亚洲最大机房间歇性瘫痪引发的思考
2018-06-11 来源:
实际上这次攻击事件只是DDoS众多攻击事件中的代表,冰山只露出了小小的一角。纵观网络安全,分布式拒绝服务攻击(DDoS)攻击是网络安全最大的威胁,已经对正常的网络秩序造成严重影响。因此,了解DDoS的工作原理,制定必要的防范措施,成为保证网络安全必要条件之一。
DDoS攻击 高带宽下的产物
分布式拒绝服务攻击(DDoS)是目前黑客经常采用而难以防范的攻击手段。高速广泛连接的网络给大家带来了方便,也为DDoS攻击创造了极为有利的条件。
在低速网络时代时,黑客占领攻击用的傀儡机时,总是会优先考虑离目标网络距离近的机器,因为经过路由器的跳数少,效果好。而现在电信骨干节点之间的连接都是以G为级别的,大城市之间更可以达到2.5G的连接,这使得攻击可以从更远的地方或者其他城市发起,攻击者的傀儡机位置可以在分布在更大的范围,选择起来更灵活了。
DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的,当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高的情况下,它的攻击效果是明显的。
而随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得DoS攻击的困难程度加大了??目标对恶意攻击包的“消化能力”加强了不少。例如你的攻击软件每秒钟可以发送6,000个攻击包,但我的主机与网络带宽每秒钟可以处理20,000个攻击包,这样一来攻击就不会产生什么效果。
图一DDoS攻击流程示意图 |
DDoS的攻击手法则不同。如图一所示,攻击者只需要在PC1进行操作,通过PC2作为跳板,3号区域的所有计算机,全部向受害者发数据包,这就是利用PC1对PC4进行DDoS攻击的过程。为了逃避追查,黑客之不会直接通过PC2进行操作,仅仅把PC2作为一个跳板,降低用户规避DDoS攻击的风险。
DDoS攻击将损害大多数人的利益
被攻击主机上有大量等待的TCP连接 ,网络中充斥着大量的无用的数据包,制造出高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯。利用受害主机提供的服务或传输协议上的缺陷,反复高速的发出特定的服务请求,使受害主机无法及时处理所有正常请求 ,严重时会造成系统死机。
DDoS的表现形式主要有两种,一种为流量攻击,主要是针对网络带宽的攻击,即大量攻击包导致网络带宽被阻塞,合法网络包被虚假的攻击包淹没而无法到达主机。如利用缺省报文形成数据等待队列,导致远程目标机处理大量的数据流量形成速慢,渐而崩溃 。另一种表现则是资源耗尽攻击,这类攻击主要是针对服务器主机的攻击,即通过大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网络服务。
这种攻击行为不只是影响到的企业,因为这类攻击是耗用网络有限资源的攻击,甚至可以说这类攻击将威胁到整个国家的根本利益,瘫痪我们的基础设施。如果我们没有手段进行遏制的话,这种对基础设施的攻击带来的损失就更加不可估量了,受害者不会仅仅是IDC、企业等,也会包括我们每一位个体。
监测可主动防御DDoS攻击
采用DDoS方式进行攻击的攻击者日益增多,我们只有及早发现自己受到攻击才能避免遭受惨重的损失,检测DDoS攻击的主要方法有以下几种:
1、根据异常情况分析 当网络的通讯量突然急剧增长,超过平常的极限值时,你可一定要提高警惕,检测此时的通讯;当网站的某一特定服务总是失败时,你也要多加注意;当发现有特大型的ICP和UDP数据包通过或数据包内容可疑时都要留神。总之,当你的机器出现异常情况时,你最好分析这些情况,防患于未然。
2、使用DDoS检测工具 当攻击者想使其攻击阴谋得逞时,他首先要扫描系统漏洞,目前市面上的一些网络入侵检测系统,可以杜绝攻击者的扫描行为。另外,一些扫描器工具可以发现攻击者植入系统的代理程序,并可以把它从系统中删除。
由于DDoS攻击具有隐蔽性,因此到目前为止我们还没有发现对DDoS攻击行之有效的解决方法。所以我们要加强安全防范意识,提高网络系统的安全性。可采取的安全防御措施有以下几种:
1、及早发现系统存在的攻击漏洞,及时安装系统补丁程序。对一些重要的信息(例如系统配置信息)建立和完善备份机制。对一些特权帐号(例如管理员帐号)的密码设置要谨慎。通过这样一系列的举措可以把攻击者的可乘之机降低到最小。
2、在网络管理方面,要经常检查系统的物理环境,禁止那些不必要的网络服务。建立边界安全界限,确保输出的包受到正确限制。经常检测系统配置信息,并注意查看每天的安全日志。
3、利用网络安全设备(例如:防火墙)来加固网络的安全性,配置好它们的安全规则,过滤掉所有的可能的伪造数据包。
4、比较好的防御措施就是和你的网络服务提供商协调工作,让他们帮助你实现路由的访问控制和对带宽总量的限制。
5、当你发现自己正在遭受DDoS攻击时,你应当启动您的应付策略,从而阻挡从已知攻击节点的流量。把伪地址通过IP策略过滤后,DDoS攻击自然会消失。具体的IP策略防范DDoS攻击步骤:
步骤一 在Web→高级配置→组管理中,建立一个工作组“all”(可以自定义名称),包含整个网段的所有IP地址(192.168.1.1--192.168.1.254)。
步骤二 Web→高级配置→业务管理→业务策略配置中,建立策略“pemit”(可以自定义名称),允许“all工作组”到所有目标地址(0.0.0.1-255.255.255.255)的访问,按照图二进行配置并,保存配置退出。
图二配制策略图 |
步骤三 Web高级配置→业务管理→全局配置中,取消“允许其他用户”的选中,选中“启用业务管理”,保存。
6、当你是潜在的DDoS攻击受害者,你发现你的计算机被攻击者用做主控端和代理端时,你不能因为你的系统暂时没有受到损害而掉以轻心,攻击者已发现你系统的漏洞,这对你的系统是一个很大的威胁。所以一旦发现系统中存在DDoS攻击的工具软件要及时把它清除,以免留下后患。
总之,被动防御不是最终的解决办法,必须各界联手进行主动防御,不仅要过滤攻击的流量,还要反溯谁在攻击,有技术的用户要实使反侦察攻击,以其技还彼其身。
标签: ddos idc 安全 防火墙 防御ddos 服务器 机房 漏洞 企业 数据中心机房 网络 网络安全 网络安全设备 网站 选择 用户
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。