關于網(wǎng)站遭受DDoS攻擊的解決辦法

【摘 要】隨著互聯(lián)網(wǎng)的普及應用，各種各樣的黑客攻擊也應運而生，其中DDoS攻擊是近年來具有巨大影響的惡意攻擊方式，給各行各業(yè)帶來了不小的損失。本文通過簡要分析DDoS攻擊，結(jié)合自身的實踐操作，針對性地提出了一些有效的DDoS攻擊防范措施以減少攻擊造成的影響。

【關鍵詞】DDoS攻擊 體系結(jié)構(gòu) 攻擊方式 防范措施

一、前言

近些年來黑客活動猖獗，大部分網(wǎng)絡都很容易受到各種類型的黑客攻擊。最近網(wǎng)絡爆出很多知名網(wǎng)站遭受攻擊，造成信息被竊取。起初我們網(wǎng)站的首頁被人更改，服務器運行狀態(tài)不正常，無故重啟，帳號密碼被盜。經(jīng)過一系列安全策略設置后網(wǎng)絡運行狀態(tài)恢復正常。但好景不長，網(wǎng)絡又陷入癱瘓，此時我們意識到有黑客開始對我們進行有針對性的攻擊。打開防火墻的后臺監(jiān)控訪問量，發(fā)現(xiàn)訪問量異常的大，并堵塞了網(wǎng)站的正常流量帶寬。根據(jù)對網(wǎng)站受到攻擊的情況進行分析，我們發(fā)現(xiàn)這種攻擊是采取分布式拒絕服務攻擊（即：DDoS攻擊）導致我們網(wǎng)站不能正常訪問。我們可以通過一套安全規(guī)范來最大限度的防止黑客攻擊的發(fā)生。

二、什么是DDoS

DDoS全名是Distributed Denial of Service，即分布式拒絕服務攻擊。它是將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標發(fā)動DoS攻擊（DoS攻擊即為導致服務器拒絕服務的攻擊方式），用來堵塞被攻擊者上網(wǎng)帶寬或者消耗服務器資源的方法，令服務器拒絕響應正常的服務請求，從而使網(wǎng)站無法正常訪問。

三、DDoS攻擊體系結(jié)構(gòu)

DDoS攻擊是難以防范的攻擊手段之一。我們怎么樣來防范DDoS攻擊呢？我們首先要了解DDoS攻擊的三個階段，然后再了解如何將這種攻擊的危害降到最低。一個DDoS攻擊一般分為三個階段。第一階段是目標確認：黑客會在互聯(lián)網(wǎng)上鎖定一個網(wǎng)站的IP地址。黑客通過各種手段了解以下信息：被攻擊目標主機數(shù)目、地址情況；目標主機的配置、性能；目標的帶寬。通過上述這三種信息來確定使用多少臺傀儡機才能達到攻擊效果。

第二個階段是準備階段：在這個階段，黑客會入侵互聯(lián)網(wǎng)上大量的鏈路狀態(tài)好、性能優(yōu)秀但沒有良好防護系統(tǒng)的計算機。黑客可以通過掃描工具進行漏洞掃描，并植入相應的木馬程序，或?qū)δ承╉撁娌迦霅阂獯a。隨后將DDoS攻擊用的控制程序上載至一臺或幾臺控制傀儡主機上。將DDoS攻擊使用的發(fā)包程序植入大量的攻擊傀儡主機上。

第三個階段是實際攻擊階段：黑客會登錄到控制傀儡主機，利用控制傀儡主機上的DDoS攻擊控制程序向所有的攻擊傀儡主機發(fā)出命令。所有攻擊傀儡主機利用DDoS的發(fā)包程序，向目標主機發(fā)送大量的數(shù)據(jù)包，直到目標無法處理大量的數(shù)據(jù)或者頻寬被占滿為止。

四、分析DDoS的攻擊方式

我們通過分析防火墻的特定日志，發(fā)現(xiàn)很多發(fā)送訪問請求的來源地址全都是假地址，無法跟蹤攻擊來源。黑客通過這些傀儡計算機偽造發(fā)送攻擊數(shù)據(jù)包的IP地址，并且將攻擊目標的IP地址插在數(shù)據(jù)包的原始地址處，這就是所謂的反射攻擊。我們通過安裝tcpview軟件發(fā)現(xiàn)很多訪問者是通過tcp訪問的半連接，服務器無法對這些半連接進行處理，這種DDoS攻擊利用TCP和HTTP等協(xié)議定義的行為來不斷占用服務器資源，包括CPU、緩存、內(nèi)存、會話連接數(shù)等資源，以阻止服務器處理正常事務和請求。因此我們無法通過軟件防火墻阻止這種DDoS攻擊，但是知道了這種攻擊的原理，我們就可以通過其他的方式盡量減小這種攻擊所帶來的影響。

五、如何防止DDoS的攻擊

入侵過濾（Ingress filtering）是一種簡單而且所有網(wǎng)絡都應該實施的安全策略。在網(wǎng)絡邊緣（比如每個與外網(wǎng)直接相連的路由器），應該建立一個路由聲明，將所有數(shù)據(jù)來源IP標記為本網(wǎng)地址的數(shù)據(jù)包丟棄。雖然這種方式并不能防止DDoS攻擊，但是卻可以預防DDoS反射攻擊。接下來通過運營商讓合法服務請求及流量通過，可以將其中一些受攻擊情況較輕的路由器恢復正常，只保留承受攻擊最重的那個路由器來拒絕攻擊來源最大的網(wǎng)段。如果你的ISP和對方ISP很負責的協(xié)助阻擋攻擊數(shù)據(jù)包，你的網(wǎng)絡將很快恢復正常。

六、主要采取的措施

DDoS攻擊很狡猾，也很難預防，但是你可以通過以上方式及時減輕這種攻擊對網(wǎng)絡的影響。面對攻擊，你只需要快速地響應和采取正確的方法，就可以及時發(fā)現(xiàn)攻擊數(shù)據(jù)流并將其阻擋。基于目前的技術，采用的主要措施有：關閉服務器不必要的服務和端口；通過DDoS軟件防火墻限制同時打開的SYN半連接數(shù)目；縮短SYN半連接的time out時間；正確設置防火墻，禁止對主機的非開放服務的訪問，限制特定IP地址的訪問，啟用防火墻的安全策略，嚴格限制對外開放的服務器的向外訪問，運行端口映射，程序端口掃描程序，要認真檢查特權端口和非特權端口，記錄流量變法的參數(shù)值；認真檢查網(wǎng)絡設備和主機/服務器系統(tǒng)的日志。只要日志出現(xiàn)漏洞或是時間變更，說明這臺機器就有可能遭到了攻擊；限制在防火墻外的網(wǎng)絡文件共享，通過防火墻對特定的URL進行防護；聯(lián)系運營商將一些攻擊頻繁的客戶端進行自動屏蔽，增大帶寬的流量。

七、總結(jié)

遭受這次DDoS攻擊，讓我明白了網(wǎng)絡安全是一項復雜的系統(tǒng)工程。它涉及技術、設備和管理等多方面的因素，安全解決方案的制定需要從整體上進行把握。網(wǎng)絡安全解決方案是綜合各種計算機網(wǎng)絡信息系統(tǒng)安全技術，將安全操作系統(tǒng)技術、防火墻技術、病毒防護技術、入侵檢測技術、安全掃描技術等綜合起來，形成一套完整的、協(xié)調(diào)一致的網(wǎng)絡安全防護體系。因此，需要在工作中不斷的總結(jié)，提前做好防范的措施，確保整個網(wǎng)絡安全的運行。

參考文獻：

[1] 喬書建. DDoS攻擊的原理與防范 [J]. 科教文匯（下旬刊）， 2007.5.