根据“2003年FBI计算机犯罪与安全调查”显示,DDoS攻击是排名第二的网络犯罪,并且数量不断攀升。随着DDoS攻击工具的不断涌现,发动DDoS攻击将变得越来越容易。
分布式拒绝服务攻击(DDoS)能够让结构最好的企业网络瘫痪,是各行各业的用户都会面临的安全问题。DDoS攻击大行其道的原因主要有两点:一是DDoS利用Internet的开放性和从任意源地址向任意目标地址提交数据包的特点;二是人们很难将非法的数据包与合法的数据包区分开。
典型的DDoS攻击包括带宽攻击和应用攻击。在带宽攻击中,网络资源或网络设备被高流量数据包所消耗。在应用攻击时,TCP或HTTP资源无法被用来处理交易或请求。
那么,如何保护服务器免受来自Internet上感染蠕虫病毒的PC发出的数据冲击呢?如何防止DDoS攻击造成企业网络瘫痪呢?以下是几种可以防御DDoS攻击的方法。
丢弃数据包:改变数据流的传送方向,将其丢弃在一个数据“黑洞”中,以阻止所有的数据流。这种方法的缺点是所有的数据流(不管是合法的还是非法的)都被丢弃,业务应用被中止。数据包过滤和速率限制等措施同样能够关闭所有应用,拒绝为合法用户提供接入。
路由器和防火墙:通过配置路由器过滤不必要的协议,既能阻止简单的ping攻击,还能阻止无效的IP地址。不过,路由器通常不能有效阻止更复杂的嗅探攻击和使用有效IP地址发起的应用级攻击。防火墙可以阻挡与攻击相关的特定数据流,不过与路由器一样,防火墙不具备反嗅探功能。
入侵检测系统(IDS):IDS能够进行异常检测,可以发现协议被用作攻击载体的安全事件。IDS与防火墙配合使用,能够自动阻止数据流。不过IDS不能自动配置,需要安全专家进行手工调整,而且常常会生成假报警。
服务器:正确配置服务器应用,对于减少DDoS攻击至关重要。管理人员可以定义应用可以使用哪些资源以及如何响应来自客户机的请求,来防范DDoS。与反DDoS专用设备配合使用,优化设置的服务器能够在发生DDoS攻击时正常运行。
反DDoS专用设备:反DDoS专用设备可以分为两类,一类是专门用于清除有害数据流的设备,另一类是具有反DDoS功能的安全设备 (如负载均衡或防火墙)。这两类设备具有不同的效力,前者会将非法数据流丢弃,后者会将包括非法数据流在内的所有数据流分别传送到不同的冗余服务器上,而不是某一台服务器,这就要求服务器必须足够健壮,能够过滤非法数据流,继续为合法的客户机提供服务。
购买服务:选择外包服务提供商使用户不必投入巨资购买冗余网络设备。在很多时候,用户事先并不知道DDoS攻击正在发生,DDoS攻击的性质常常在中途改变,这就要求用户在几个小时或几天中迅速而持续地做出反应,由于多数攻击的主要影响是消耗Internet带宽,因此选择一家优秀的服务提供商对于化解DDoS攻击具有重要意义。
随着人们对Internet的依赖性不断增加,DDoS攻击的危害性也在不断加剧,对于用户来说,要想正常开展业务,使企业应用不受DDoS攻击的影响,就必须采取有效措施,确保企业网的连续性和可用性。
