許多黑客專門破壞或竊取數據，還有不少黑客總是願意破壞對數據的合法訪問。後者這種對信息可用性的攻擊被稱為DoS攻擊，這種攻擊與竊取信息一樣都會給企業帶來不可估量的損失。

高級DoS攻擊利用受控計算機組成的大型網路(稱為殭屍網路)，同時從多個不同的地理位置來攻擊一個網站。這種攻擊稱為分散式拒絕服務攻擊(DDoS攻擊)。這種攻擊更陰險，因為我們很難將其通信與正常的網路通信區分開來。

DDoS基礎

在一個網路接收的數據超過了它的處理能力時，可能就發生了DDoS攻擊。執行一次成功的攻擊所要求的通信速率依賴於網路的帶寬，以及保護設備的能力。其結果總是相同的，機器的互聯網連接陷於完全停頓。用戶們無法做任何操作，這就像下班高峰時的交通擁塞一樣。

並非所有的DDoS攻擊都針對網站。「有進取心」的黑客還會針對其它的基礎組件，如企業的DNS控制器等。筆者的一位客戶就曾遭受過DNS擴大攻擊，攻擊者將帶有受害者IP地址的DNS請求作為一個虛假的源發動攻擊。由於DNS響應可以比請求更強大，被欺騙的IP會收到大量的響應。該客戶在高峰時段每隔一段時間就會收到大量的攻擊，這嚴重地影響了該客戶繼續進行業務的能力。

雖然你企業的網路沒有充足的資源來防禦DDoS攻擊，但你可以尋求ISP的幫助。你可以設置網路過濾器，為攻擊網路的通信改變路線。在使用這種方法時要小心，因為ISP的首要責任是向所有的客戶提供服務，而不僅僅是某個用戶。

基本防禦

首先，建議企業實施基礎架構的風險分析，這是一個很好的開始。例如，匿名攻擊在對許多企業的攻擊中獲得很大成功，這並不是因為攻擊者的工具如何高級，而是因為他們所攻擊的基礎架構本身就漏洞百出。

其次，禁止任何未用的服務，目的是將開放埠的數量最小化，從而減少攻擊者進入和利用已知漏洞的機會。

第三，為所有的軟體打上補丁，保持所有軟體的最新有助於漏洞數量的最少化。

第四，不要太依賴防火牆。防火牆只能阻止來自某些埠的洪水攻擊，但它卻無法防止基於Web的通信進入。

此外，如果禁用了IP廣播，就可以阻止基於ICMP的攻擊，如死亡之ping攻擊。

這些僅是從大體上保護網路，抵禦一般DDoS攻擊的方法，對於一些高級DDoS攻擊，這些措施遠遠不夠。說到專門的DDoS防禦，企業不妨使用IP包過濾技術。

包過濾

描述過濾這種技術還是很容易的：判斷進入的數據包，看其是來自合法用戶，還是來自攻擊機器，若來自後者，則丟棄。但實際上實施這種方案並非易事。

企業往往建立能夠阻止非法通信的過濾器。但這種做法的困難在於，如何將攻擊包與合法請求區分開來，而且因為攻擊的目的是摧毀正在掃描通信的設備，數據包的數目如此多，從而造成保護網路的設備無法應對。建議採用阻止假冒IP包的技術，如基於路由器的過濾，它可以跟蹤進入通信的源地址，一旦發現異常，就認為是欺詐而丟棄。事實上，很容易阻止欺詐，如今的高級攻擊不再使用這種伎倆。現在阻止假冒通信僅是一種簡單技術。

抵制殭屍網路的攻擊

但新威脅卻更為危險：在受感染的計算機作為殭屍網路的一部分而協同動作時，數據包的源地址就不再是假冒的了，而是真實的IP地址。

針對殭屍攻擊，有一種更科學的IP過濾方法。這種技術試圖先記住曾經訪問過網站的善意數據包，然後找出惡意數據包，僅准許來自已知源的數據包進入。此時，邊緣路由器參照常用訪問者的IP地址資料庫，如果在通信源中找不到匹配的IP，就丟棄包。

基於歷史記錄的過濾有一個關鍵問題，就是地址資料庫是如何工作的。如果邊緣路由器花費太多的時間才能得到善意地址的列表，而攻擊又正在進行，網路響應速度就會減少，其造成的效果與攻擊自身又有什麼區別呢?

這種過濾還有一個問題：如果攻擊者知道了基於歷史的過濾，為了使殭屍計算機的IP地址合法化，殭屍控制系統很容易在真實攻擊發生之前將殭屍計算機指引到目標網站。這會欺騙過濾系統，使其信任更多的DDoS包，因為攻擊來自「熟悉的」地址。

虛擬路由器和安全設備

除過濾之外，新的DDoS防禦技術還可以使用虛擬路由器和基於設備的系統，以此作為接收通信的基本方式，並應用清潔技術來過濾通信。這種自動化的系統將來勢必成為對付DDoS攻擊的重要防禦工具，因為可以對基於雲和基於虛擬化的系統進行調整，以滿足海量的通信要求。

根除DDoS之路漫漫而修遠，因為互聯網上有太多不安全的機器正在被「殭屍化」。雖然目前對付DDoS攻擊的防禦已經很強大，但其針對性往往太強，而DDoS攻擊採取的是「群起而攻之」的戰術。因而，防禦必須依靠綜合治理、協同努力。DDoS是IT管理者時刻需要關注的嚴重威脅。

在遊戲行業DDoS攻擊越來越嚴重的今天，做好防禦工作是每個遊戲企業的必修課。智安網路擁有十年經驗的安全服務商，致力於幫助遊戲企業科學應對，不再懼怕DDoS攻擊!

推薦閱讀：

相关文章