如何不讓DDOS攻擊暴風影音的事件重演
暴風影音遭到黑客拒接服務(Dos)攻擊是今年網絡安全領域最重大的新聞,這直接導致了5月19日的全國大范圍斷網事件了,相信和我一樣的大部分網民都也看到了這方面的消息。至于其中誰對誰錯,大家肯定都有自己心中的答案了。
本來兩個商家來利用互聯網中無辜用戶的帶寬來攻擊對方的網站的這種手段就已經很惡劣了,后來竟然發展到直接來攻擊提供域名解析的DNS服務器了,真是太不可思議了!(注:DNS是域名系統(DomainNameServer)的縮寫,該系統用于命名組織到域層次結構中的計算機和網絡服務。在Internet上域名與IP地址之間是一對一(或者一對多)的,域名雖然便于人們記憶,但機器之間只能互相認識IP地址,它們之間的轉換工作稱為域名解析,域名解析需要由專門的域名解析服務器來完成,DNS就是進行域名解析的服務器。)DNS服務器都是針對大量的域名進行解析的,一旦這些DNS服務器不能正常工作的話,就會造成用戶訪問網站不能解析的情況,如果恰好有些電子商務之類的網站也在該服務器上,而且現在很多網站都是靠廣告商投放廣告來賺錢的,DNS服務器長時間不能工作的話,不僅會給網民帶來瀏覽網站造成不便,也會給網站帶來不少損失的。所以如何保護這些DNS服務器的安全也是非常重要的.
在5.19事件中DNSPOD的域名服務器很可能遭受的是網上盛傳的DDOS攻擊,在網上找到了有關DDOS攻擊的資料:想了解DDOS攻擊的話,要先從DOS攻擊開始說起,DoS的攻擊方式有很多種,最基本的DoS攻擊就是利用合理的服務請求來占用過多的服務資源,從而使合法用戶無法得到服務的響應。
DDoS攻擊手段是在傳統的DoS攻擊基礎之上產生的一類攻擊方式。單一的DoS攻擊一般是采用一對一方式的,當攻擊目標CPU速度低、內存小或者網絡帶寬小等等各項性能指標不高它的效果是明顯的。隨著計算機與網絡技術的發展,計算機的處理能力迅速增長,內存大大增加,同時也出現了千兆級別的網絡,這使得DoS攻擊的困難程度加大了-目標對惡意攻擊包的"消化能力"加強了不少,例如你的攻擊軟件每秒鐘可以發送3,000個攻擊包,但我的主機與網絡帶寬每秒鐘可以處理10,000個攻擊包,這樣一來攻擊就不會產生什么效果。
這時侯分布式的拒絕服務攻擊手段(DDoS)就應運而生了。你理解了DoS攻擊的話,它的原理就很簡單。如果說計算機與網絡的處理能力加大了10倍,用一臺攻擊機來攻擊不再能起作用的話,攻擊者使用10臺攻擊機同時攻擊呢?用100臺呢?DDoS就是利用更多的傀儡機來發起進攻,以比從前更大的規模來進攻受害者。
高速廣泛連接的網絡給大家帶來了方便,也為DDoS攻擊創造了極為有利的條件。在低速網絡時代時,黑客占領攻擊用的傀儡機時,總是會優先考慮離目標網絡距離近的機器,因為經過路由器的跳數少,效果好。而現在電信骨干節點之間的連接都是以G為級別的,大城市之間更可以達到2.5G的連接,這使得攻擊可以從更遠的地方或者其他城市發起,攻擊者的傀儡機位置可以在分布在更大的范圍,選擇起來更靈活了。了解了DDOS的攻擊原理,接下來就要知道如何防御這種攻擊了。以下是節選著名網絡安全專家孤獨劍客接受專訪時談到該攻擊的防御方法:
對付DDOS是一個系統工程,想僅僅依靠某種系統或產品防住DDOS是不現實的,可以肯定的是,完全杜絕DDOS目前是不可能的,但通過適當的措施抵御90%的DDOS攻擊是可以做到的,基于攻擊和防御都有成本開銷的緣故,若通過適當的辦法增強了抵御DDOS的能力,也就意味著加大了攻擊者的攻擊成本,那么絕大多數攻擊者將無法繼續下去而放棄,也就相當于成功的抵御了DDOS攻擊。以下為筆者多年以來抵御DDOS的經驗和建議,和大家分享!
首先要保證網絡設備不能成為瓶頸,因此選擇路由器、交換機、硬件防火墻等設備的時候要盡量選用知名度高、口碑好的產品。再就是假如和網絡提供商有特殊關系或協議的話就更好了,當大量攻擊發生的時候請他們在網絡接點處做一下流量限制來對抗某些種類的DDOS攻擊是非常有效的。
2、盡量避免NAT的使用
無論是路由器還是硬件防護墻設備要盡量避免采用網絡地址轉換NAT的使用,因為采用此技術會較大降低網絡通信能力,其實原因很簡單,因為NAT需要對地址來回轉換,轉換過程中需要對網絡包的校驗和進行計算,因此浪費了很多CPU的時間,但有些時候必須使用NAT,那就沒有好辦法了。
3、充足的網絡帶寬保證
網絡帶寬直接決定了能抗受攻擊的能力,假若僅僅有10M帶寬的話,無論采取什么措施都很難對抗現在的SYNFlood攻擊,當前至少要選擇100M的共享帶寬,最好的當然是掛在1000M的主干上了。但需要注意的是,主機上的網卡是1000M的并不意味著它的網絡帶寬就是千兆的,若把它接在100M的交換機上,它的實際帶寬不會超過100M,再就是接在100M的帶寬上也不等于就有了百兆的帶寬,因為網絡服務商很可能會在交換機上限制實際帶寬為10M,這點一定要搞清楚。
4、升級主機服務器硬件
在有網絡帶寬保證的前提下,請盡量提升硬件配置,要有效對抗每秒10萬個SYN攻擊包,服務器的配置至少應該為:起關鍵作用的主要是CPU和內存,若有志強雙CPU的話就用它吧,內存一定要選擇DDR的高速內存,硬盤要盡量選擇SCSI的,別只貪IDE價格不貴量還足的便宜,否則會付出高昂的性能代價,再就是網卡一定要選用3COM或Intel等名牌的,若是Realtek的還是用在自己的PC上吧。
5、把網站做成靜態頁面2
大量事實證明,把網站盡可能做成靜態頁面,不僅能大大提高抗攻擊能力,而且還給黑客入侵帶來不少麻煩,至少到現在為止關于HTML的溢出還每出現,看看吧!新浪、搜狐、網易等門戶網站主要都是靜態頁面,若你非需要動態腳本調用,那就把它弄到另外一臺單獨主機去,免的遭受攻擊時連累主服務器,當然,適當放一些不做數據庫調用腳本還是可以的,此外,最好在需要調用數據庫的腳本中拒絕使用代理的訪問,因為經驗表明使用代理訪問你網站的80%屬于惡意行為。
6、增強操作系統的TCP/IP棧;
Win2000和Win2003作為服務器操作系統,本身就具備一定的抵抗DDOS攻擊的能力,只是默認狀態下沒有開啟而已,若開啟的話可抵擋約10000個SYN攻擊包,若沒有開啟則僅能抵御數百個,具體怎么開啟,自己去看微軟的文章吧!《強化TCP/IP堆棧安全》-http://web.archive.org/web/20041...ance/secmod109.mspx。也許有的人會問,那我用的是Linux和FreeBSD怎么辦?很簡單,按照這篇文章去做吧!《SYNCookies》-http://web.archive.org/web/20041....to/syncookies.html!
7、安裝專業抗DDOS防火墻
國內有一款可全功能免費試用的“冰盾防火墻”,是專門針對DDOS攻擊和黑客入侵而設計的專業級防火墻,據測試可有效對抗每秒數十萬的SYN/ACK攻擊、TCP全連接攻擊、刷腳本攻擊等DDOS攻擊,而且可識別2000多種黑客行為的入侵檢測模塊,能夠有效防范端口掃描、SQL注入、木馬上傳等攻擊。
8、其他防御措施%
以上的七條對抗DDOS建議,適合絕大多數擁有自己主機的用戶,對于第1-4條自己具有選擇權,第5條可以通過網站改版來實現,第6條是免費的,第7條若購買的話需要一些費用,但在所有建議中是最有效的,并且情況允許的話,完全可以一直使用試用版。但假如采取以上措施后仍然不能解決DDOS問題,就有些麻煩了,可能需要更多投資,增加服務器數量并采用DNS輪巡或負載均衡技術,甚至需要購買七層交換機設備,從而使得抗DDOS攻擊能力成倍提高,只要投資足夠深入,總有攻擊者會放棄的時候,那時候你就成功了!
我覺得以后DNS服務器提供商可以按照孤獨劍客先生說的這種方法來幫助DNS服務器防御DDOS攻擊,更好的為網民提供DNS解析服務!
【編輯推薦】
