DDoS防范和全局网络安全网络的应对
来源:asp之家 发布时间:2009-09-04 13:40:00
作为破坏力较强的黑客攻击手段,DDoS是一种形式比较特殊的拒绝服务攻击。作为一种分布、协作的大规模攻击方式,它往往把受害目标锁定在大型Internet站点,例如商业公司、搜索引擎或政府部门网站。由于DDoS攻击的恶劣性(往往通过利用一批受控制的网络终端向某一个公共端口发起冲击,来势迅猛又令人难以防备,具有极大破坏力)难以被侦测和控制,因此也广泛受到网络安全业界的关注。从最初的入侵检测系统(IDS)到目前新兴的全局安全网络体系,在防范DDoS攻击的过程中先进的网络安全措施发挥作用,使对抗黑客攻击的手段日益提升,向着智能化、全局化的方向大步迈进。
知己知彼:全面解剖DDoS攻击
分布式攻击系统和我们日常生活中司空见惯的客户机/服务器模式非常相象,但是DDoS系统的日趋复杂性和隐蔽性使人难以发现。入侵者控制了一些节点,将它们设计成控制点,这些控制点控制了Internet大量的主机,将它们设计成攻击点,攻击点中装载了攻击程序,正是由这些攻击点计算机对攻击目标发动的攻击。DDoS攻击的前奏是率先攻破一些安全性较差的电脑作为控制点主机。因为这些电脑在标准网络服务程序中存在众所周知的缺陷,它们还没有来得及打补丁或进行系统升级,还有可能是操作系统本身有Bug,这样的系统使入侵者很容易闯入。
典型的DDoS攻击包括带宽攻击和应用攻击。在带宽攻击中,网络资源或网络设备被高流量数据包所消耗。在应用攻击时,TCP或HTTP资源无法被用来处理交易或请求。发动攻击时,入侵者只需运行一个简单的命令,一层一层发送命令到所有控制的攻击点上,让这些攻击点一齐“开炮”——向目标传送大量的无用的数据包,就在这样的“炮火”下,攻击目标的网络带宽被占满,路由器处理能力被耗尽。而较之一般的黑客攻击手段来说,DDoS的可怕之处有二:一是DDoS利用Internet的开放性和从任意源地址向任意目标地址提交数据包;二是人们很难将非法的数据包与合法的数据包区分开。
屡战屡败:防范手段失效溯源
既然了解DDoS攻击的起源结果,为什么还会让它如此肆虐呢?平心而论,以往所采用的几种防御形式的被动和片面,是DDoS攻击难以被遏止的真正原因。
在遭遇DDoS攻击时,一些用户会选择直接丢弃数据包的过滤手段。通过改变数据流的传送方向,将其丢弃在一个数据“黑洞”中,以阻止所有的数据流。这种方法的缺点是所有的数据流(不管是合法的还是非法的)都被丢弃,业务应用被中止。数据包过滤和速率限制等措施同样能够关闭所有应用,拒绝为合法用户提供接入。这样做的结果很明显,就是“因噎废食”,可以说是恰恰满足了黑客的心愿。
既然“因噎废食”不可取,那么路由器、防火墙和入侵检测系统(IDS)的功效又怎样呢?从应用情况来看,通过配置路由器过滤不必要的协议可以阻止简单的ping攻击以及无效的IP地址,但是通常不能有效阻止更复杂的嗅探攻击和使用有效IP地址发起的应用级攻击。而防火墙可以阻挡与攻击相关的特定数据流,不过与路由器一样,防火墙不具备反嗅探功能,所以防范手段仍旧是被动和不可靠的。目前常见的IDS能够进行异常状况检测,但它不能自动配置,需要技术水平较高的安全专家进行手工调整,因此对新型攻击的反应速度较慢,终究不是解决之道。
全局安全:充分遏制DDoS魔爪
深究各种防范措施对DDoS攻击束手无策的原因,变幻莫测的攻击来源和层出不穷的攻击手段是症结所在。为了彻底打破这种被动局面,目前业界领先的网络安全技术厂商已然趋于共识:那就是在网络中配置整体联动的安全体系,通过软件与硬件技术结合、深入网络终端的全局防范措施,以加强实施网络安全管理的能力。
以锐捷网络2004年底推出的GSN??全局安全网络解决方案为例,它在解决DDoS方面给出了自己独特的见解。首先,GSN??在网络中针对所有要求进行网络访问的行为进行统一的注册,没有经过注册的网络访问行为将不被允许访问网络。通过GSN??安全策略平台的帮助,管理员可以有效的了解整个网络的运行情况,进而对网络中存在的危及安全行为进行控制。在具体防范DDoS攻击的过程中,每一个在网络中发生的访问行为都会被系统检测并判断其合法性,一旦发觉这一行为存在安全威胁,系统将自动调用安全策略,采取直接阻止访问、限制该终端访问网络区域(例如避开网络内的核心数据或关键服务区,以及限制访问权限等)和限制该终端享用网络带宽速率的方式,将DDoS攻击发作的危害降到最低。
在终端用户的安全控制方面,GSN??能对所有进入网络的用户系统安全性进行评估,杜绝网络内终端用户成为DDoS攻击来源的威胁。从当用户终端接入网络时,安全客户端会自动检测终端用户的安全状态。一旦检测到用户系统存在安全漏洞(未及时安装补丁等),用户会从网络正常区域中隔离开,并自动置于系统修复区域内加以修复,直到完成系统规定的安全策略,才能进入正常的网络环境中。这样一来,不仅可以杜绝网络内部各个终端产生安全隐患的威胁,也使网络内各个终端用户的访问行为得到了有效控制。通过在接入网络时进行自动“健康检查”,DDoS再也不能潜藏在网络中,并利用网络内的终端设备发动攻击了。
对于用户来说,正常业务的开展是最根本的利益所在。随着人们对Internet的依赖性不断增加,DDoS攻击的危害性也在不断加剧。不少安全专家都曾撰文指出:及早发现系统存在的攻击漏洞、及时安装系统补丁程序,以及不断提升网络安全策略,都是防范DDoS攻击的有效办法。而先进的全局安全网络体系的出现,实现了将系统层面和网络层面相结合来有效的进行安全解决方案的自动部署,进一步提高了对于DDoS这类“行踪飘渺”的恶性网络攻击的自动防范能力。尽管目前以DDoS为代表的黑客攻击仍旧气焰嚣张,但是在可以预见的将来,广大用户手中握紧的安全利刃必定可以斩断DDoS的魔爪。
猜你喜欢
- 福建日报2月21日报道 近年来,福建省互联网行业发展迅猛,多项指标居全国前列。全省网民数达866万人,网民数居全国第6位,占全国网民数4.1
- 四、Sendmail的配置配置Sendmail的步骤如下。1、在/etc/mail目录下创建access文件,内容如下:127.0.0.1
- 本人经过多次的试验,终于成功了。这种方式不知到有没有,如有雷同纯属巧合。效果参考:http://www.shoesmold.net本网站刚刚
- 美国书商Barnes &Noble在美国推出一款电子阅读器Nook,与亚马逊的Kindle和索尼的阅读器展开竞争。与Kindle相同
- 网上流传的很多关于windows server 2003系统的安全配置,但是仔细分析下发现很多都不全面,并且很多仍然配置的不够合理,并且有很
- 在这个seo外链为王的时代,应该没多少人注重内链建设了,实际上不管是在百度还是在google,内链建设都非常重要。 本文着重讲述内链。随便列
- Baidu是中文搜索引擎的老大,Google是世界搜索引擎的龙头。在页面更新上,Google要比Baidu快很多。一般做一个关键词页面,第二
- 我应该关注什么?它也起作用了,这还不够吗?每一个网站设计的项目都有一个时间限制,客户也都希望它们的网站能够提前完成。所以网络开发人员和设计人
- Godaddy主机是支持Zend Optimizer,但是,我看到一些朋友对它不了解,不知道它是做什么的,下面我就来介绍一下Zend Opt
- 下载的地址:http://java.sun.com/products/archive/j2se/1.4.2_06/index.html 第一
- 11月18日消息,“互联网经历了十几年的发展,已经衍生出了大量形色不同的病毒,然而传统的收费杀毒厂商的杀毒引擎近十年来几
- 北京时间10月16日消息,据国外媒体报道,谷歌周四在分析师电话会议中再次表示,旗下视频网站YouTube“不远的将来&a
- 有些使用的Godaddy主机的朋友会问我这样的问题,他购买的是Deluxe Plan+linux系统+SSL系列的主机,程序安装无误,但是在
- 最近和一个做市场调查的客户聊天,从他那边了解到市场调查的一些大概步骤。企业在推出一个新产品前一般都是要先对该产品的市场需求做一个市场调查,以
- 建站三部曲(1)丰富内容:建站伊始,针对乐儿网缺少内容的情况,通过派发实物礼品的形式来鼓励会员发布大量原创性内容,网站区内的日志数量和帖子数
- 随着校园网络建设和应用的逐步深入,越来越多的学校建立了自己的Web服务器。IIS(Internet Information Server)作
- 无论是对普通网络冲浪者还是网站管理员来说,Google都是目前世界范围内最受欢迎的搜索引擎。它每天处理的搜索请求高达1.5亿次,几乎占全球所
- 组装服务器并托管服务器纪实自己买了虚拟主机及VPS,用着感觉还可以,但是性能和稳定性还是有很大的瓶颈。忍不住了,今日自己跑到中关村组装了一台
- 据外国媒体报道,在昨日.com 域名开放注册25周年之际,全球知名域名服务商Godaddy宣布其在3月10日注册了第4000万个域名,自此,
- 当初百度把自己的搜索外延拓展到日本市场的时候,很多人都不以为然,觉得百度的市场还是在国内,但是国内搜索市场的利润空间实在让李彦宏不能满意。扬