关于冰盾 | 使用条款 | 网站地图
 
防御DDoS分布式拒绝服务
防御DDoS分布式拒绝服务
作者:冰盾防火墙 网站:www.bingdun.com 日期:2008-05-27
 

    DDoS分布式停止服务攻击作为黑客、政治黑客行为和国际计算机恐怖分子可选择的一种武器而出现。DDoS攻击目标并不仅仅是个人网站或其他网络边缘的服务器,他们征服的是网络本身。攻击明确地指向网络的基础设施,例如提供商网络中的集中或核心路由器、DNS服务器等。2002年10月,一次拙劣的DDoS攻击影响了13个根DNS(Domain Name Sevice)服务器中的8个,作为整个Internet通信路标的关键系统遭到严重的破坏,无法提供有效服务,业务的永继性无法得到保证。

  服务提供商、企业和政府机关对因特网依赖的加剧,使得成功的DDoS攻击(经济和其它方面)能造成更加严重的破坏。新近以来,出现了更多功能更为强大的DDoS工具,使得将来的攻击破坏性更大。

  由于DDoS攻击往往采取合法的数据请求技术,再加上一些傀儡机器,造成DDoS攻击是目前最难防御的互联网攻击之一,如何用最合适的、有效的方法来响应它们,给依赖于因特网的组织和机构提出了一个巨大的挑战。传统的网络设备和周边安全技术,例如防火墙和IDSs(Intrusion Detection Systems), 速率限制,接入限制等均无法提供非常有效的针对DDoS攻击的保护。面对当前DDoS的冲击,要保护因特网持续有效性,需要一个能检测和阻止日益狡猾、复杂、欺骗性攻击的下一代体系结构和技术。

     DDoS威胁

  DDoS攻击指挥成百上千的傀儡主机攻击某一个目标。这些傀儡主机是从数以百万计未受保护的计算机中被不知情地征用,这些计算机往往是通过高带宽(ADSL, Cable)访问因特网并总是与网络保持连接。通过在这些机器中植入“沉睡”代码,黑客可快速的建立一支傀儡军团,等待适当的时机命令发动DDoS停止服务攻击。如果有足够傀儡主机的加入,攻击的规模令人惊骇。

  DDoS攻击的影响

  成功的DDos攻击影响是很广泛的。网络站点的表现尤其受影响,可以造成客户和其它使用者访问失败,运营商无法实施SLAs(服务水平承诺),服务信用损失惨重,用户投诉增加,公司名誉受损,有时甚至是永久的影响。以及收益下滑、生产率降低、IT开销增加、诉讼花销等等——这些损失在不断的增加。

  损失的数目令人难以置信。来自Forrester、IDC和Yankee Group的评测估计一个象思科公司这样的公司网络中断24小时的损失大约是三千万美元。据Yankee Group估计,2000年2月,DDoS洪流攻击了Amazon、Yahoo、eBay和其它门户网站,造成的损失累计达到12亿美元。2001年1月,对Microsoft网站几天的DDoS攻击,损失大约为五千万。显然,商业公司必须采取措施来保护自己免遭恶意攻击。

  DDoS攻击揭秘

  DDoS攻击是如何进行的?主要是利用了internet协议和internet基本优点——无偏差地从任何的源头传送数据包到任意目的地。

  实质上,以下数据报包行为描述了DDoS攻击:要么大数据,大流量以至压垮网络设备和服务器,要么有意制造大量无法完成的不完全请求来快速消耗服务器资源。防止DDoS攻击的关键困难是无法将攻击包从合法包中区分出来,造成检测困难;IDS进行的典型“签名”模式匹配起不到有效的作用。许多这样的攻击也使用源IP地址欺骗来逃脱源识别,这种识别由基于反常事件的,很难搜寻特定的攻击源头。

  有两类最基本的DDoS攻击:

  ● 带宽攻击:这种攻击消耗网络带宽或使用大量数据包淹没一个或另一个(或两者)。路由器、服务器和防火墙——都只有有限的处理资源——在这种负重下不能处理合法事务并最终导致崩溃。

  带宽攻击的普遍形式是大量数据包攻击,大量表面看合法的TCP、UDP或ICMP数据包被传送到特定目的地。为了使检测更加困难,这种攻击也常常使用源地址欺骗——篡改成产生避免验证请求的IP地址。

  ● 应用攻击:这种DDoS攻击利用TCP和HTTP等协议定义的行为来不断占用计算资源以阻止它们处理正常事务和请求。HTTP半开和HTTP错误就是应用攻击的两个典型例子。

                                   


  图一说明:

  ●Multiple point of vulnerability and failtures:多个易损点和故障点

  ●peering point:对等点

  ●Hackers activate zombies on innocent computers:黑客激活傀儡主机

  ●ISP Backbone:ISP骨干网

  ●Attacked server:被攻击的服务器

  ●Infrastruture-level DDoS attacks,including routers and DNS servers:基础设施的DDoS攻击,包括路由器和DNS服务器

  ●Sever-level DDoS attacks,including HTTP,DNS and other services:服务器水平的DDoS攻击,包括HTTP、DNS和其它服务

  ●Bandwidth-level DDoS attacks,including worm storms: 带宽水平的DDoS攻击,包括蠕虫风暴
 
 
最新内容:
安装和升级冰盾防火墙需要注意的问题[2006-02-08]
购买冰盾抗DDOS防火墙的十大理由[2005-09-09]
拒绝服务DDos攻击方式分析及防御策略的部署[2008-05-23]
修改注册表防范DDOS攻击[2008-05-23]
防火墙防止DDOS的几种方式[2008-05-22]
黑客知识之DoS攻击方法简述[2008-05-20]
相关内容:
购买冰盾抗DDOS防火墙的十大理由[2005-09-09]
拒绝服务DDos攻击方式分析及防御策略的部署[2008-05-23]
修改注册表防范DDOS攻击[2008-05-23]
防火墙防止DDOS的几种方式[2008-05-22]
DoS拒绝服务攻击的防御方法[2008-05-15]
网管秘籍 防御DDoS攻击的实时监测模型[2008-05-13]

合作伙伴: 黑基网 补天科技 威盾科技 站长下载 新飞金信 北京电信 ZOL应用下载
中华人民共和国增值电信业务经营许可证京ICP备14024464 公安备案号 京1081234 
版权所有©2003-2014 冰盾防火墙  www.BingDun.com 法律声明
总机:(010)51661195