許多黑客專門破壞或竊取數(shù)據(jù)，還有不少黑客總是愿意破壞對(duì)數(shù)據(jù)的合法訪問。后者這種對(duì)信息可用性的攻擊被稱為DoS攻擊，這種攻擊與竊取信息一樣都會(huì)給企業(yè)帶來不可估量的損失。

高級(jí)DoS攻擊利用受控計(jì)算機(jī)組成的大型網(wǎng)絡(luò)（稱為僵尸網(wǎng)絡(luò)），同時(shí)從多個(gè)不同的地理位置來攻擊一個(gè)網(wǎng)站。這種攻擊稱為分布式拒絕服務(wù)攻擊（DDoS攻擊）。這種攻擊更陰險(xiǎn)，因?yàn)槲覀兒茈y將其通信與正常的網(wǎng)絡(luò)通信區(qū)分開來。

DDoS基礎(chǔ)

在一個(gè)網(wǎng)絡(luò)接收的數(shù)據(jù)超過了它的處理能力時(shí)，可能就發(fā)生了DDoS攻擊。執(zhí)行一次成功的攻擊所要求的通信速率依賴于網(wǎng)絡(luò)的帶寬，以及保護(hù)設(shè)備的能力。其結(jié)果總是相同的，機(jī)器的互聯(lián)網(wǎng)連接陷于完全停頓。用戶們無法做任何操作，這就像下班高峰時(shí)的交通擁塞一樣。

并非所有的DDoS攻擊都針對(duì)網(wǎng)站。“有進(jìn)取心”的黑客還會(huì)針對(duì)其它的基礎(chǔ)組件，如企業(yè)的DNS控制器等。筆者的一位客戶就曾遭受過DNS擴(kuò)大攻擊，攻擊者將帶有受害者IP地址的DNS請(qǐng)求作為一個(gè)虛假的源發(fā)動(dòng)攻擊。由于DNS響應(yīng)可以比請(qǐng)求更強(qiáng)大，被欺騙的IP會(huì)收到大量的響應(yīng)。該客戶在高峰時(shí)段每隔一段時(shí)間就會(huì)收到大量的攻擊，這嚴(yán)重地影響了該客戶繼續(xù)進(jìn)行業(yè)務(wù)的能力。

雖然你企業(yè)的網(wǎng)絡(luò)沒有充足的資源來防御DDoS攻擊，但你可以尋求ISP的幫助。你可以設(shè)置網(wǎng)絡(luò)過濾器，為攻擊網(wǎng)絡(luò)的通信改變路線。在使用這種方法時(shí)要小心，因?yàn)镮SP的首要責(zé)任是向所有的客戶提供服務(wù)，而不僅僅是某個(gè)用戶。

基本防御

首先，建議企業(yè)實(shí)施基礎(chǔ)架構(gòu)的風(fēng)險(xiǎn)分析，這是一個(gè)很好的開始。例如，匿名攻擊在對(duì)許多企業(yè)的攻擊中獲得很大成功，這并不是因?yàn)楣粽叩墓ぞ呷绾胃呒?jí)，而是因?yàn)樗麄兯舻幕A(chǔ)架構(gòu)本身就漏洞百出。

其次，禁止任何未用的服務(wù)，目的是將開放端口的數(shù)量最小化，從而減少攻擊者進(jìn)入和利用已知漏洞的機(jī)會(huì)。

第三，為所有的軟件打上補(bǔ)丁，保持所有軟件的最新有助于漏洞數(shù)量的最少化。

第四，不要太依賴防火墻。防火墻只能阻止來自某些端口的洪水攻擊，但它卻無法防止基于Web的通信進(jìn)入。

此外，如果禁用了IP廣播，就可以阻止基于ICMP的攻擊，如死亡之ping攻擊。

這些僅是從大體上保護(hù)網(wǎng)絡(luò)，抵御一般DDoS攻擊的方法，對(duì)于一些高級(jí)DDoS攻擊，這些措施遠(yuǎn)遠(yuǎn)不夠。說到專門的DDoS防御，企業(yè)不妨使用IP包過濾技術(shù)。

包過濾

描述過濾這種技術(shù)還是很容易的：判斷進(jìn)入的數(shù)據(jù)包，看其是來自合法用戶，還是來自攻擊機(jī)器，若來自后者，則丟棄。但實(shí)際上實(shí)施這種方案并非易事。

企業(yè)往往建立能夠阻止非法通信的過濾器。但這種做法的困難在于，如何將攻擊包與合法請(qǐng)求區(qū)分開來，而且因?yàn)楣舻哪康氖谴輾д趻呙柰ㄐ诺脑O(shè)備，數(shù)據(jù)包的數(shù)目如此多，從而造成保護(hù)網(wǎng)絡(luò)的設(shè)備無法應(yīng)對(duì)。建議采用阻止假冒IP包的技術(shù)，如基于路由器的過濾，它可以跟蹤進(jìn)入通信的源地址，一旦發(fā)現(xiàn)異常，就認(rèn)為是欺詐而丟棄。事實(shí)上，很容易阻止欺詐，如今的高級(jí)攻擊不再使用這種伎倆?，F(xiàn)在阻止假冒通信僅是一種簡單技術(shù)。

抵制僵尸網(wǎng)絡(luò)的攻擊

但新威脅卻更為危險(xiǎn)：在受感染的計(jì)算機(jī)作為僵尸網(wǎng)絡(luò)的一部分而協(xié)同動(dòng)作時(shí)，數(shù)據(jù)包的源地址就不再是假冒的了，而是真實(shí)的IP地址。

針對(duì)僵尸攻擊，有一種更科學(xué)的IP過濾方法。這種技術(shù)試圖先記住曾經(jīng)訪問過網(wǎng)站的善意數(shù)據(jù)包，然后找出惡意數(shù)據(jù)包，僅準(zhǔn)許來自已知源的數(shù)據(jù)包進(jìn)入。此時(shí)，邊緣路由器參照常用訪問者的IP地址數(shù)據(jù)庫，如果在通信源中找不到匹配的IP，就丟棄包。

基于歷史記錄的過濾有一個(gè)關(guān)鍵問題，就是地址數(shù)據(jù)庫是如何工作的。如果邊緣路由器花費(fèi)太多的時(shí)間才能得到善意地址的列表，而攻擊又正在進(jìn)行，網(wǎng)絡(luò)響應(yīng)速度就會(huì)減少，其造成的效果與攻擊自身又有什么區(qū)別呢？

這種過濾還有一個(gè)問題：如果攻擊者知道了基于歷史的過濾，為了使僵尸計(jì)算機(jī)的IP地址合法化，僵尸控制系統(tǒng)很容易在真實(shí)攻擊發(fā)生之前將僵尸計(jì)算機(jī)指引到目標(biāo)網(wǎng)站。這會(huì)欺騙過濾系統(tǒng)，使其信任更多的DDoS包，因?yàn)楣魜碜?ldquo;熟悉的”地址。

虛擬路由器和安全設(shè)備

除過濾之外，新的DDoS防御技術(shù)還可以使用虛擬路由器和基于設(shè)備的系統(tǒng)，以此作為接收通信的基本方式，并應(yīng)用清潔技術(shù)來過濾通信。這種自動(dòng)化的系統(tǒng)將來勢必成為對(duì)付DDoS攻擊的重要防御工具，因?yàn)榭梢詫?duì)基于云和基于虛擬化的系統(tǒng)進(jìn)行調(diào)整，以滿足海量的通信要求。

根除DDoS之路漫漫而修遠(yuǎn)，因?yàn)榛ヂ?lián)網(wǎng)上有太多不安全的機(jī)器正在被“僵尸化”。雖然目前對(duì)付DDoS攻擊的防御已經(jīng)很強(qiáng)大，但其針對(duì)性往往太強(qiáng)，而DDoS攻擊采取的是“群起而攻之”的戰(zhàn)術(shù)。因而，防御必須依靠綜合治理、協(xié)同努力。DDoS是IT管理者時(shí)刻需要關(guān)注的嚴(yán)重威脅。

其它方法

還有其它兩種技術(shù)可用來保護(hù)公司網(wǎng)絡(luò)。首先，可以增加網(wǎng)絡(luò)帶寬，使其可以簡單地“接收”小型DDoS攻擊的通信。其次，準(zhǔn)備第二個(gè)網(wǎng)絡(luò)連接，你可以將它作為災(zāi)難恢復(fù)計(jì)劃的一部分，在遭受攻擊期間，仍可以維持互聯(lián)網(wǎng)訪問。

小結(jié)

DDoS攻擊正在不斷演化，變得日益強(qiáng)大、隱密，更具針對(duì)性且更復(fù)雜，它已成為從事電子商務(wù)公司的重大威脅。真正有效地對(duì)付這種攻擊是一個(gè)系統(tǒng)工程，它需要全方位地綜合治理、協(xié)同努力，如從法律、技術(shù)（不限于IT）、ISP、公司、個(gè)人用戶等角度，多管齊下。特別是加強(qiáng)對(duì)個(gè)人用戶、雇員的教育，養(yǎng)成良好的上網(wǎng)習(xí)慣，防止其成為僵尸網(wǎng)絡(luò)的幫兇。