DDoS攻击如何对你说“不”

申请免费试用、咨询电话：400-8352-114

2009年7月的一个下午，在“绿色网吧”门口，有大批的游戏玩家骂骂咧咧地从网吧走出来，网管随即在门口挂出了“停止营业”的牌子。“又是这样，玩着玩着突然掉线，重新登录服务器完全没反应。一个月内这样的情况已经发生第三次了，解决不了就别做了，关门得了。”一个刚从网吧走出来的男生嘴里絮叨着，他把手里的烟顺手丢在了地上，狠狠地踩了两脚。

“没办法啊，我们已经装了防火墙，也做了专门的网络维护，该做的我们都尽可能做了，黑客的攻击防不胜防，我们对这些攻击真是束手无策了。”网吧老板显得很无奈。

其实，“绿色网吧”是遭受到了一轮DDoS攻击，网速变得极慢，玩家根本无法正常上网。虽然最后并没能查到究竟是谁组织的这次攻击，但网吧老板怀疑是相距不远的另一家网吧采取的一种恶性竞争手段。

“低投高收”的“洪水式攻击”

最近几年，随着互联网的快速发展，上网人群日益增多，DDoS攻击似乎又开始呈现出大规模爆发的趋势。东软网络安全产品营销中心产品经理姚伟栋给出了这样一组数据:在2006年，国内DDoS攻击峰值流量只有2.5Gps，2007年达到了24Gps，2008年则达到了40Gps，每年在以两倍以上的速度增长。“国内一个省级电信运营商的出口带宽是100Gps，DDoS攻击流量占据了整体流量的40%，这相当惊人。”他说。2009年8月，Twitter、Facebook和YouTube账户也遭到阻断服务攻击。有报告指出，目前数百万企业应用正面临DDoS攻击的威胁。

那么，发动DDoS攻击的人究竟是什么目的？他们是如何发动的？真的如某些人所说，DDoS攻击是互联网上的顽疾，很难防御吗？为了弄清楚这些问题，记者走访了几家业内知名的信息安全厂商。

“发起DDoS攻击，大多数是为了恶性竞争。比如，网吧为了争夺顾客资源，有时会采取一些恶意攻击方法，造成被攻击网吧网络瘫痪而无法正常运营，并对网吧经营主造成直接经济损失。” 北京神州绿盟科技有限公司产品市场经理崔云鹏告诉记者。“最开始是黑客对某个企业发动攻击，然后进行敲诈勒索; 后来演变成了某些企业花钱聘用这些黑客向另一个竞争对手发起攻击，窃取商业机密或是使得对方网络瘫痪无法正常工作。”

记者了解到，黑客们发动DDoS攻击时需要找很多的“肉鸡”组成一个僵尸网络，通过操纵僵尸网络，让所有的“肉鸡”一起向目标发起攻击，并向受害主机发送大量看似合法的网络包，从而造成网络阻塞或服务器资源耗尽而导致拒绝服务，分布式拒绝服务攻击一旦被实施，攻击网络包就会犹如洪水般涌向受害主机，从而把合法用户的网络包淹没，导致合法用户无法正常访问服务器的网络资源。因此，拒绝服务攻击又被称之为“洪水式攻击”。

姚伟栋认为，除了商业恶意竞争催生DDoS攻击的快速发展外，另一个刺激因素是攻击的成本越来越低，而收益却越来越高。以每台“肉鸡”贡献1Mps流量计算，1000台“肉鸡”就可以达到1Gps，一次流量1Gps、时间一小时的攻击目前圈内可以接受的最低行内价只需要2000元到3000元，实际攻击成本比这个市价要低得多，只有一些高级攻击费用相对高些，但与收益比起来还是显得微不足道。

“比如，在网络上，买一个‘肉鸡’只需要0.8元人民币，一个1万台‘肉鸡’组成的僵尸网络，只需要8000元钱，形成的DDoS攻击流量可达10Gps，而据此获得的商业收益，却可能达到上亿元。” 姚伟栋介绍说。据了解，现在有些黑客利用漏洞入侵大型知名游戏网络来刷数据库、盗刷账号等级和道具，一次便可获利上百万元。

防御追查困难重重

DDoS攻击发动起来简单，预防起来却是非常困难，这也是DDoS攻击被称为互联网“肿瘤”的一个重要原因。

到目前为止，对DDoS攻击的防御还是非常困难的。“最重要的原因是，这种攻击的特点是利用了TCP/IP协议的漏洞，除非你不用TCP/IP协议，才有可能完全抵御住DDoS攻击。”安徽中新软件有限公司企业发展部总监徐航解释了DDoS攻击的防御难题。

“黑客们很巧妙地利用了TCP协议的三次握手，DDoS攻击让TCP三次握手中的第三步不能完成，也就是说，不发送确认连接信息给服务器。” 姚伟栋说。这样，服务器就无法完成第三次握手，但服务器不会立即放弃，而是会不停地重试并等待一定时间后才放弃这个未完成的连接，这段时间一般会持续大约30秒到两分钟。如果一个用户在连接时出现问题导致服务器的一个线程等待一两分钟并不是什么大不了的问题，但是如果有人用特殊的软件大量模拟这种情况，那后果就可想而知了。如果服务器一直在处理这些大量的半连接信息而消耗了大量的系统资源和网络带宽，其就不可能再有空去处理普通用户的正常请求了，这时服务器也就无法正常工作了。

一般来说，常见的防火墙、入侵检测设备、路由器等网络设备，对于DDoS攻击虽然有一定的防范作用，但一旦遭遇到有组织的大规模攻击，往往都无能为力。而且由于在设计上的缺陷，在面临大量攻击的情况下，这些设备反而很容易最先瘫痪。至于退让策略或是系统优化等方法也只能应付小规模DDoS攻击，对大规模DDoS攻击还是无法提供有效防护。

此外，黑客虽然也知道发动DDoS攻击是犯法行为，但因为追查的困难性，让黑客们来势汹汹。崔云鹏介绍，在网站遭受袭击过后，通过网络溯源查找幕后黑手是一大难题。通常，黑客们会建立很多个僵尸网络，很可能在国内有几个，在国外有几个，这是一种跳跃式的分布，一下子从国内跳到国外，然后又再跳回来。即使一层一层查下去，想要查到最上一层的僵尸主机也很难。此外，黑客还会把一个个庞大的“肉鸡”系统分割成很多部分，就算你查到了一个部分，他们也可以很简单地舍弃掉这部分，其他的部分仍然可以继续工作。如此查找，即使最终能查到幕后黑手，但需要花费巨额的人力和财力成本，只有关系到国家重大声誉或经济损失时才可能彻底追查，一般情况也就不了了之了。

厂商方案各有不同

目前，业界普遍认为，对于DDoS攻击并没有100%有效的防御手段。但是，由于攻击者必须付出比防御者大得多的资源和努力才能拥有这样的“动力”，所以积极部署防御措施，还是能够在很大程度上缓解和抵御这类安全威胁的。那么，到底可以采取哪些技术措施进行防范呢？目前，东软、华为赛门铁克、思科、绿盟、中新软件等公司都推出了不同特色的解决方案。

东软提出了通过流量变化来检测是否受到DDoS攻击的方法。据姚伟栋介绍，东软的反DDoS攻击方法与其他厂商的方案有所不同，一般厂商是通过特征码来判断是否受到DDoS攻击，而东软则是通过流量异常来判断是否受到DDoS攻击。这两者之间最大的差别是: 前者只能判断已知的DDoS攻击，如果攻击库里没有则无法判断; 而后者可以判断并抵御未知的DDoS攻击。

对已经检测到的DDoS攻击，东软采取的处理方法是设定保护线和限制线：当设备判断当前流量异常有DDoS攻击发生时，纳入流量分析，进入保护线; 当流量到达一定程度并触发限制线时，将采取强制措施进行流量限制。“东软的反DDoS攻击方案主要是针对电信运营商级的DDoS攻击，因为电信运营商容易成为黑客攻击的目标，而且遭受了DDoS攻击后影响会非常大。”姚伟栋介绍说，“而中小企业的反DDoS攻击，用防火墙、IPS、UTM就能完成。”

华为赛门铁克安全解决方案部部长武鹏介绍了华赛的反DDoS攻击解决方法，华赛提出了异常流量监管解决方案ATIC，其中心思想是: 检测中心发现流量异常后通告管理中心，管理中心控制清洗中心引流，由清洗中心精确区分异常流量和正常流量，丢弃异常流量并回注正常流量。其中，管理中心用于集中策略管理和报表呈现，并对攻击流量进行动态控制，以消除对网络结构和网络性能的影响。

据了解，华赛的Anti-DDoS设备，是一个分层部署、逐层防护的全网异常流量清洗解决方案，该设备采用“NP＋多核＋分布式”架构，每块单板能清洗10G DDoS攻击流量。部署在骨干网的清洗方案专注于带宽型DDoS攻击流量的清洗; 接入侧清洗方案则专注小流量及应用型攻击，以实现基于业务和带宽资源的纵深防御。“这样一来，不仅可以防御DDoS攻击，非法访问、安全传输和系统安全等问题都能得到解决。”武鹏强调，华赛的解决方案是一个多方案保障网络安全的解决办法。

而绿盟公司则认为，目前该公司已经基本解决了DDoS攻击的问题。崔云鹏介绍，反DDoS攻击的最大难点是对DDoS攻击的识别和流量清洗，因为DDoS攻击的访问很多看起来都是正常的报文。因此，绿盟的产品针对这些难点，自主研发了对拒绝服务攻击进行识别的独特算法，能对SYN Flood、UDP Flood、UDP DNS Query Flood、(M)Stream Flood、ICMP Flood、HTTP Get Flood以及连接耗尽这些常见的攻击行为进行有效识别，并通过集成的机制实时对这些攻击流量进行阻断。“我们的方案就是把DDoS攻击拦截在门外，使其无法攻入服务器内部，并对正常和异常的访问进行筛选，在防范恶意攻击的同时还可以保证用户的正常访问。”崔云鹏总结了绿盟反DDoS攻击解决方案的原理。

中新软件主要是针对小型用户遇到的DDoS攻击推出了解决方案，采取的方法是: 对于TCP协议报文，通过连接跟踪模块来防护攻击; 而对于UDP及ICMP协议报文，主要采用流量控制模块来防护攻击。针对进出的所有连接均进行连接跟踪，并在跟踪的同时进行防护，以化解针对TCP协议的各种攻击。同时，针对不同的端口应用，中新还提供不同的防护手段，这使得运行在同一服务器上的不同服务，都可以获得完善的攻击防护。“这样可以对攻击进行有效的检测，针对不同的流量触发不同的保护机制，这在提高效率的同时还确保了准确度。”徐航介绍说。

部署方式是关键

仅仅有了反DDoS攻击产品，还并不能完全保证网络或应用不受DDoS攻击，这些设备在网络中的部署方法也非常重要，并且将直接决定应用的效果。

姚伟栋认为，设备部署在不同层次对反DDoS攻击的效果是不一样的，他建议，应该将设备部署在越外围越好。“比如，对市级运营商网络，最好在省级出口部署反DDoS攻击设备; 对于跨地区的大型企业网络，最好在每个互联网出口处都部署反DDoS设备，再加上网络管理双管齐下，就可以降低受攻击的可能性。”姚伟栋表示，“而对于中小企业来说，目前它们还没有引起黑客的注意，针对这种情况，用合适的防火墙、IPS、UTM设备就可以了。”

“即使都是运营商网络反DDoS攻击，由于运营商为企业提供的带宽服务类型不同，其对DDoS攻击产品的部署方案和部署模式也不一样。”武鹏认为。比如，针对运营商要保护带宽资源、缓解城域网出口压力、清洗带宽型DDoS攻击的情况，建议部署骨干网方案: netflow检测中心+清洗中心+管理中心的动态引流清洗方案; 而针对运营商为企业提供安全宽带运营增值服务的情况，建议采用DPI检测中心+清洗中心+管理中心的动态引流清洗方案，这时还特别要注意在靠近企业端部署设备，以确保网络流量异常时得到实时清洗。

崔云鹏则指出，针对不同类型的客户，绿盟提供了不同的部署方案。对于大型运营商来说，可以采用系统支持旁路的部署方式对DDoS攻击流量进行牵引，同时通过部署若干台黑洞设备形成集群，这就增强了系统抵御巨大规模DDoS攻击的能力，保证了正常流量的顺畅通过; 而对于小型企业来说，则可以采用嵌入式部署方案，在遇到流量异常的时候直接阻断攻击，并及时保障企业网络的安全。

中新的相关负责人在谈到中小型企业反DDoS攻击时提到，如果是在缺少专用设备的情况下，通过设置并优化操作系统参数，也是能够提高系统本身对DDoS攻击的抵御能力的。如果可以更换IP、更换域名或是通过购买负载均衡设备找到攻击源头，并从源头处解决攻击是最好的办法。但是，当前攻击普遍采用的是伪造源地址，并且有大量的傀儡机存在，使得这种方法变得并不可行。因此，中新认为，对于中小型企业来说，做好自身的网络维护和系统清理是最重要的。

虽然安全厂商们推出了各种各样防范DDoS攻击的设备和解决方案，也提出了部署实施的关键措施，但要100%防范DDoS攻击，似乎有很大的难度，还需要厂商在技术上进一步探索，并需要用户加强对网络的检测和管理，同时更需要政府和公安部门的大力支持，以打击这一“网络黑社会”团体。总的来说，DDoS攻击由于其攻击的突然性以及数据流的无限膨胀，防范的确是一大难题，尽管安全厂商提出了相对完善的解决方案，但实际效果还有待市场考验。