《黃帝內(nèi)經(jīng)》載：“經(jīng)脈者，人之所以生，病之所以成，人之所以治，病之所以起”，其作者為“決生死，處百病，調(diào)虛實，不可不通”，誠為人體最為重要一個組成部分。經(jīng)脈一旦不通，各種疾病就會紛至沓來。拒絕服務(wù)/分布式拒絕服務(wù)從其影響來看，和經(jīng)脈不通有異曲同工的表現(xiàn)形式：整個網(wǎng)站系統(tǒng)對外服務(wù)不可用，幾乎就可以認為網(wǎng)站“死了”。

下面是一則示例：

某省移動公司信息技術(shù)部總經(jīng)理D先生在近日就遇到拒絕服務(wù)攻擊的麻煩：用戶投訴說網(wǎng)站訪問太慢，動不動就超時斷開連接。這個問題該如何處理呢？

說到拒絕服務(wù)攻擊，相信大家都不陌生。在所有的駭客攻擊行為中，這種攻擊顯得頗為特立獨行：因為它是一種損人不利己的攻擊行為。

典型的拒絕服務(wù)表現(xiàn)：正常服務(wù)請求無法得到滿足，比如訪問緩慢，無響應(yīng)等，嚴重情況下甚至?xí)蟹?wù)器死機現(xiàn)象。

除了常說的拒絕服務(wù)之外，還有另外一種防范更為困難的分布式拒絕服務(wù)。分布式拒絕服務(wù)是指借助客戶端/服務(wù)器技術(shù)，聯(lián)合多個（常常可達數(shù)萬個）計算機作為一個攻擊平臺，對目標(biāo)發(fā)起拒絕服務(wù)攻擊，由于受控的攻擊機器（就是我們通常所謂的傀儡機）數(shù)量龐大，極端情況下即使每臺傀儡機都只發(fā)送正常服務(wù)請求，目標(biāo)機器也有可能由于資源過載而無法正常提供服務(wù)。

有人認為，拒絕服務(wù)絕對無法避免，其實不盡然，根據(jù)觸發(fā)原因的不同，某些拒絕服務(wù)是可以避免的，有一種情況是由于錯誤配置或系統(tǒng)BUG導(dǎo)致的。錯誤配置造成的拒絕服務(wù)攻擊可以通過修正配置來避免，系統(tǒng)BUG造成的拒絕服務(wù)攻擊可以通過打修正BUG的補丁來避免。

注意：

1. 錯誤配置：某服務(wù)器系統(tǒng)配置支持1000個用戶同時連接，但在該服務(wù)器上的系統(tǒng)軟件上，并未對用戶連接數(shù)上限做限制，導(dǎo)致同時連接用戶數(shù)量過多，服務(wù)器響應(yīng)緩慢。

2. 系統(tǒng)BUG：這里的系統(tǒng)可能是軟件可能是協(xié)議，最著名的導(dǎo)致拒絕服務(wù)攻擊的系統(tǒng)BUG就是TCP的三次握手，攻擊者可以偽造大量源地址進行持續(xù)的TCP的SYN請求，在接受到服務(wù)器端ACK回應(yīng)時不做任何響應(yīng)，使得服務(wù)器需要保持大量的端口監(jiān)聽狀況，從而造成拒絕服務(wù)。

根據(jù)拒絕服務(wù)類型的不同，大致有以下常見類型：

網(wǎng)絡(luò)寬帶消耗型攻擊：由于大量的網(wǎng)絡(luò)服務(wù)請求占用和耗盡了帶寬資源，導(dǎo)致的拒絕服務(wù)攻擊。通過抓包可以看到網(wǎng)絡(luò)中存在大量數(shù)據(jù)包，達到網(wǎng)絡(luò)通訊量的上限。一般來說可以通過修改服務(wù)器配置或使用QoS設(shè)備來降低此類攻擊危害。

一般來說，在服務(wù)器上做的配置包括：

·關(guān)閉不必要的服務(wù)

·限制同時打開的Syn半連接數(shù)

·縮短Syn半連接的time out時間

在網(wǎng)關(guān)設(shè)備上做的配置包括：

防火墻

·禁止對主機的非開放服務(wù)的訪問

·限制同時打開的Syn最大連接數(shù)

·限制特定IP地址的訪問

·啟用防火墻的防DDoS的屬性

·嚴格限制對外開放的服務(wù)器的向外訪問

路由器

·Cisco Express Forwarding（CEF）

·使用unicast reverse-path

·訪問控制列表（ACL）過濾

·設(shè)置Syn數(shù)據(jù)包流量速率

·升級版本過低的ISO

·為路由器建立log server

通常情況下，針對帶寬消耗型拒絕服務(wù)/分布式拒絕服務(wù)的最佳防御位置是在運營商處，通過在路由器上對數(shù)據(jù)包源IP地址進行驗證，如未找到匹配項就予以丟棄，這樣可以最大限度保證偽造的數(shù)據(jù)包不會通過Internet傳到用戶網(wǎng)絡(luò)中。但這種方法將極大降低路由器的處理性能，故應(yīng)用不多。

資源耗盡型攻擊：利用處理缺陷，通過發(fā)送數(shù)據(jù)包耗盡CPU等處理資源，導(dǎo)致無法正常提供服務(wù)。網(wǎng)絡(luò)流量并不大，但服務(wù)器的資源占用率極高，如CPU時間100%。Jolt2.c就是這樣的一種攻擊行為。

資源消耗型的攻擊相對來說易于防御，串接在網(wǎng)絡(luò)中的設(shè)備只要能對畸形數(shù)據(jù)包進行分析和丟棄，就可以避免此類攻擊。入侵防御產(chǎn)品，甚至是防火墻產(chǎn)品都具備此項功能。

一些重要網(wǎng)站，或是在一些重大事件期間，網(wǎng)站無法訪問將會帶來非常嚴重的影響。帶寬消耗型拒絕服務(wù)，尤其是那些利用大規(guī)模僵尸網(wǎng)絡(luò)進行的攻擊行為，幾乎無法從“直接防御”這個角度進行防護，這種情況下，較好的應(yīng)對措施就是增加服務(wù)的提供能力，如采用增加寬帶、提高計算性能、冗余備份、負載均衡手段，常見的大型門戶網(wǎng)站基本都是采用這種方法來應(yīng)對拒絕服務(wù)威脅。

保持經(jīng)絡(luò)暢通，是一種養(yǎng)生學(xué)態(tài)度，需要常運動，保持心情愉悅，練氣功，使用活血理氣的食物，發(fā)現(xiàn)有異常及時處理；而保持網(wǎng)站不被拒絕服務(wù)，也需要從多個角度出發(fā)：增加帶寬、調(diào)整網(wǎng)絡(luò)設(shè)備策略。

【編輯推薦】

1. DDOS拒絕服務(wù)攻擊終極防御導(dǎo)航器
2. 對拒絕服務(wù)攻擊現(xiàn)狀的深入解析
3. 對IIS Newdsn.exe 拒絕服務(wù)攻擊漏洞的詳細介紹
4. 當(dāng)拒絕服務(wù)攻擊遇到云：4個教訓(xùn)