如何不讓DDOS攻擊暴風影音的事件重演
暴風影音遭到黑客拒接服務(Dos)攻擊是今年網(wǎng)絡安全領(lǐng)域最重大的新聞,這直接導致了5月19日的全國大范圍斷網(wǎng)事件了,相信和我一樣的大部分網(wǎng)民都也看到了這方面的消息。至于其中誰對誰錯,大家肯定都有自己心中的答案了。
本來兩個商家來利用互聯(lián)網(wǎng)中無辜用戶的帶寬來攻擊對方的網(wǎng)站的這種手段就已經(jīng)很惡劣了,后來竟然發(fā)展到直接來攻擊提供域名解析的DNS服務器了,真是太不可思議了!(注:DNS是域名系統(tǒng)(DomainNameServer)的縮寫,該系統(tǒng)用于命名組織到域?qū)哟谓Y(jié)構(gòu)中的計算機和網(wǎng)絡服務。在Internet上域名與IP地址之間是一對一(或者一對多)的,域名雖然便于人們記憶,但機器之間只能互相認識IP地址,它們之間的轉(zhuǎn)換工作稱為域名解析,域名解析需要由專門的域名解析服務器來完成,DNS就是進行域名解析的服務器。)DNS服務器都是針對大量的域名進行解析的,一旦這些DNS服務器不能正常工作的話,就會造成用戶訪問網(wǎng)站不能解析的情況,如果恰好有些電子商務之類的網(wǎng)站也在該服務器上,而且現(xiàn)在很多網(wǎng)站都是靠廣告商投放廣告來賺錢的,DNS服務器長時間不能工作的話,不僅會給網(wǎng)民帶來瀏覽網(wǎng)站造成不便,也會給網(wǎng)站帶來不少損失的。所以如何保護這些DNS服務器的安全也是非常重要的.
在5.19事件中DNSPOD的域名服務器很可能遭受的是網(wǎng)上盛傳的DDOS攻擊,在網(wǎng)上找到了有關(guān)DDOS攻擊的資料:想了解DDOS攻擊的話,要先從DOS攻擊開始說起,DoS的攻擊方式有很多種,最基本的DoS攻擊就是利用合理的服務請求來占用過多的服務資源,從而使合法用戶無法得到服務的響應。
DDoS攻擊手段是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。單一的DoS攻擊一般是采用一對一方式的,當攻擊目標CPU速度低、內(nèi)存小或者網(wǎng)絡帶寬小等等各項性能指標不高它的效果是明顯的。隨著計算機與網(wǎng)絡技術(shù)的發(fā)展,計算機的處理能力迅速增長,內(nèi)存大大增加,同時也出現(xiàn)了千兆級別的網(wǎng)絡,這使得DoS攻擊的困難程度加大了-目標對惡意攻擊包的"消化能力"加強了不少,例如你的攻擊軟件每秒鐘可以發(fā)送3,000個攻擊包,但我的主機與網(wǎng)絡帶寬每秒鐘可以處理10,000個攻擊包,這樣一來攻擊就不會產(chǎn)生什么效果。
這時侯分布式的拒絕服務攻擊手段(DDoS)就應運而生了。你理解了DoS攻擊的話,它的原理就很簡單。如果說計算機與網(wǎng)絡的處理能力加大了10倍,用一臺攻擊機來攻擊不再能起作用的話,攻擊者使用10臺攻擊機同時攻擊呢?用100臺呢?DDoS就是利用更多的傀儡機來發(fā)起進攻,以比從前更大的規(guī)模來進攻受害者。
高速廣泛連接的網(wǎng)絡給大家?guī)砹朔奖悖矠镈DoS攻擊創(chuàng)造了極為有利的條件。在低速網(wǎng)絡時代時,黑客占領(lǐng)攻擊用的傀儡機時,總是會優(yōu)先考慮離目標網(wǎng)絡距離近的機器,因為經(jīng)過路由器的跳數(shù)少,效果好。而現(xiàn)在電信骨干節(jié)點之間的連接都是以G為級別的,大城市之間更可以達到2.5G的連接,這使得攻擊可以從更遠的地方或者其他城市發(fā)起,攻擊者的傀儡機位置可以在分布在更大的范圍,選擇起來更靈活了。了解了DDOS的攻擊原理,接下來就要知道如何防御這種攻擊了。以下是節(jié)選著名網(wǎng)絡安全專家孤獨劍客接受專訪時談到該攻擊的防御方法:
對付DDOS是一個系統(tǒng)工程,想僅僅依靠某種系統(tǒng)或產(chǎn)品防住DDOS是不現(xiàn)實的,可以肯定的是,完全杜絕DDOS目前是不可能的,但通過適當?shù)拇胧┑钟?0%的DDOS攻擊是可以做到的,基于攻擊和防御都有成本開銷的緣故,若通過適當?shù)霓k法增強了抵御DDOS的能力,也就意味著加大了攻擊者的攻擊成本,那么絕大多數(shù)攻擊者將無法繼續(xù)下去而放棄,也就相當于成功的抵御了DDOS攻擊。以下為筆者多年以來抵御DDOS的經(jīng)驗和建議,和大家分享!
首先要保證網(wǎng)絡設備不能成為瓶頸,因此選擇路由器、交換機、硬件防火墻等設備的時候要盡量選用知名度高、口碑好的產(chǎn)品。再就是假如和網(wǎng)絡提供商有特殊關(guān)系或協(xié)議的話就更好了,當大量攻擊發(fā)生的時候請他們在網(wǎng)絡接點處做一下流量限制來對抗某些種類的DDOS攻擊是非常有效的。
2、盡量避免NAT的使用
無論是路由器還是硬件防護墻設備要盡量避免采用網(wǎng)絡地址轉(zhuǎn)換NAT的使用,因為采用此技術(shù)會較大降低網(wǎng)絡通信能力,其實原因很簡單,因為NAT需要對地址來回轉(zhuǎn)換,轉(zhuǎn)換過程中需要對網(wǎng)絡包的校驗和進行計算,因此浪費了很多CPU的時間,但有些時候必須使用NAT,那就沒有好辦法了。
3、充足的網(wǎng)絡帶寬保證
網(wǎng)絡帶寬直接決定了能抗受攻擊的能力,假若僅僅有10M帶寬的話,無論采取什么措施都很難對抗現(xiàn)在的SYNFlood攻擊,當前至少要選擇100M的共享帶寬,最好的當然是掛在1000M的主干上了。但需要注意的是,主機上的網(wǎng)卡是1000M的并不意味著它的網(wǎng)絡帶寬就是千兆的,若把它接在100M的交換機上,它的實際帶寬不會超過100M,再就是接在100M的帶寬上也不等于就有了百兆的帶寬,因為網(wǎng)絡服務商很可能會在交換機上限制實際帶寬為10M,這點一定要搞清楚。
4、升級主機服務器硬件
在有網(wǎng)絡帶寬保證的前提下,請盡量提升硬件配置,要有效對抗每秒10萬個SYN攻擊包,服務器的配置至少應該為:起關(guān)鍵作用的主要是CPU和內(nèi)存,若有志強雙CPU的話就用它吧,內(nèi)存一定要選擇DDR的高速內(nèi)存,硬盤要盡量選擇SCSI的,別只貪IDE價格不貴量還足的便宜,否則會付出高昂的性能代價,再就是網(wǎng)卡一定要選用3COM或Intel等名牌的,若是Realtek的還是用在自己的PC上吧。
5、把網(wǎng)站做成靜態(tài)頁面2
大量事實證明,把網(wǎng)站盡可能做成靜態(tài)頁面,不僅能大大提高抗攻擊能力,而且還給黑客入侵帶來不少麻煩,至少到現(xiàn)在為止關(guān)于HTML的溢出還每出現(xiàn),看看吧!新浪、搜狐、網(wǎng)易等門戶網(wǎng)站主要都是靜態(tài)頁面,若你非需要動態(tài)腳本調(diào)用,那就把它弄到另外一臺單獨主機去,免的遭受攻擊時連累主服務器,當然,適當放一些不做數(shù)據(jù)庫調(diào)用腳本還是可以的,此外,最好在需要調(diào)用數(shù)據(jù)庫的腳本中拒絕使用代理的訪問,因為經(jīng)驗表明使用代理訪問你網(wǎng)站的80%屬于惡意行為。
6、增強操作系統(tǒng)的TCP/IP棧;
Win2000和Win2003作為服務器操作系統(tǒng),本身就具備一定的抵抗DDOS攻擊的能力,只是默認狀態(tài)下沒有開啟而已,若開啟的話可抵擋約10000個SYN攻擊包,若沒有開啟則僅能抵御數(shù)百個,具體怎么開啟,自己去看微軟的文章吧!《強化TCP/IP堆棧安全》-http://web.archive.org/web/20041...ance/secmod109.mspx。也許有的人會問,那我用的是Linux和FreeBSD怎么辦?很簡單,按照這篇文章去做吧!《SYNCookies》-h(huán)ttp://web.archive.org/web/20041....to/syncookies.html!
7、安裝專業(yè)抗DDOS防火墻
國內(nèi)有一款可全功能免費試用的“冰盾防火墻”,是專門針對DDOS攻擊和黑客入侵而設計的專業(yè)級防火墻,據(jù)測試可有效對抗每秒數(shù)十萬的SYN/ACK攻擊、TCP全連接攻擊、刷腳本攻擊等DDOS攻擊,而且可識別2000多種黑客行為的入侵檢測模塊,能夠有效防范端口掃描、SQL注入、木馬上傳等攻擊。
8、其他防御措施%
以上的七條對抗DDOS建議,適合絕大多數(shù)擁有自己主機的用戶,對于第1-4條自己具有選擇權(quán),第5條可以通過網(wǎng)站改版來實現(xiàn),第6條是免費的,第7條若購買的話需要一些費用,但在所有建議中是最有效的,并且情況允許的話,完全可以一直使用試用版。但假如采取以上措施后仍然不能解決DDOS問題,就有些麻煩了,可能需要更多投資,增加服務器數(shù)量并采用DNS輪巡或負載均衡技術(shù),甚至需要購買七層交換機設備,從而使得抗DDOS攻擊能力成倍提高,只要投資足夠深入,總有攻擊者會放棄的時候,那時候你就成功了!
我覺得以后DNS服務器提供商可以按照孤獨劍客先生說的這種方法來幫助DNS服務器防御DDOS攻擊,更好的為網(wǎng)民提供DNS解析服務!
【編輯推薦】
