DOSDDOS攻击防御解决方案.docVIP

DOS/DDOS攻击防御解决方案 1.介绍　　拒绝服务攻击，英文Denial of Service（DOS），作为互联网上的一种攻击手段，已经有好几年的历史。到目前为止，还没有很好的解决办法来解决拒绝服务攻击问题。拒绝服务攻击是互联网上最为严重的威胁之一。专家一般认为，除非修改TCP/IP的内核，否则，从理论上没有办法解决拒绝服务攻击。　　什么是拒绝服务攻击？　　拒绝服务攻击，利用TCP/IP协议的缺陷，将提供服务的网络的资源耗尽，导致不能提供正常服务，是一种对网络危害巨大的恶意攻击。有些拒绝服务攻击是消耗带宽，有些是消耗网络设备的CPU和内存，也有一些是导致系统崩溃。其中，具有代表性的攻击手段包括 SYN flood、ICMP flood、UDP flood等，其原理是短时间内发送大量伪造的连接请求报文到网络服务所在的端口，比如80（网站），造成服务器的资源耗尽，系统停止响应甚至崩溃。而连接耗尽攻击，则使用真实的IP地址，发起针对网络服务的大量的真实连接来抢占带宽，也可以造成 WEB 服务器的资源耗尽，导致服务中止。另外一些利用网络协议缺陷进行攻击的拒绝服务技术，包括 Land攻击，WinNuke、 Ping of Death、TearDrop 等也曾猖狂一时。2．全球范围内拒绝范围攻击情况　　据美国联邦调查局（FBI）和美国计算机犯罪调查（CSI）报告指出，2001年，美国有38%的网站遭受到拒绝服务攻击，平均一次攻击损失超过一百万美元。美国政府网站、白宫、Microsoft、CNN、Yahoo，ZDNet、Ebay、纽约时报等网站都遭受过拒绝服务攻击。平均每星期有超过4000起的拒绝服务攻击。商业公司的网站如Ebay，在22个小时的攻击之后，股票价格下降26%。 3．我国网站的拒绝服务攻击情况　　我国的网站遭到拒绝服务攻击的情况也十分普遍。绝大多数的ISP和ICP，网站和电信公司都遭到过拒绝服务攻击。尤其是在宽带用户数量大幅度增加之后，加上宽带业务的推广，使得拒绝服务攻击变得较为严重。　　随着我国政府推进电子政务，上网的政府网站越来越多，网站被攻击的问题十分突出。我国政府网站所受到的威胁主要来自以下几个方面：一． 邪教组织、恐怖组织、反政府组织、犯罪组织等利用网络开展的攻击。二． 国家之间竞争，导致未来的信息战是不可避免，在和平时期的摩擦会不断发生。据美国FBI的报告，由政府发起的攻击占总攻击数量的四分之一。即每四次网络攻击，就有一次是政府行为。三． 不仅政府有竞争对手，商业公司也有竞争对手，行业间的间谍活动，乃至经济犯罪组织，都会采取网络攻击方式。商业公司遭受的拒绝服务攻击，将近一半是由竞争对手干的。四． 网络黑客的攻击。无论网络黑客是有意的还是无意的，是恶意的还是无恶意的，好的还是坏的，来自黑客的攻击十分普遍。 五． 内部人员的不满造成的攻击和破坏。 　　根据最近的观察，针对政府和企业的网络破坏行为明显的开始增多。绝大多数网站在遭受攻击之后，担心名誉受到损害，也担忧招致更多的黑客攻击，不愿意公开报道。用户迫切希望能有有效的解决方案和产品，抵御拒绝服务攻击。 4．DoS和DDoS仍是网络的头号威胁　　美国政府已经把网络攻击提高到数字珍珠港的预言的高度，尤其911之后，美国把网络列为可能成为恐怖分子利用的重要武器的范围。一些邪教组织已经开始利用网络，通过篡改网站内容，来达到宣传邪教的目标。 　　不久前，互联网的核心，位于美国、瑞典、英国、日本的13台肩负互联网数据传输重任的国际域名根服务器遭到来历不明的网络攻击，其中有9台根服务器因遭受攻击而陷入瘫痪，造成服务中断1小时。这一事件再次提醒人们，DoS和DDoS仍然是网络的头号威胁。 DOS和DDOS攻击对骨干网路由器、交换机、防火墙、入侵检测设备、网站、主机、服务器等都会造成瘫痪。　　目前已经发生的威胁和危害的领域包括，政府、军事、外交、银行、税务网络、交通、机场、电力、水利、铁路、证券、社会保险、核设施等涉及国家安全的领域。 5.目前国内外防御拒绝服务的技术情况　　根据美国计算机应急和响应中心的报告，目前还没有很好的解决DOS攻击的办法。国外一些专家甚至断言，除非改变TCP/IP内核，否则没有办法解决拒绝服务攻击问题。　　防火墙，入侵检测和VPN等设备不能解决拒绝服务攻击　　有很多厂商宣称采用自己的防火墙可以解决DOS和DDOS攻击，这是不完全正确的。在防火墙中增加SYNcache和SYNproxy等支持抗DOS和DDOS的功能，对小规模的DOS攻击有一定的效果，但对大规模的DOS和DDOS攻击，基本束手无策。　　入侵检测更不能解决DOS和DDOS攻击。入侵检测是一个检测设备，只能检测可能发生的攻击，本身并不具备抵抗拒绝服