簡單三步幫助企業(yè)IT團隊預(yù)防DDoS攻擊

2013-10-30 16:10:12 太平洋電腦網(wǎng)　點擊量：評論 (0)

這樣的報刊標(biāo)題太司空見慣了：攻擊者黑掉了著名網(wǎng)站。這一對業(yè)務(wù)的威脅日趨嚴(yán)重的事件背景是分布式阻絕服務(wù)（DDoS）。重要的是，企業(yè)要對DDos的威脅有所察覺，并采取預(yù)防措施，才能避免成為出現(xiàn)在報刊頭條上

這樣的報刊標(biāo)題太司空見慣了：攻擊者黑掉了著名網(wǎng)站。這一對業(yè)務(wù)的威脅日趨嚴(yán)重的事件背景是分布式阻絕服務(wù)（DDoS）。重要的是，企業(yè)要對DDos的威脅有所察覺，并采取預(yù)防措施，才能避免成為出現(xiàn)在報刊頭條上的下一個DDoS攻擊受害者。本文闡釋了什么是DDoS攻擊，并提供了操作步驟，幫助您盡可能地降低DDoS的影響，甚至是在理想的情況下徹底地規(guī)避攻擊。

風(fēng)險并非虛幻，且危險性越來越高

　　如果您覺得您的公司很小、很不重要，資金也不雄厚，不足以為攻擊者感興趣的下手對象，則請您三思。任何公司企業(yè)都可能成為受害者，大多數(shù)機構(gòu)都容易遭到DDoS攻擊。無論您是《財富》世界500強企業(yè)、政府機構(gòu)還是小中企業(yè)（SMB）——都會出現(xiàn)在當(dāng)今網(wǎng)絡(luò)暴徒的目標(biāo)清單之中。即使是深諳安全之道、動用大量資金和專家保護自身的公司，包括亞馬遜、維薩卡、索尼、孟山都（Monsanto）農(nóng)業(yè)生化、PostFinance支付、貝寶（ PayPal）支付和美洲銀行（Bank of America），也都成為了這一威脅的受害者。

　　最近，DDoS攻擊事件的數(shù)量明顯增加，其攻擊規(guī)模也在升級，遠遠超過了100千兆位秒的流量。對亞洲一家電子商務(wù)網(wǎng)站的一次長時間攻擊形成的僵尸網(wǎng)絡(luò)涉及超過25萬臺僵尸電腦，據(jù)說其中很多都在中國。

DDoS的攻擊形式五花八門

　　從最基本的層面上講，DDoS攻擊是企圖讓一臺機器或一個網(wǎng)絡(luò)的資源無法為目標(biāo)用戶所使用。雖然DDoS攻擊采用的手段、動機和目標(biāo)有所不同，但這種攻擊一般包括一人或多人試圖暫時或無限期中斷或暫停主機與互聯(lián)網(wǎng)連接的服務(wù)。

　　通常情況下，這要通過分布式僵尸網(wǎng)絡(luò)的協(xié)作來進行，要動用數(shù)百或數(shù)千臺僵尸電腦，這些電腦之前已被感染并接受遠程遙控，等待攻擊者發(fā)出命令。DDoS攻擊的方式是通過發(fā)起潮水般的大批量通信，強制覆沒服務(wù)器資源，或利用內(nèi)在弱點，讓目標(biāo)服務(wù)器崩潰。

　　潮水攻擊包括網(wǎng)間控制報文協(xié)議（ICMP）潮（比如smurf和Ping潮水攻擊）、同步符（SYN）潮（使用偽造的TCP/SYN包），以及其他應(yīng)用程序級的潮水攻擊。潮水式DDoS攻擊往往借力于大型分布式僵尸網(wǎng)絡(luò)的不對稱力量。這些網(wǎng)絡(luò)可以創(chuàng)建多個線程，發(fā)送極大數(shù)量的請求，使得網(wǎng)絡(luò)服務(wù)器癱瘓。

　　崩潰攻擊通常發(fā)送利用操作系統(tǒng)漏洞的畸形數(shù)據(jù)包。應(yīng)用程序級的DDoS攻擊通過利用服務(wù)器應(yīng)用程序（比如緩沖溢出或叉路炸彈）來使系統(tǒng)崩潰。惡意軟件搭載的DDoS攻擊可能用木馬病毒危害潛在的僵尸網(wǎng)絡(luò)系統(tǒng)，木馬反過來會觸發(fā)大量下載僵尸代理程序。

　　此外，攻擊已經(jīng)變得更加復(fù)雜。例如，僵尸網(wǎng)絡(luò)可能不僅僅對目標(biāo)服務(wù)器潮水般地傳播數(shù)據(jù)包，而且有可能侵入性地與服務(wù)器建立聯(lián)系，從內(nèi)部啟動極大數(shù)量的偽造應(yīng)用處理。

為什么用DDoS？

　　犯罪分子使用DDoS，因為它價格低廉、難以發(fā)現(xiàn)且十分高效。DDoS攻擊很便宜，是因為它們利用了由成千上萬的僵尸電腦組成的分布式網(wǎng)絡(luò)，這些電腦通過電腦蠕蟲病毒或其他自動化方法俘獲。例如，DDoS攻擊MyDoom就是使用一種蠕蟲病毒來散布潮水攻擊發(fā)起的命令。因為這些僵尸網(wǎng)絡(luò)在全球范圍內(nèi)買賣，在黑市上唾手可得，攻擊者可以用不到100美元購買僵尸網(wǎng)絡(luò)的使用權(quán)進行潮水攻擊，或者以低至每小時5美元的價格雇傭他人進行特定的攻擊。

　　DDoS的攻擊很難探測到，因為它們經(jīng)常使用正常的連接，并模仿正常的授權(quán)通信。結(jié)果，這種攻擊非常高效，因為通常情況下目標(biāo)服務(wù)器會錯誤地信任通信，執(zhí)行這些請求而最終將自身淹沒，促成了攻擊。比如，在HTTP-GET潮水攻擊（例如Mydoom）中，請求通過正常的TCP連接發(fā)送，并被網(wǎng)絡(luò)服務(wù)器認(rèn)定為合法內(nèi)容。

受金錢或意識形態(tài)驅(qū)使

　　受金錢驅(qū)使的DDoS攻擊通常是基于敲詐勒索或競爭。勒索方案往往是要求受害組織支付大筆贖金來防止拒絕服務(wù)，從而使勒索方獲利。例如，據(jù)報道，一家英國的電子賭博網(wǎng)站在拒絕贖金要求后，遭到了DDoS攻擊而癱瘓。

　　來自不道德商業(yè)競爭對手的攻擊比人們想象中的更為普遍。一項行業(yè)調(diào)查發(fā)現(xiàn)，對美國企業(yè)的所有DDoS攻擊有一半以上是由競爭對手發(fā)起的，以得到不正當(dāng)?shù)纳虡I(yè)優(yōu)勢。[corero網(wǎng)絡(luò)安全調(diào)查，2012年]

　　意識形態(tài)攻擊可能由政府機構(gòu)或草根黑客積極分子發(fā)起。黑客積極分子通過阻塞高知名度的組織或網(wǎng)站來讓自己出名，以表達不同的政見或抵觸的做法。也許當(dāng)今最臭名昭著的黑客積極分子的例子之一是松散的團體“無名氏（Anonymous）”，其聲稱自己的職責(zé)（和名聲）是黑掉知名組織，像聯(lián)邦調(diào)查局和中央情報局等的網(wǎng)站，并已經(jīng)瞄準(zhǔn)了遍及六大洲的25個國家的網(wǎng)站。

下一個受害者是誰？

　　因為黑客積極分子的攻擊日程很不穩(wěn)定、無法預(yù)測，任何公司都有可能被當(dāng)做最新熱點的象征，受到黑客的攻擊。知名度高的組織（比如Facebook）或活動（比如奧運會、歐洲杯或美國大選）的網(wǎng)站極易成為攻擊目標(biāo)。

　　而對于由政府發(fā)起的網(wǎng)絡(luò)戰(zhàn)DDoS攻擊，易受襲擊的就不止是政府目標(biāo)了。這些攻擊也可能瞄準(zhǔn)提供關(guān)鍵基礎(chǔ)設(shè)施、通訊和運輸服務(wù)的關(guān)聯(lián)供應(yīng)商，或者試圖損壞關(guān)鍵業(yè)務(wù)或金融交易服務(wù)器。

　　基于云的服務(wù)現(xiàn)在也特別容易遭受針對性的攻擊。因為需要進行過量計算或事務(wù)處理的網(wǎng)站（比如綜合性的搜索引擎或數(shù)據(jù)挖掘網(wǎng)站）非常迫切地需要資源，它們也是DDoS攻擊的首選目標(biāo)。

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個人觀點，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，請讀者僅作參考，并請自行核實相關(guān)內(nèi)容。

我要收藏

個贊