DoS攻擊方式有很多種，最基本的DoS攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源，從而使服務(wù)器無法處理合法用戶的指令。

而抗DDoS攻擊系統(tǒng)是針對業(yè)務(wù)系統(tǒng)的穩(wěn)定、持續(xù)運行以及網(wǎng)絡(luò)帶寬的高可用率提供防護能力進行維護。然而，自1999年Yahoo、eBay等電子商務(wù)網(wǎng)站遭到拒絕服務(wù)攻擊之后，DDoS就成為Internet上一種新興的安全威脅，其危害巨大且防護極為困難。

尤其是隨著黑客技術(shù)的不斷發(fā)展，DDoS攻擊更是出現(xiàn)了一些新的動向和趨勢：

高負載—DDoS攻擊通過和蠕蟲、Botnet相結(jié)合，具有了一定的自動傳播、集中受控、分布式攻擊的特征，由于感染主機數(shù)量眾多，所以DDoS攻擊可以制造出高達1G的攻擊流量，對于目前的網(wǎng)絡(luò)設(shè)備或應(yīng)用服務(wù)都會造成巨大的負載。

復(fù)雜度—DDoS攻擊的本身也從原來利用三層/四層協(xié)議，轉(zhuǎn)變?yōu)槔脩?yīng)用層協(xié)議進行攻擊，如DNS UDP Flood、CC攻擊等。某些攻擊可能流量很小，但是由于協(xié)議相對復(fù)雜，所以效果非常明顯，而防護難度也很高，如針對網(wǎng)游服務(wù)器的CC攻擊，就是利用了網(wǎng)游本身的一些應(yīng)用協(xié)議漏洞。

損失大—DDoS攻擊的危害也發(fā)生了一些變化，以往DDoS主要針對門戶網(wǎng)站進行攻擊，如今攻擊對象已經(jīng)發(fā)生了變化。如DNS服務(wù)器、VoIP的驗證服務(wù)器或網(wǎng)游服務(wù)器，互聯(lián)網(wǎng)或業(yè)務(wù)網(wǎng)的關(guān)鍵應(yīng)用都已經(jīng)成為攻擊的對象，針對這些服務(wù)的攻擊，相對于以往會給客戶帶來更大的損失。

疏與堵的博弈

近幾年來，蠕蟲病毒是Internet上最大的安全問題，某些蠕蟲病毒除了具有傳統(tǒng)的特征之外，還嵌入了DDoS攻擊代碼，加之Botnet的出現(xiàn)，黑客可以掌握大量的傀儡主機發(fā)動DDoS攻擊，從而導(dǎo)致其流量巨大。在2004年唐山黑客針對北京某知名音樂網(wǎng)站發(fā)動的DoS攻擊中，其攻擊流量竟然高達700M，對整個業(yè)務(wù)系統(tǒng)造成了極大的損失。

目前絕大部分的抗拒絕服務(wù)攻擊系統(tǒng)雖然都號稱是硬件產(chǎn)品，但實際上都是架構(gòu)在X86平臺的服務(wù)器或是工控機之上，其關(guān)鍵部件都是采用Intel或AMD的通用CPU，運行在經(jīng)過裁剪的操作系統(tǒng)(通常是Linux或BSD)上，所有數(shù)據(jù)包解析和防護工作都由軟件完成。由于CPU處理能力以及PCI總線速度的制約，這類產(chǎn)品的處理能力受到了很大的限制，通常這類抗拒絕服務(wù)攻擊產(chǎn)品的處理能力最高不會超過80萬pps。

然而，面對DDoS攻擊，傳統(tǒng)X86架構(gòu)下的DDoS防護設(shè)備在性能及穩(wěn)定性上都很難滿足防護要求，更何況在傳統(tǒng)抗DDoS攻擊方案中，基本上都采用了串聯(lián)部署(即：接在防火墻、路由器或交換機與被保護網(wǎng)絡(luò)之間)的模式，這種模式存在較多的缺陷：

一方面增加了網(wǎng)絡(luò)中的單點故障，同時可能造成性能方面的瓶頸，尤其在攻擊流量和背景流量同時存在的情況下，可能導(dǎo)致設(shè)備負載過高，從而影響正常業(yè)務(wù)的運行;

另一方面，以往的DDoS防護設(shè)備和防火墻系統(tǒng)都有著千絲萬縷的聯(lián)系，所以其防護功能主要在協(xié)議棧的三層/四層實現(xiàn)，這類設(shè)備針對目前承載在應(yīng)用層協(xié)議之上的DDoS攻擊防護乏力。

正是因為如此，我們應(yīng)該從架構(gòu)上對整個抗拒絕服務(wù)攻擊設(shè)備進行重新設(shè)計，以達到從性能、功能以及穩(wěn)定性上滿足目前DDoS防護的進一步需要?？购Ａ烤芙^服務(wù)攻擊，可謂疏與堵的一場博弈。

DDoS攻擊深深的危害著我們的網(wǎng)絡(luò)生活，我們也在嘗試采用各種防護措施。

【編輯推薦】

1. DDoS攻擊來勢洶洶
2. DDoS攻擊難以防御
3. 應(yīng)用防火墻能否擊敗DDoS攻擊