DoS与DDo高级防护白皮书.docVIP

DoS/DDoS高级防护 简介 愈演愈烈的拒绝服务（Denial of Service，DoS）攻击带来的最大危害是服务不可达而导致业务丢失，而且，这样的危害带来的影响，在攻击结束后的很长一段时间内都无法消弥。对于像eBay或者B这样的电子商务公司来说，如果遭受DoS攻击而导致一天的宕机，那就意味着上千万美元的损失。不久以前在全球范围内爆发的SQL Slammer蠕虫，就是一种典型的DoS攻击，它攻击微软SQL服务器的一个漏洞，并且利用该漏洞飞速传播自身，从而导致大量承载了重要业务的微软SQL服务器宕机。SQL Slammer在全球范围内对企业造成了数十亿美元的损失。除蠕虫病毒外，据2004年CSI/FBI计算机犯罪和安全调查显示，针对固定目标的DoS攻击有逐年上升趋势。在受调查的企业中有250个公司遭受过DoS攻击，总损失高达2千万美元，是其它攻击种类的两倍有余。一次成功的DoS攻击除了带来即时、直接的损失外，还会给企业造成长期的伤害，其中包括客户流失、对企业提供的服务可靠性丧失信心以及损害企业形象。 最近流行的分布式拒绝服务（Distributed Denial of Service，DDoS）攻击使得企业和组织在已经很沉重的成本负担上雪上加霜。DoS攻击来源于黑客对大型Web服务网站的入侵工具，让人闻之色变。但是，随着机会的逐渐增多，有组织犯罪集团已将他们的攻击对象转向资产更大的网上银行、金融机构和服务提供商等，若攻击成功，将对这些企业造成更大程度上的业务损失和名誉伤害。 有组织犯罪以持续的、猛烈的DDoS攻击为威胁，向在线服务公司勒索钱财。一旦这些公司不按照攻击者的要求去做，攻击者就会利用数以千计的“傀儡计算机”（zombie），向这些公司的在线系统发起连续的大型的DDoS攻击，直至他们的电子商务陷入瘫痪。 什么是DoS攻击？ DoS攻击是一种基于网络的、阻止用户正常访问网络服务的攻击。DoS攻击采用发起大量网络连接，使服务器或运行在服务器上的程序崩溃、耗尽服务器资源或以其它方式阻止客户访问网络服务，从而使网络服务无法正常运作甚至关闭。 DoS攻击可以是小至对服务器的单一数据包攻击，也可以是利用多台主机联合对被攻击服务器发起洪水般的数据包攻击。在单一数据包攻击中，攻击者精心构建一个利用操作系统或应用程序漏洞的攻击包，通过网络把攻击性数据包送入被攻击服务器，以实现关闭服务器或者关闭服务器上的一些服务。臭名昭著的Slammer蠕虫就是利用了漏洞进行攻击的。 在洪水般的攻击DDoS攻击中，黑客使用多台机器造成的网络拥塞，无法正常。服务。DDoS由DoS攻击演变而来，这种攻击是黑客利用在已经侵入并已控制（可能是数百，甚至成千上万台）的上安装DoS服务程序它们等待来自中央攻击控制中心的命令中央攻击控制中心在适时启动全体受控主机的DoS服务进程，让它们对一个特定目标发送尽可能多的网络访问请求，形成一股DoS洪流冲击目标系统，猛烈的DoS攻击同一个网站在寡不敌众的力量抗衡下，被攻击的目标网站会很快失去反应而不能及时处理正常的访问甚至系统瘫痪崩溃。所采用的这种攻击方式很难被攻击对象察觉，直到攻击者发统一的攻击命令，这些机器才同时发起进攻。黑客。TippingPoint的安全也出针对漏洞的过滤器数字疫苗（Digital Vaccines）中数字疫苗除每周定时在线更新，并随时对有严重威胁的漏洞或攻击生成新的过滤器，数字疫苗/网络发动攻击，大规模攻击导致系统瘫痪，并使网络无法接收合法流量。 TippingPoint针对“傀儡计算机”招募提供的解决方案 除上述漏洞防护外，UnityOne系列IPS还具有检测与阻挡病毒的过滤器。病毒与漏洞双重过滤器保护，完全阻绝黑客招募“傀儡计算机”的可能。 方法3－攻击工具 通过招募“傀儡计算机”，黑客可以利用秘密的信道远程联络和控制这些“傀儡计算机”军团。在网站上可以找到数百种现成的后门程序和制作工具，这些工具和程序可用于入侵网络，招募“傀儡计算机”军团，以便从“傀儡计算机”发动攻击。这批“傀儡计算机”大军建成之后，黑客就可以利用其它工具对所有“傀儡计算机”发送单一的攻击指令。有时，这些指令是搭载在ICMP或UDP数据包上，从而绕过防火墙。有时候“傀儡计算机”也会主动与攻击者的控制系统建立TCP连接（也称：Phones Home）。一旦连接建立起来，这个攻击者就可以控制“傀儡计算机”了。 用于攻击与控制系统的工具主要包括： Tribe Flood Network(TFN)－TFN由主控端程序和代理端程序两部分组成，它主要采取的攻击方法为：SYN风暴、Ping风暴、UDP炸弹和Smurf，具有伪造数据包的能力。 Tribe Flood Network 2000(TFN2k)－TFN2K是由TF