據(jù)近日媒體報道，“知名的游戲討論社群游戲基地與巴哈姆特，分別遭到DDoS(分布式阻斷服務(wù))攻擊，其攻擊者甚至要求網(wǎng)站配合宣傳，否則將繼續(xù)攻擊，行徑令業(yè)者咋舌?！薄　?/P>

擁有眾多用戶的巴哈姆特與游戲基地網(wǎng)站，自4月27日起分別傳出因同時涌現(xiàn)大量聯(lián)機要求導(dǎo)致首頁主機當(dāng)機事件，其中巴哈姆特甚至收到來自網(wǎng)名為wuwebshell的黑客來信，要求巴哈姆特刊登其經(jīng)營的非法在線游戲服務(wù)器(私服)廣告，否則便會再發(fā)動攻擊，巴哈姆特回絕后，竟又在28日下午受到更強大的攻擊，“沒見過這么明目張膽的手法，”巴哈姆特站長陳建弘(網(wǎng)名Sega)說?！　?/P>

同樣遭到DDoS攻擊的游戲基地，社長江文忠表示，并未收到類似巴哈姆特所收到的“條件交換”訊息，但表示總機曾接獲可疑電話，但當(dāng)時并未立即處理，在與巴哈姆特溝通后，懷疑攻擊應(yīng)是出自同一人或同一集團之手。　　

江文忠表示，在攻擊最高峰時，系統(tǒng)曾在十秒內(nèi)接到一萬個以上的聯(lián)機請求，且來源遍布世界各地;陳建宏則說，同一時間內(nèi)曾遭到數(shù)千臺計算機的攻擊，初步判定是黑客發(fā)動旗下的殭尸網(wǎng)絡(luò)(botnet)大軍，癱瘓巴哈姆特的服務(wù)器?！　?/P>

DDoS攻擊帶來的威脅已經(jīng)越來越大。除嚴(yán)重影響以至中斷用戶的應(yīng)用外，尤其是在游戲行業(yè)利用DDoS的相互攻擊現(xiàn)象已經(jīng)非常普遍，甚至形成了只有交“保護費”才能免遭攻擊的局面，這大大提高了企業(yè)運營的門檻，已經(jīng)對新經(jīng)濟發(fā)展造成嚴(yán)重的阻礙。　　

利用DDoS進行網(wǎng)絡(luò)攻擊已經(jīng)不是第一次了，其中最著名的事件就是遐邇網(wǎng)絡(luò)攻擊游戲網(wǎng)站事件?！　?/P>

07年6月10日晚，北京海淀區(qū)，完美時空公司總部遭遇黑客攻擊。公司技術(shù)部工作人員最先發(fā)現(xiàn)異常，大量攻擊數(shù)據(jù)突然從網(wǎng)上涌來，沖向公司網(wǎng)站域名服務(wù)器，隨后網(wǎng)站癱瘓無法打開。技術(shù)人員隨即進行維護和防御，但攻擊數(shù)據(jù)有增無減。6月11日下午，攻擊流量總計已超過100G。實際上07年4月開始，一股黑客攻擊狂潮席卷聯(lián)眾、完美時空等國內(nèi)多家大型網(wǎng)絡(luò)游戲公司。攻擊造成經(jīng)濟損失達上千萬元。事后發(fā)現(xiàn)，此幕后黑手是遐邇防火墻經(jīng)理羅春等人，此事件也是DDOS攻擊首例告破案件?！?/P>

分布式拒絕服務(wù)攻擊使用與普通的拒絕服務(wù)攻擊同樣的方法，但是發(fā)起攻擊的源是多個。通常攻擊者使用下載的工具滲透無保護的主機，當(dāng)獲得該主機的適當(dāng)?shù)脑L問權(quán)限后，攻擊者在主機中安裝軟件的服務(wù)或進程(以下簡稱代理或傀儡機)。　　

這些代理保持睡眠狀態(tài)，直到從它們的主控端得到指令，對指定的目標(biāo)發(fā)起拒絕服務(wù)攻擊。隨著危害力極強的黑客工具的廣泛傳播使用，分布式拒絕服務(wù)攻擊可以同時對一個目標(biāo)發(fā)起幾千個攻擊。單個的拒絕服務(wù)攻擊的威力也許對帶寬較寬的站點沒有影響，而分布于全球的幾千個攻擊將會產(chǎn)生致命的后果。　　

DDoS攻擊一般分為四個階段：　　

第一階段是目標(biāo)確認(rèn)：黑客會在互聯(lián)網(wǎng)上鎖定一個企業(yè)網(wǎng)絡(luò)的IP地址。這個被鎖定的IP地址可能代表了企業(yè)的 Web服務(wù)器，DNS服務(wù)器，互聯(lián)網(wǎng)網(wǎng)關(guān)等。而選擇這些目標(biāo)進行攻擊的目的同樣多種多樣，比如為了賺錢(有人會付費給黑客攻擊某些站點)，或者只是以破壞為樂?！　?/P>

第二個階段是占領(lǐng)傀儡機階段：這一階段實際上是使用了另一大類的攻擊手段：利用形攻擊。簡單地說，就是占領(lǐng)和控制被攻擊的主機。取得最高的管理權(quán)限，或者至少得到一個有權(quán)限完成DDoS攻擊任務(wù)的帳號。黑客想要占領(lǐng)的傀儡機是鏈路狀態(tài)好、性能高、安全性差的主機?！　?/P>

第三個階段植入程序階段：在占領(lǐng)傀儡機之后，黑客在主控端上安裝主控制軟件master;在代理端上安裝守護程序daemon。代理端主機上的守護程序在指定端口上監(jiān)聽來自主控端主機發(fā)送的攻擊命令,而主控端主機接受從攻擊者計算機發(fā)送的指令。為了安全起見,黑客要傀儡機上安裝ROOT KIT程序,使主控制軟件和守護程序本身不被傀儡機的管理員發(fā)現(xiàn)?！　?/P>

第四個階段是實際攻擊階段：黑客命令這些計算機利用預(yù)先植入的攻擊工具不斷向攻擊目標(biāo)發(fā)送數(shù)據(jù)包，使得目標(biāo)無法處理大量的數(shù)據(jù)或者頻寬被占滿?！　?/P>

到目前為止，進行DDoS攻擊的防御還是比較困難的。這種攻擊的特點是它利用了TCP/IP協(xié)議的漏洞，除非不用TCP/IP，才有可能完全抵御住DDoS攻擊?！　?/P>

即使難于防范，也不是完全沒有辦法，我們必須在以下幾個方面防范DDoS：　　

1、主機上防范　　

使用網(wǎng)絡(luò)和主機掃描工具檢測脆弱性 DDoS能夠成功的關(guān)鍵是在Internet上尋找到大量安全防御措施薄弱的計算機。因此，經(jīng)常使用安全檢測工具檢測網(wǎng)絡(luò)和主機，找出目前存在的安全隱患并給出相應(yīng)的應(yīng)對措施，可以減少甚至避免主機被黑客利用成為傀儡機的可能性。安全掃描工具能夠檢測并刪除主機上被黑客安裝的進行DDoS攻擊的軟件。安全掃描工具應(yīng)該隨著攻擊方式的演變而升級?！　?/P>

采用NIDS和嗅探器 當(dāng)系統(tǒng)收到未知地址的可疑流量時，NIDS(Network Intrusion Detection Systems，網(wǎng)絡(luò)入侵檢測系統(tǒng))會發(fā)出報警信號, 提醒系統(tǒng)管理員及時采取應(yīng)對措施，如切斷連接或反向跟蹤等。NIDS的安全策略或規(guī)則應(yīng)該是最新的，并包含當(dāng)前最新攻擊技術(shù)的特征描述?！　?/P>

嗅探器(sniffer)可用來在網(wǎng)絡(luò)級識別網(wǎng)絡(luò)攻擊行為并成為NIDS原始檢測信息的來源。例如，當(dāng)黑客修改IP 包的數(shù)據(jù)部分，使其包含某些隱蔽信息，嗅探器就可以探測到這些信息并將此信息提供給有關(guān)人員進行分析， 成為采取阻斷、分流惡意流量或追查黑客的依據(jù)。　　

及時更新系統(tǒng)補丁 現(xiàn)有的操作系統(tǒng)都有很多漏洞，這很容易讓黑客找到后門，所以及時下載和更新系統(tǒng)補丁也是抵御黑客很重要的一點。　　

2、網(wǎng)絡(luò)設(shè)備上防范　　

單機上防御主要是減少被作為傀儡機的可能，在路由器上采取防范措施才是抵御DDoS的關(guān)鍵，這里以Cisco路由器為例分析一下阻止攻擊的方法：　　

檢查每一個經(jīng)過路由器的數(shù)據(jù)包 在路由器的CEF(Cisco Express Forwarding)表里，某數(shù)據(jù)包所到達網(wǎng)絡(luò)接口的所有路由項中，如果沒有該數(shù)據(jù)包源IP地址的路由，路由器將丟棄該數(shù)據(jù)包。例如，路由器接收到一個源IP地址為a.b.c.d的數(shù)據(jù)包，如果CEF路由表中沒有為IP地址a.b.c.d提供任何路由(即反向數(shù)據(jù)包傳輸時所需的路由)，則路由器會丟棄它。　　

設(shè)置SYN數(shù)據(jù)包流量速率 許多DDoS攻擊采用SYN洪水攻擊的形式，所以有必要在路由器上限制SYN數(shù)據(jù)包流量速率。采用這種方法時必須在進行測量時確保網(wǎng)絡(luò)的正常工作以避免出現(xiàn)較大誤差。

[table=95%][tr][td]      

rate-limit output access-group 153 45000000 100000 100000 conform-action 　　

transmit exceed-action drop 　　

rate-limit output access-group 152 1000000 100000 100000 conform-action 　　

transmit exceed-action drop 　　

access-list 152 permit tcp any host eq www 　　

access-list 153 permit tcp any host eq www established[/td][/tr][/table]

在邊界路由器上部署策略 網(wǎng)絡(luò)管理員可以在邊界路由器上部署過濾策略如下：　　

ISP端邊界路由器應(yīng)該只接受源地址屬于客戶端網(wǎng)絡(luò)的通信，而客戶端網(wǎng)絡(luò)則應(yīng)該只接受源地址未被客戶端網(wǎng)絡(luò)過濾的通信?！　?/P>

ISP端邊界路由器的訪問控制列表：      

access-list 190 permit ip 客戶端網(wǎng)絡(luò) 客戶端網(wǎng)絡(luò)掩碼 any 　　

access-list 190 deny ip any any [log] 

interface 內(nèi)部網(wǎng)絡(luò)接口 網(wǎng)絡(luò)接口號 　　

ip access-group 190 in

客戶端邊界路由器的訪問控制列表：     

access-list 187 deny ip 客戶端網(wǎng)絡(luò) 客戶端網(wǎng)絡(luò)掩碼 any 　　

access-list 187 permit ip any any 

access-list 188 permit ip 客戶端網(wǎng)絡(luò) 客戶端網(wǎng)絡(luò)掩碼 any

access-list 188 deny ip any any 

interface 外部網(wǎng)絡(luò)接口 網(wǎng)絡(luò)接口號 　　

ip access-group 187 in 　　

ip access-group 188 out

使用CAR限制ICMP數(shù)據(jù)包流量速率 CAR(Control Access Rate)，可以用來限制包的流量速率，是實現(xiàn)QoS(Quality of Service，服務(wù)質(zhì)量)一種工具?？梢杂盟鼇硐拗艻CMP包來防止DDoS。　

rate-limit output access-group 2020 3000000 512000 786000 conform-action 　　

transmit exceed-action drop 　　

access-list 2020 permit icmp any any echo-reply

用ACL過濾RFC 1918中列出的所有地址 ACL(Acess Control List，訪問控制列表)，是路由器過濾特定目標(biāo)地址、源地址、協(xié)議的包的工具，可以用它來過濾掉RFC 1918中列出的所有地址，即私有IP地址(10.0.0.0/8，172.16.0.0/12, 192.168.0.0/16)。   

ip access-group 101 in 　　

access-list 101 deny ip 10.0.0.0 0.255.255.255 any 　　

access-list 101 deny ip 192.168.0.0 0.0.255.255 any 　　

access-list 101 deny ip 172.16.0.0 0.15.255.255 any 　　

access-list 101 permit ip any any

搜集證據(jù) 可以為路由器建立log server，建議使用SUN工作站或Linux等高速計算機捕獲數(shù)據(jù)包。常用的數(shù)據(jù)包捕獲工具包括TCPDump和snoop等?；菊Z法為：   

tcpdump -i interface -s 1500 -w capture_file 　　

snoop -d interface -o capture_file -s 1500

【編輯推薦】

1. 基礎(chǔ)知識認(rèn)識了解DDoS攻擊以及防范措施
2. 黑客DDoS攻擊案告破多款網(wǎng)游曾遭攻擊