亚洲最大机房间歇性瘫痪引发的思考

2006年年底，号称亚洲最大的IDC机房??北京亦庄国际数据中心机房受到了最猖狂分布式拒绝服务（DDoS）攻击。据说12月20日当天，该IDC机房最高攻击流量超过12G，而北京亦庄机房的带宽也就是7G，这造成了北京亦庄机房的间歇性瘫痪。此次攻击事件应该说是目前已知分布式拒绝服务攻击（DDoS）事件中的流量最大的一次攻击。

　　实际上这次攻击事件只是DDoS众多攻击事件中的代表，冰山只露出了小小的一角。纵观网络安全，分布式拒绝服务攻击（DDoS）攻击是网络安全最大的威胁，已经对正常的网络秩序造成严重影响。因此，了解DDoS的工作原理，制定必要的防范措施，成为保证网络安全必要条件之一。

　　DDoS攻击 高带宽下的产物

　　分布式拒绝服务攻击（DDoS）是目前黑客经常采用而难以防范的攻击手段。高速广泛连接的网络给大家带来了方便，也为DDoS攻击创造了极为有利的条件。

　　在低速网络时代时，黑客占领攻击用的傀儡机时，总是会优先考虑离目标网络距离近的机器，因为经过路由器的跳数少，效果好。而现在电信骨干节点之间的连接都是以G为级别的，大城市之间更可以达到2.5G的连接，这使得攻击可以从更远的地方或者其他城市发起，攻击者的傀儡机位置可以在分布在更大的范围，选择起来更灵活了。

　　DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的，当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高的情况下，它的攻击效果是明显的。

　　而随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DoS攻击的困难程度加大了??目标对恶意攻击包的“消化能力”加强了不少。例如你的攻击软件每秒钟可以发送6,000个攻击包，但我的主机与网络带宽每秒钟可以处理20,000个攻击包，这样一来攻击就不会产生什么效果。

图一DDoS攻击流程示意图

　　DDoS的攻击手法则不同。如图一所示，攻击者只需要在PC1进行操作，通过PC2作为跳板，3号区域的所有计算机，全部向受害者发数据包，这就是利用PC1对PC4进行DDoS攻击的过程。为了逃避追查，黑客之不会直接通过PC2进行操作，仅仅把PC2作为一个跳板，降低用户规避DDoS攻击的风险。

DDoS攻击将损害大多数人的利益

　　被攻击主机上有大量等待的TCP连接 ，网络中充斥着大量的无用的数据包，制造出高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯。利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求 ，严重时会造成系统死机。

　　DDoS的表现形式主要有两种，一种为流量攻击，主要是针对网络带宽的攻击，即大量攻击包导致网络带宽被阻塞，合法网络包被虚假的攻击包淹没而无法到达主机。如利用缺省报文形成数据等待队列，导致远程目标机处理大量的数据流量形成速慢,渐而崩溃 。另一种表现则是资源耗尽攻击，这类攻击主要是针对服务器主机的攻击，即通过大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网络服务。

　　这种攻击行为不只是影响到的企业，因为这类攻击是耗用网络有限资源的攻击，甚至可以说这类攻击将威胁到整个国家的根本利益，瘫痪我们的基础设施。如果我们没有手段进行遏制的话，这种对基础设施的攻击带来的损失就更加不可估量了，受害者不会仅仅是IDC、企业等，也会包括我们每一位个体。

　　监测可主动防御DDoS攻击

　　采用DDoS方式进行攻击的攻击者日益增多，我们只有及早发现自己受到攻击才能避免遭受惨重的损失，检测DDoS攻击的主要方法有以下几种：　　

　　1、根据异常情况分析 当网络的通讯量突然急剧增长，超过平常的极限值时，你可一定要提高警惕，检测此时的通讯；当网站的某一特定服务总是失败时，你也要多加注意；当发现有特大型的ICP和UDP数据包通过或数据包内容可疑时都要留神。总之，当你的机器出现异常情况时，你最好分析这些情况，防患于未然。

　　2、使用DDoS检测工具 当攻击者想使其攻击阴谋得逞时，他首先要扫描系统漏洞，目前市面上的一些网络入侵检测系统，可以杜绝攻击者的扫描行为。另外，一些扫描器工具可以发现攻击者植入系统的代理程序，并可以把它从系统中删除。

由于DDoS攻击具有隐蔽性，因此到目前为止我们还没有发现对DDoS攻击行之有效的解决方法。所以我们要加强安全防范意识，提高网络系统的安全性。可采取的安全防御措施有以下几种：　　

　　1、及早发现系统存在的攻击漏洞，及时安装系统补丁程序。对一些重要的信息（例如系统配置信息）建立和完善备份机制。对一些特权帐号（例如管理员帐号）的密码设置要谨慎。通过这样一系列的举措可以把攻击者的可乘之机降低到最小。　

　　2、在网络管理方面，要经常检查系统的物理环境，禁止那些不必要的网络服务。建立边界安全界限，确保输出的包受到正确限制。经常检测系统配置信息，并注意查看每天的安全日志。　　

　　3、利用网络安全设备（例如：防火墙）来加固网络的安全性，配置好它们的安全规则，过滤掉所有的可能的伪造数据包。　

　　4、比较好的防御措施就是和你的网络服务提供商协调工作，让他们帮助你实现路由的访问控制和对带宽总量的限制。　　

　　5、当你发现自己正在遭受DDoS攻击时，你应当启动您的应付策略，从而阻挡从已知攻击节点的流量。把伪地址通过IP策略过滤后，DDoS攻击自然会消失。具体的IP策略防范DDoS攻击步骤：

　　步骤一 在Web→高级配置→组管理中，建立一个工作组“all”（可以自定义名称），包含整个网段的所有IP地址（192.168.1.1--192.168.1.254）。

　　步骤二 Web→高级配置→业务管理→业务策略配置中，建立策略“pemit”（可以自定义名称），允许“all工作组”到所有目标地址（0.0.0.1-255.255.255.255）的访问，按照图二进行配置并，保存配置退出。

图二配制策略图

　　步骤三 Web高级配置→业务管理→全局配置中，取消“允许其他用户”的选中，选中“启用业务管理”，保存。

　　6、当你是潜在的DDoS攻击受害者，你发现你的计算机被攻击者用做主控端和代理端时，你不能因为你的系统暂时没有受到损害而掉以轻心，攻击者已发现你系统的漏洞，这对你的系统是一个很大的威胁。所以一旦发现系统中存在DDoS攻击的工具软件要及时把它清除，以免留下后患。

　　总之，被动防御不是最终的解决办法，必须各界联手进行主动防御，不仅要过滤攻击的流量，还要反溯谁在攻击，有技术的用户要实使反侦察攻击，以其技还彼其身。

标签： ddos idc 安全 防火墙 防御ddos 服务器 机房 漏洞 企业 数据中心机房 网络 网络安全 网络安全设备 网站 选择 用户

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。