議，才有可能完全抵御住DDoS攻擊。”安徽中新軟件有限公司企業(yè)發(fā)展部總監(jiān)徐航解釋了DDoS攻擊的防御難題。

“黑客們很巧妙地利用了TCP協(xié)議的三次握手，DDoS攻擊讓TCP三次握手中的第三步不能完成，也就是說(shuō)，不發(fā)送確認(rèn)連接信息給服務(wù)器?！?姚偉棟說(shuō)。這樣，服務(wù)器就無(wú)法完成第三次握手，但服務(wù)器不會(huì)立即放棄，而是會(huì)不停地重試并等待一定時(shí)間后才放棄這個(gè)未完成的連接，這段時(shí)間一般會(huì)持續(xù)大約30秒到兩分鐘。如果一個(gè)用戶在連接時(shí)出現(xiàn)問(wèn)題導(dǎo)致服務(wù)器的一個(gè)線程等待一兩分鐘并不是什么大不了的問(wèn)題，但是如果有人用特殊的軟件大量模擬這種情況，那后果就可想而知了。如果服務(wù)器一直在處理這些大量的半連接信息而消耗了大量的系統(tǒng)資源和網(wǎng)絡(luò)帶寬，其就不可能再有空去處理普通用戶的正常請(qǐng)求了，這時(shí)服務(wù)器也就無(wú)法正常工作了。

一般來(lái)說(shuō)，常見(jiàn)的防火墻、入侵檢測(cè)設(shè)備、路由器等網(wǎng)絡(luò)設(shè)備，對(duì)于DDoS攻擊雖然有一定的防范作用，但一旦遭遇到有組織的大規(guī)模攻擊，往往都無(wú)能為力。而且由于在設(shè)計(jì)上的缺陷，在面臨大量攻擊的情況下，這些設(shè)備反而很容易最先癱瘓。至于退讓策略或是系統(tǒng)優(yōu)化等方法也只能應(yīng)付小規(guī)模DDoS攻擊，對(duì)大規(guī)模DDoS攻擊還是無(wú)法提供有效防護(hù)。

此外，黑客雖然也知道發(fā)動(dòng)DDoS攻擊是犯法行為，但因?yàn)樽凡榈睦щy性，讓黑客們來(lái)勢(shì)洶洶。崔云鵬介紹，在網(wǎng)站遭受襲擊過(guò)后，通過(guò)網(wǎng)絡(luò)溯源查找幕后黑手是一大難題。通常，黑客們會(huì)建立很多個(gè)僵尸網(wǎng)絡(luò)，很可能在國(guó)內(nèi)有幾個(gè)，在國(guó)外有幾個(gè)，這是一種跳躍式的分布，一下子從國(guó)內(nèi)跳到國(guó)外，然后又再跳回來(lái)。即使一層一層查下去，想要查到最上一層的僵尸主機(jī)也很難。此外，黑客還會(huì)把一個(gè)個(gè)龐大的“肉雞”系統(tǒng)分割成很多部分，就算你查到了一個(gè)部分，他們也可以很簡(jiǎn)單地舍棄掉這部分，其他的部分仍然可以繼續(xù)工作。如此查找，即使最終能查到幕后黑手，但需要花費(fèi)巨額的人力和財(cái)力成本，只有關(guān)系到國(guó)家重大聲譽(yù)或經(jīng)濟(jì)損失時(shí)才可能徹底追查，一般情況也就不了了之了。

廠商方案各有不同

目前，業(yè)界普遍認(rèn)為，對(duì)于DDoS攻擊并沒(méi)有100%有效的防御手段。但是，由于攻擊者必須付出比防御者大得多的資源和努力才能擁有這樣的“動(dòng)力”，所以積極部署防御措施，還是能夠在很大程度上緩解和抵御這類安全威脅的。那么，到底可以采取哪些技術(shù)措施進(jìn)行防范呢？目前，東軟、華為賽門鐵克、思科、綠盟、中新軟件等公司都推出了不同特色的解決方案。

東軟提出了通過(guò)流量變化來(lái)檢測(cè)是否受到DDoS攻擊的方法。據(jù)姚偉棟介紹，東軟的反DDoS攻擊方法與其他廠商的方案有所不同，一般廠商是通過(guò)特征碼來(lái)判斷是否受到DDoS攻擊，而東軟則是通過(guò)流量異常來(lái)判斷是否受到DDoS攻擊。這兩者之間最大的差別是: 前者只能判斷已知的DDoS攻擊，如果攻擊庫(kù)里沒(méi)有則無(wú)法判斷; 而后者可以判斷并抵御未知的DDoS攻擊。

對(duì)已經(jīng)檢測(cè)到的DDoS攻擊，東軟采取的處理方法是設(shè)定保護(hù)線和限制線：當(dāng)設(shè)備判斷當(dāng)前流量異常有DDoS攻擊發(fā)生時(shí)，納入流量分析，進(jìn)入保護(hù)線; 當(dāng)流量到達(dá)一定程度并觸發(fā)限制線時(shí)，將采取強(qiáng)制措施進(jìn)行流量限制?！皷|軟的反DDoS攻擊方案主要是針對(duì)電信運(yùn)營(yíng)商級(jí)的DDoS攻擊，因?yàn)殡娦胚\(yùn)營(yíng)商容易成為黑客攻擊的目標(biāo)，而且遭受了DDoS攻擊后影響會(huì)非常大?！币澖榻B說(shuō)，“而中小企業(yè)的反DDoS攻擊，用防火墻、IPS、UTM就能完成。”

華為賽門鐵克安全解決方案部部長(zhǎng)武鵬介紹了華賽的反DDoS攻擊解決方法，華賽提出了異常流量監(jiān)管解決方案ATIC，其中心思想是: 檢測(cè)中心發(fā)現(xiàn)流量異常后通告管理中心，管理中心控制清洗中心引流，由清洗中心精確區(qū)分異常流量和正常流量，丟棄異常流量并回注正常流量。其中，管理中心用于集中策略管理和報(bào)表呈現(xiàn)，并對(duì)攻擊流量進(jìn)行動(dòng)態(tài)控制，以消除對(duì)網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)性能的影響。

據(jù)了解，華賽的Anti-DDoS設(shè)備，是一個(gè)分層部署、逐層防護(hù)的全網(wǎng)異常流量清洗解決方案，該設(shè)備采用“NP＋多核＋分布式”架構(gòu)，每塊單板能清洗10G DDoS攻擊流量。部署在骨干網(wǎng)的清洗方案專注于帶寬型DDoS攻擊流量的清洗; 接入側(cè)清洗方案則專注小流量及應(yīng)用型攻擊，以實(shí)現(xiàn)基于業(yè)務(wù)和帶寬資源的縱深防御?！斑@樣一來(lái)，不僅可以防御DDoS攻擊，非法訪問(wèn)、安全傳輸和系統(tǒng)安全等問(wèn)題都能得到解決?！蔽澌i強(qiáng)調(diào)，華賽的解決方案是一個(gè)多方案保障網(wǎng)絡(luò)安全的解決辦法。

而綠盟公司則認(rèn)為，目前該公司已經(jīng)基本解決了DDoS攻擊的問(wèn)題。崔云鵬介紹，反DDoS攻擊的最大難點(diǎn)是對(duì)DDoS攻擊的識(shí)別和流量清洗，因?yàn)镈DoS攻擊的訪問(wèn)很多看起來(lái)都是正常的報(bào)文。因此，綠盟的產(chǎn)品針對(duì)這些難點(diǎn)，自主研發(fā)了對(duì)拒絕服務(wù)攻擊進(jìn)行識(shí)別的獨(dú)特算法，能對(duì)SYN Flood、UDP Flood、UDP DNS Query Flood、(M)Stream Flood、ICMP Flood、HTTP Get Flood以及連接耗盡這些常見(jiàn)的攻擊行為進(jìn)行有效識(shí)別，并通過(guò)集成的機(jī)制實(shí)時(shí)對(duì)這些攻擊流量進(jìn)行阻斷?！拔覀兊姆桨妇褪前袲DoS攻擊攔截在門外，使其無(wú)法攻入服務(wù)器內(nèi)部，并對(duì)正常和異常的訪問(wèn)進(jìn)行篩選，在防范惡意攻擊的同時(shí)還可以保證用戶的正常訪問(wèn)?！贝拊迄i總結(jié)了綠盟反DDoS攻擊解決方案的原理。

中新軟件主要是針對(duì)小型用戶遇到的DDoS攻擊推出了解決方案，采取的方法是: 對(duì)于TCP協(xié)議報(bào)文，通過(guò)連接跟蹤模塊來(lái)防護(hù)攻擊; 而對(duì)于UDP及ICMP協(xié)議報(bào)文，主要采用流量控制模塊來(lái)防護(hù)攻擊。針對(duì)進(jìn)出的所有連接均進(jìn)行連接跟蹤，并在跟蹤的同時(shí)進(jìn)行防護(hù)，以化解針對(duì)TCP協(xié)議的各種攻擊。同時(shí)，針對(duì)不同的端口應(yīng)用，中新還提供不同的防護(hù)手段，這使得運(yùn)行在同一服務(wù)器上的不同服務(wù)，都可以獲得完善的攻擊防護(hù)?！斑@樣可以對(duì)攻擊進(jìn)行有效的檢測(cè)，針對(duì)不同的流量觸發(fā)不同的保護(hù)機(jī)制，這在提高效率的同時(shí)還確保了準(zhǔn)確度。”徐航介紹說(shuō)。

部署方式是關(guān)鍵

僅僅有了反DDoS攻擊產(chǎn)品，還并不能完全保證網(wǎng)絡(luò)或應(yīng)用不受DDoS攻擊，這些設(shè)備在網(wǎng)絡(luò)中的部署方法也非常重要，并且將直接決定應(yīng)用的效果。

姚偉棟認(rèn)為，設(shè)備部署在不同層次對(duì)反DDoS攻擊的效果是不一樣的，他建議，應(yīng)該將設(shè)備部署在越外圍越好?！氨热?，對(duì)市級(jí)運(yùn)營(yíng)商網(wǎng)絡(luò)，最好在省級(jí)出口部署反DDoS攻擊設(shè)備; 對(duì)于跨地區(qū)的大型企業(yè)網(wǎng)絡(luò)，最好在每個(gè)互聯(lián)網(wǎng)出口處都部署反DDoS設(shè)備，再加上網(wǎng)絡(luò)管理雙管齊下，就可以降低受攻擊的可能性。”姚偉棟表示，“而對(duì)于中小企業(yè)來(lái)說(shuō)，目前它們還沒(méi)有引起黑客的注意，針對(duì)這種情況，用合適的防火墻、IPS、UTM設(shè)備就可以了。”

“即使都是運(yùn)營(yíng)商網(wǎng)絡(luò)反DDoS攻擊，由于運(yùn)營(yíng)商為企業(yè)提供的帶寬服務(wù)類型不同，其對(duì)DDoS攻擊產(chǎn)品的部署方案和部署模式也不一樣?！蔽澌i認(rèn)為。比如，針對(duì)運(yùn)營(yíng)商要保護(hù)帶寬資源、緩解城域網(wǎng)出口壓力、清洗帶寬型DDoS攻擊的情況，建議部署骨干網(wǎng)方案: netflow檢測(cè)中心+清洗中心+管理中心的動(dòng)態(tài)引流清洗方案; 而針對(duì)運(yùn)營(yíng)商為企業(yè)提供安全寬帶運(yùn)營(yíng)增值服務(wù)的情況，建議采用DPI檢測(cè)中心+清洗中心+管理中心的動(dòng)態(tài)引流清洗方案，這時(shí)還特別要注意在靠近企業(yè)端部署設(shè)備，以確保網(wǎng)絡(luò)流量異常時(shí)得到實(shí)時(shí)清洗。

崔云鵬則指出，針對(duì)不同類型的客戶，綠盟提供了不同的部署方案。對(duì)于大型運(yùn)營(yíng)商來(lái)說(shuō)，可以采用系統(tǒng)支持旁路的部署方式對(duì)DDoS攻擊流量進(jìn)行牽引，同時(shí)通過(guò)部署若干臺(tái)黑洞設(shè)備形成集群，這就增強(qiáng)了系統(tǒng)抵御巨大規(guī)模DDoS攻擊的能力，保證了正常流量的順暢通過(guò); 而對(duì)于小型企業(yè)來(lái)說(shuō)，則可以采用嵌入式部署方案，在遇到流量異常的時(shí)候直接阻斷攻擊，并及時(shí)保障企業(yè)網(wǎng)絡(luò)的安全。

中新的相關(guān)負(fù)責(zé)人在談到中小型企業(yè)反DDoS攻擊時(shí)提到，如果是在缺少專用設(shè)備的情況下，通過(guò)設(shè)置并優(yōu)化操作系統(tǒng)參數(shù)，也是能夠提高系統(tǒng)本身對(duì)DDoS攻擊的抵御能力的。如果可以更換IP、更換域名或是通過(guò)購(gòu)買負(fù)載均衡設(shè)備找到攻擊源頭，并從源頭處解決攻擊是最好的辦法。但是，當(dāng)前攻擊普遍采用的是偽造源地址，并且有大量的傀儡機(jī)存在，使得這種方法變得并不可行。因此，中新認(rèn)為，對(duì)于中小型企業(yè)來(lái)說(shuō)，做好自身的網(wǎng)絡(luò)維護(hù)和系統(tǒng)清理是最重要的。

雖然安全廠商們推出了各種各樣防范DDoS攻擊的設(shè)備和解決方案，也提出了部署實(shí)施的關(guān)鍵措施，但要100%防范DDoS攻擊，似乎有很大的難度，還需要廠商在技術(shù)上進(jìn)一步探索，并需要用戶加強(qiáng)對(duì)網(wǎng)絡(luò)的檢測(cè)和管理，同時(shí)更需要政府和公安部門的大力支持，以打擊這一“網(wǎng)絡(luò)黑社會(huì)”團(tuán)體。總的來(lái)說(shuō)，DDoS攻擊由于其攻擊的突然性以及數(shù)據(jù)流的無(wú)限膨脹，防范的確是一大難題，盡管安全廠商提出了相對(duì)完善的解決方案，但實(shí)際效果還有待市場(chǎng)考驗(yàn)。