斩断DDoS魔掌的六把“利刃”.docVIP

虽然DDoS（分布式拒绝服务攻击）早已是黑客的重量级武器，但其性质和影响却是今非昔比了。它已经成为众多通过网络从事业务的公司的重要威胁，它变得更强大、更具有针对性，也更加复杂，会严重的影响企业的信誉。而且，一些业余黑客也能够发动该攻击，或者利用僵尸网络为其工作。 　　由于DDoS已经发生了明显的变化，传统的DDoS减轻策略，如提供充足带宽，防火墙，入侵防御系统等设备都无法充分保护企业网络、应用程序和服务。本文在充分总结世界知名企业挫败DDoS攻击和其它攻击的基础上，提出了可以帮助企业有效应对DDoS攻击，同时最小化其对企业运营影响的六大最佳方法。 DDoS的变化 　　为什么成千上万的公司花费大量的人力物力苦苦维护和恢复其网络服务，但每年仍有大量公司由于DDoS攻击而丧失大量的金钱？下面这些变化使得DDoS攻击更猖獗也更具有破坏性。 1、日益复杂的策略 　　臭名昭著的七月四日攻击是由一种定制的僵尸发起并配合SYN、PING、GET洪水等来实施的。这些攻击针对政府部门和私有企业。虽然这些攻击的重量级并不高（每秒平均39兆字节），但它使用了200000个僵尸，这就极大地增强了其攻击的影响和范围。除了这种直接的洪水攻击（此攻击将大量的欺骗性数据包直接发送给受害者），攻击者还在日益使用反射洪水攻击。在反射洪水攻击中，攻击者使用递归DNS服务器来向受害者发动攻击，并在攻击过程中不断地强化攻击从而使得追踪攻击源更加困难。 2、针对性的与随机的受害者 　　虽然过去的多数攻击都是随机的，但当今的攻击常常专门对付一家企业或其一个部门或更小的一个部分。更糟的是，攻击者往往会搞垮与其没有直接矛盾的网站，其目的仅仅是为了扩大对第三方目标的影响。例如，分析师们相信，2009年针对Facebook的DDoS攻击，其设计目的竟然是为了阻止该社交网站的某个用户。而Facebook只不过是其一个间接的受害者。 3、偷偷地利用应用程序的漏洞进行攻击 　　网络罪犯可以不必采用强力攻击来搞垮整个网络，而是执行微妙的应用程序级攻击来模仿合法的通信。这些攻击运行在一个应用程序或应用程序服务器活动的正常阈值范围之内，这就使得基于阈值的检测工具难以检测它。目前为止，受攻击的主要应用程序目标都是常用的软件和网络技术中的漏洞。然而，针对定制的应用程序的攻击也逞上升趋势。 4、初级工具 　　即使拥有很少技术或技能的人也可以发动DDoS攻击。在互联网上很容易就可以找到低成本的僵局网络租用广告，一个网站提供的僵局网络就可以发动10到100Gbps的攻击，而其每天的花费却不多。想成为攻击者的人也可以与其他人合作，使用“群体外包”策略。例如，针对Twitter的“绿色革命”攻击就采用了此策略。在这次攻击中，Twitter用户将链接粘贴到“攻击池”（例如，高容量的页面重载）中，由此可以招集反政府力量摧毁政府网站。虽然“群体外包”策略需要不断地激励很多人，并且难以维持，但这种攻击起码体现出：任何人都可以轻易地发动一次攻击。 5、每秒发送数以百万计的数据包 　　网络犯罪份子可以利用成千上万的“肉机”的处理能力和带宽，形成能够每秒发送数以百万计的数据包的僵局网络，这几乎可以击垮任何大型的网络。这种攻击的重量级要比十年前强大一百倍。 减轻DDoS攻击面临的挑战 　　虽然许多企业日益关注DDoS攻击，但很少有企业部署专门的DDoS保护机制。那些能够暂时解决DDoS攻击的企业往往依赖于不具备快速减轻攻击能力和灵活性的方法。 　　尽管下面这些措施得到广泛应用，但对多数企业而言，只靠这些措施来抵挡当今变化多端的大型DDoS攻击是远远不够的。 1、过度配置带宽 　　虽然提供过度的带宽是最常见的对抗DDoS的措施之一，但事实上，这样做既无成本效益也不高效可行。对于企业来说，提供高于其需要处理峰值负载的额外75%的带宽是很少见的，而且一旦攻击超过了所提供的带宽数量，过度配置带宽就无效了。此外，过度提供的带宽仅能解决网络级的攻击，而不能应对应用程序级或操作系统级的攻击。由于现代的攻击每秒钟能够携带一百万个数据包，即使配置再好的网络也会被击垮。 2、防火墙 　　虽然防火墙过去常用来对付DoS（拒绝服务攻击），且完全够用，但是僵尸网络等攻击手段降低了在网络边缘阻止攻击的有效性。使用防火墙来减轻DDoS攻击可能会导致CPU的利用达到峰值，并耗尽内存资源。此外，防火墙并没有异常检测能力。 3、入侵检测系统（IDS） 　　入侵检测设备一般位于防火墙之后，其设计目的是为了检测某种恶意的数据包。无论IDS还是IPS，其设计目的都不是为了应对海量的攻击。将其用于减轻DDoS攻击会对其入侵检测的本来功能产生影响。此外，在IDS检测到异常而发出警告时，攻击通信已经在消耗互联网带宽，严重影响网络功能，导致CPU的利用达到峰值，并耗尽内存