一��、分布式阻斷服務(wù)(Distributed Denial of Service)
DDoS 則是 DoS 的特例,黑客利用多臺機器同時攻擊來達到妨礙正常使用者使用服務(wù)的目的。黑客預(yù)先入侵大量主機以后����,在被害主機上安裝 DDoS 攻擊程控被害主機對攻擊目標展開攻擊;有些 DDoS 工具采用多層次的架構(gòu)��,甚至可以一次控制高達上千臺電腦展開攻擊�,利用這樣的方式可以有效產(chǎn)生極大的網(wǎng)絡(luò)流量以癱瘓攻擊目標�����。早在2000年就發(fā)生過針對Yahoo, eBay, Buy.com 和 CNN 等知名網(wǎng)站的DDoS攻擊����,阻止了合法的網(wǎng)絡(luò)流量長達數(shù)個小時。
DDoS 攻擊程序的分類�����,可以依照幾種方式分類�,以自動化程度可分為手動、半自動與自動攻擊�����。早期的 DDoS 攻擊程序多半屬于手動攻擊,黑客手動尋找可入侵的計算機入侵并植入攻擊程序����,再下指令攻擊目標;半自動的攻擊程序則多半具有 handler 控制攻擊用的agent 程序,黑客散布自動化的入侵工具植入 agent 程序�,然后使用 handler 控制所有agents 對目標發(fā)動 DDoS 攻擊;自動攻擊更進一步自動化整個攻擊程序,將攻擊的目標����、時間和方式都事先寫在攻擊程序里,黑客散布攻擊程序以后就會自動掃描可入侵的主機植入 agent 并在預(yù)定的時間對指定目標發(fā)起攻擊��,例如近期的 W32/Blaster 網(wǎng)蟲即屬于此類���。
若以攻擊的弱點分類則可以分為協(xié)議攻擊和暴力攻擊兩種��。協(xié)議攻擊是指黑客利用某個網(wǎng)絡(luò)協(xié)議設(shè)計上的弱點或執(zhí)行上的 bug 消耗大量資源�����,例如 TCP SYN 攻擊����、對認證伺服器的攻擊等;暴力攻擊則是黑客使用大量正常的聯(lián)機消耗被害目標的資源,由于黑客會準備多臺主機發(fā)起 DDoS 攻擊目標�,只要單位時間內(nèi)攻擊方發(fā)出的網(wǎng)絡(luò)流量高于目標所能處理速度,即可消耗掉目標的處理能力而使得正常的使用者無法使用服務(wù)�����。
若以攻擊頻率區(qū)分則可分成持續(xù)攻擊和變動頻率攻擊兩種���。持續(xù)攻擊是當(dāng)攻擊指令下達以后��,攻擊主機就全力持續(xù)攻擊,因此會瞬間產(chǎn)生大量流量阻斷目標的服務(wù)��,也因此很容易被偵測到;變動頻率攻擊則較為謹慎����,攻擊的頻率可能從慢速漸漸增加或頻率高低變化,利用這樣的方式延緩攻擊被偵測的時間����。
二、阻斷服務(wù)(Denial of Service)
在探討 DDoS 之前我們需要先對 DoS 有所了解��,DoS泛指黑客試圖妨礙正常使用者使用網(wǎng)絡(luò)上的服務(wù)���,例如剪斷大樓的電話線路造成用戶無法通話��。而以網(wǎng)絡(luò)來說�,由于頻寬、網(wǎng)絡(luò)設(shè)備和服務(wù)器主機等處理的能力都有其限制���,因此當(dāng)黑客產(chǎn)生過量的網(wǎng)絡(luò)封包使得設(shè)備處理不及���,即可讓正常的使用者無法正常使用該服務(wù)。例如黑客試圖用大量封包攻擊一般頻寬相對小得多的撥接或 ADSL 使用者���,則受害者就會發(fā)現(xiàn)他要連的網(wǎng)站連不上或是反應(yīng)十分緩慢����。
DoS 攻擊并非入侵主機也不能竊取機器上的資料����,但是一樣會造成攻擊目標的傷害,如果攻擊目標是個電子商務(wù)網(wǎng)站就會造成顧客無法到該網(wǎng)站購物����。
三、預(yù)防DDoS攻擊
DDoS 必須透過網(wǎng)絡(luò)上各個團體和使用者的共同合作���,制定更嚴格的網(wǎng)絡(luò)標準來解決���。每臺網(wǎng)絡(luò)設(shè)備或主機都需要隨時更新其系統(tǒng)漏洞���、關(guān)閉不需要的服務(wù)、安裝必要的防毒和防火墻軟件�����、隨時注意系統(tǒng)安全�����,避免被黑客和自動化的 DDoS 程序植入攻擊程序��,以免成為黑客攻擊的幫兇�����。
有些 DDoS 會偽裝攻擊來源�,假造封包的來源 ip���,使人難以追查����,這個部份可以透過設(shè)定路由器的過濾功能來防止,只要網(wǎng)域內(nèi)的封包來源是其網(wǎng)域以外的 ip���,就應(yīng)該直接丟棄此封包而不應(yīng)該再送出去���,如果網(wǎng)管設(shè)備都支持這項功能,網(wǎng)管人員都能夠正確設(shè)定過濾掉假造的封包���,也可以大量減少調(diào)查和追蹤的時間���。
網(wǎng)域之間保持聯(lián)絡(luò)是很重要的,如此才能有效早期預(yù)警和防治 DDoS 攻擊���,有些 ISP會在一些網(wǎng)絡(luò)節(jié)點上放置感應(yīng)器偵測突然的巨大流量���,以提早警告和隔絕 DDoS 的受害區(qū)域,降低顧客的受害程度�。
四、從 DDoS 攻擊下存活
那么當(dāng)遭受 DDoS 攻擊的時候要如何設(shè)法存活并繼續(xù)提供正常服務(wù)呢?由先前的介紹可以知道��,若黑客攻擊規(guī)模遠高于你的網(wǎng)絡(luò)頻寬�、設(shè)備或主機所能處理的能力���,其實是很難以抵抗攻擊的,但仍然有一些方法可以減輕攻擊所造成的影響�����。
首先是調(diào)查攻擊來源��,由于黑客經(jīng)由入侵機器進行攻擊����,因此你可能無法查出黑客是由哪里發(fā)動攻擊,我們必須一步一步從被攻擊目標往回推�����,先調(diào)查攻擊是由管轄網(wǎng)絡(luò)的哪些邊界路由器進來����,上一步是外界哪臺路由器��,連絡(luò)這些路由器的管理者(可能是某個ISP或電信公司)并尋求他們協(xié)助阻擋或查出攻擊來源��,而在他們處理之前可以進行哪些處理呢?
