許多黑客專門破壞或竊取數(shù)據(jù)，還有不少黑客總是愿意破壞對數(shù)據(jù)的合法訪問。后者這種對信息可用性的攻擊被稱為DoS攻擊，這種攻擊與竊取信息一樣都會給企業(yè)帶來不可估量的損失。

高級DoS攻擊利用受控計算機組成的大型網(wǎng)絡(稱為僵尸網(wǎng)絡)，同時從多個不同的地理位置來攻擊一個網(wǎng)站。這種攻擊稱為分布式拒絕服務攻擊(DDoS攻擊)。這種攻擊更陰險，因為我們很難將其通信與正常的網(wǎng)絡通信區(qū)分開來。

DDoS基礎(chǔ)

在一個網(wǎng)絡接收的數(shù)據(jù)超過了它的處理能力時，可能就發(fā)生了DDoS攻擊。執(zhí)行一次成功的攻擊所要求的通信速率依賴于網(wǎng)絡的帶寬，以及保護設備的能力。其結(jié)果總是相同的，機器的互聯(lián)網(wǎng)連接陷于完全停頓。用戶們無法做任何操作，這就像下班高峰時的交通擁塞一樣。

并非所有的DDoS攻擊都針對網(wǎng)站。“有進取心”的黑客還會針對其它的基礎(chǔ)組件，如企業(yè)的DNS控制器等。筆者的一位客戶就曾遭受過DNS擴大攻擊，攻擊者將帶有受害者IP地址的DNS請求作為一個虛假的源發(fā)動攻擊。由于DNS響應可以比請求更強大，被欺騙的IP會收到大量的響應。該客戶在高峰時段每隔一段時間就會收到大量的攻擊，這嚴重地影響了該客戶繼續(xù)進行業(yè)務的能力。

雖然你企業(yè)的網(wǎng)絡沒有充足的資源來防御DDoS攻擊，但你可以尋求ISP的幫助。你可以設置網(wǎng)絡過濾器，為攻擊網(wǎng)絡的通信改變路線。在使用這種方法時要小心，因為ISP的首要責任是向所有的客戶提供服務，而不僅僅是某個用戶。

基本防御

首先，建議企業(yè)實施基礎(chǔ)架構(gòu)的風險分析，這是一個很好的開始。例如，匿名攻擊在對許多企業(yè)的攻擊中獲得很大成功，這并不是因為攻擊者的工具如何高級，而是因為他們所攻擊的基礎(chǔ)架構(gòu)本身就漏洞百出。

其次，禁止任何未用的服務，目的是將開放端口的數(shù)量最小化，從而減少攻擊者進入和利用已知漏洞的機會。

第三，為所有的軟件打上補丁，保持所有軟件的最新有助于漏洞數(shù)量的最少化。

第四，不要太依賴防火墻。防火墻只能阻止來自某些端口的洪水攻擊，但它卻無法防止基于Web的通信進入。

此外，如果禁用了IP廣播，就可以阻止基于ICMP的攻擊，如死亡之ping攻擊。

這些僅是從大體上保護網(wǎng)絡，抵御一般DDoS攻擊的方法，對于一些高級DDoS攻擊，這些措施遠遠不夠。說到專門的DDoS防御，企業(yè)不妨使用IP包過濾技術(shù)。

包過濾

描述過濾這種技術(shù)還是很容易的：判斷進入的數(shù)據(jù)包，看其是來自合法用戶，還是來自攻擊機器，若來自后者，則丟棄。但實際上實施這種方案并非易事。

企業(yè)往往建立能夠阻止非法通信的過濾器。但這種做法的困難在于，如何將攻擊包與合法請求區(qū)分開來，而且因為攻擊的目的是摧毀正在掃描通信的設備，數(shù)據(jù)包的數(shù)目如此多，從而造成保護網(wǎng)絡的設備無法應對。建議采用阻止假冒IP包的技術(shù)，如基于路由器的過濾，它可以跟蹤進入通信的源地址，一旦發(fā)現(xiàn)異常，就認為是欺詐而丟棄。事實上，很容易阻止欺詐，如今的高級攻擊不再使用這種伎倆?，F(xiàn)在阻止假冒通信僅是一種簡單技術(shù)。#p#

抵制僵尸網(wǎng)絡的攻擊

但新威脅卻更為危險：在受感染的計算機作為僵尸網(wǎng)絡的一部分而協(xié)同動作時，數(shù)據(jù)包的源地址就不再是假冒的了，而是真實的IP地址。

針對僵尸攻擊，有一種更科學的IP過濾方法。這種技術(shù)試圖先記住曾經(jīng)訪問過網(wǎng)站的善意數(shù)據(jù)包，然后找出惡意數(shù)據(jù)包，僅準許來自已知源的數(shù)據(jù)包進入。此時，邊緣路由器參照常用訪問者的IP地址數(shù)據(jù)庫，如果在通信源中找不到匹配的IP，就丟棄包。

基于歷史記錄的過濾有一個關(guān)鍵問題，就是地址數(shù)據(jù)庫是如何工作的。如果邊緣路由器花費太多的時間才能得到善意地址的列表，而攻擊又正在進行，網(wǎng)絡響應速度就會減少，其造成的效果與攻擊自身又有什么區(qū)別呢?

這種過濾還有一個問題：如果攻擊者知道了基于歷史的過濾，為了使僵尸計算機的IP地址合法化，僵尸控制系統(tǒng)很容易在真實攻擊發(fā)生之前將僵尸計算機指引到目標網(wǎng)站。這會欺騙過濾系統(tǒng)，使其信任更多的DDoS包，因為攻擊來自“熟悉的”地址。

虛擬路由器和安全設備

除過濾之外，新的DDoS防御技術(shù)還可以使用虛擬路由器和基于設備的系統(tǒng)，以此作為接收通信的基本方式，并應用清潔技術(shù)來過濾通信。這種自動化的系統(tǒng)將來勢必成為對付DDoS攻擊的重要防御工具，因為可以對基于云和基于虛擬化的系統(tǒng)進行調(diào)整，以滿足海量的通信要求。

根除DDoS之路漫漫而修遠，因為互聯(lián)網(wǎng)上有太多不安全的機器正在被“僵尸化”。雖然目前對付DDoS攻擊的防御已經(jīng)很強大，但其針對性往往太強，而DDoS攻擊采取的是“群起而攻之”的戰(zhàn)術(shù)。因而，防御必須依靠綜合治理、協(xié)同努力。DDoS是IT管理者時刻需要關(guān)注的嚴重威脅。

其它方法

還有其它兩種技術(shù)可用來保護公司網(wǎng)絡。首先，可以增加網(wǎng)絡帶寬，使其可以簡單地“接收”小型DDoS攻擊的通信。其次，準備第二個網(wǎng)絡連接，你可以將它作為災難恢復計劃的一部分，在遭受攻擊期間，仍可以維持互聯(lián)網(wǎng)訪問。

小結(jié)

DDoS攻擊正在不斷演化，變得日益強大、隱密，更具針對性且更復雜，它已成為從事電子商務公司的重大威脅。真正有效地對付這種攻擊是一個系統(tǒng)工程，它需要全方位地綜合治理、協(xié)同努力，如從法律、技術(shù)(不限于IT)、ISP、公司、個人用戶等角度，多管齊下。特別是加強對個人用戶、雇員的教育，養(yǎng)成良好的上網(wǎng)習慣，防止其成為僵尸網(wǎng)絡的幫兇。

【編輯推薦】

1. TDL-4僵尸網(wǎng)絡：網(wǎng)絡掮客背后的黑色交易
2. 不斷演化和傳播：亞洲成為DDoS攻擊溫床
3. 卡巴斯基：僵尸網(wǎng)絡每日廣告贏利2000美元
4. 僵尸網(wǎng)絡被粉碎 尋找背后故事
5. 詳解DDoS攻擊技術(shù)的方法 續(xù)