--淺談防范DDoS攻擊和全局安全網絡的應對能力

　　根據"2003年FBI計算機犯罪與安全調查"顯示，DDoS(分布式拒絕服務)攻擊是排名第二的網絡犯罪，并且數量不斷攀升。此前曾一度沸沸揚揚的Yahoo、CNN等著名網站被黑客攻擊事件，參與攻擊的"主力部隊"就是DDoS。而隨著DDoS攻擊工具的不斷涌現，發動DDoS攻擊將變得越來越容易。如何防范DDoS攻擊，確保網絡運行的順暢，是近年來網絡安全領域研究的重點。

　　作為破壞力較強的黑客攻擊手段，DDoS是一種形式比較特殊的拒絕服務攻擊。作為一種分布、協作的大規模攻擊方式，它往往把受害目標鎖定在大型Internet站點，例如商業公司、搜索引擎或政府部門網站。由于DDoS攻擊的惡劣性（往往通過利用一批受控制的網絡終端向某一個公共端口發起沖擊，來勢迅猛又令人難以防備，具有極大破壞力）難以被偵測和控制，因此也廣泛受到網絡安全業界的關注。從最初的入侵檢測系統(IDS)到目前新興的全局安全網絡體系，在防范DDoS攻擊的過程中先進的網絡安全措施發揮作用，使對抗黑客攻擊的手段日益提升，向著智能化、全局化的方向大步邁進。

　　* 知己知彼：全面解剖DDoS攻擊

　　分布式攻擊系統和我們日常生活中司空見慣的客戶機/服務器模式非常相象，但是DDoS系統的日趨復雜性和隱蔽性使人難以發現。入侵者控制了一些節點，將它們設計成控制點，這些控制點控制了Internet大量的主機，將它們設計成攻擊點，攻擊點中裝載了攻擊程序，正是由這些攻擊點計算機對攻擊目標發動的攻擊。DDoS攻擊的前奏是率先攻破一些安全性較差的電腦作為控制點主機。因為這些電腦在標準網絡服務程序中存在眾所周知的缺陷，它們還沒有來得及打補丁或進行系統升級，還有可能是操作系統本身有Bug，這樣的系統使入侵者很容易闖入。

　　典型的DDoS攻擊包括帶寬攻擊和應用攻擊。在帶寬攻擊中，網絡資源或網絡設備被高流量數據包所消耗。在應用攻擊時，TCP或HTTP資源無法被用來處理交易或請求。發動攻擊時，入侵者只需運行一個簡單的命令，一層一層發送命令到所有控制的攻擊點上，讓這些攻擊點一齊"開炮"--向目標傳送大量的無用的數據包，就在這樣的"炮火"下，攻擊目標的網絡帶寬被占滿，路由器處理能力被耗盡。而較之一般的黑客攻擊手段來說，DDoS的可怕之處有二：一是DDoS利用Internet的開放性和從任意源地址向任意目標地址提交數據包；二是人們很難將非法的數據包與合法的數據包區分開。

　　* 屢戰屢敗：防范手段失效溯源

　　既然了解DDoS攻擊的起源結果，為什么還會讓它如此肆虐呢？平心而論，以往所采用的幾種防御形式的被動和片面，是DDoS攻擊難以被遏止的真正原因。

　　在遭遇DDoS攻擊時，一些用戶會選擇直接丟棄數據包的過濾手段。通過改變數據流的傳送方向，將其丟棄在一個數據"黑洞"中，以阻止所有的數據流。這種方法的缺點是所有的數據流（不管是合法的還是非法的）都被丟棄，業務應用被中止。數據包過濾和速率限制等措施同樣能夠關閉所有應用，拒絕為合法用戶提供接入。這樣做的結果很明顯，就是"因噎廢食"，可以說是恰恰滿足了黑客的心愿。

　　既然"因噎廢食"不可取，那么路由器、防火墻和入侵檢測系統(IDS)的功效又怎樣呢？從應用情況來看，通過配置路由器過濾不必要的協議可以阻止簡單的ping攻擊以及無效的IP地址，但是通常不能有效阻止更復雜的嗅探攻擊和使用有效IP地址發起的應用級攻擊。而防火墻可以阻擋與攻擊相關的特定數據流，不過與路由器一樣，防火墻不具備反嗅探功能，所以防范手段仍舊是被動和不可靠的。目前常見的IDS能夠進行異常狀況檢測，但它不能自動配置，需要技術水平較高的安全專家進行手工調整，因此對新型攻擊的反應速度較慢，終究不是解決之道。

　　* 全局安全：充分遏制DDoS魔爪

　　深究各種防范措施對DDoS攻擊束手無策的原因，變幻莫測的攻擊來源和層出不窮的攻擊手段是癥結所在。為了徹底打破這種被動局面，目前業界領先的網絡安全技術廠商已然趨于共識：那就是在網絡中配置整體聯動的安全體系，通過軟件與硬件技術結合、深入網絡終端的全局防范措施，以加強實施網絡安全管理的能力。

　　以銳捷網絡2004年底推出的GSN(r)全局安全網絡解決方案為例，它在解決DDoS方面給出了自己獨特的見解。首先，GSN(r)在網絡中針對所有要求進行網絡訪問的行為進行統一的注冊，沒有經過注冊的網絡訪問行為將不被允許訪問網絡。通過GSN(r)安全策略平臺的幫助，管理員可以有效的了解整個網絡的運行情況，進而對網絡中存在的危及安全行為進行控制。在具體防范DDoS攻擊的過程中，每一個在網絡中發生的訪問行為都會被系統檢測并判斷其合法性，一旦發覺這一行為存在安全威脅，系統將自動調用安全策略，采取直接阻止訪問、限制該終端訪問網絡區域（例如避開網絡內的核心數據或關鍵服務區，以及限制訪問權限等）和限制該終端享用網絡帶寬速率的方式，將DDoS攻擊發作的危害降到最低。

　　在終端用戶的安全控制方面，GSN (r)能對所有進入網絡的用戶系統安全性進行評估，杜絕網絡內終端用戶成為DDoS攻擊來源的威脅。從當用戶終端接入網絡時，安全客戶端會自動檢測終端用戶的安全狀態。一旦檢測到用戶系統存在安全漏洞（未及時安裝補丁等），用戶會從網絡正常區域中隔離開，并自動置于系統修復區域內加以修復，直到完成系統規定的安全策略，才能進入正常的網絡環境中。這樣一來，不僅可以杜絕網絡內部各個終端產生安全隱患的威脅，也使網絡內各個終端用戶的訪問行為得到了有效控制。通過在接入網絡時進行自動“健康檢查”，DDoS再也不能潛藏在網絡中，并利用網絡內的終端設備發動攻擊了。

　　對于用戶來說，正常業務的開展是最根本的利益所在。隨著人們對Internet的依賴性不斷增加，DDoS攻擊的危害性也在不斷加劇。不少安全專家都曾撰文指出：及早發現系統存在的攻擊漏洞、及時安裝系統補丁程序，以及不斷提升網絡安全策略，都是防范DDoS攻擊的有效辦法。而先進的全局安全網絡體系的出現，實現了將系統層面和網絡層面相結合來有效的進行安全解決方案的自動部署，進一步提高了對于DDoS這類“行蹤飄渺”的惡性網絡攻擊的自動防范能力。盡管目前以DDoS為代表的黑客攻擊仍舊氣焰囂張，但是在可以預見的將來，廣大用戶手中握緊的安全利刃必定可以斬斷DDoS的魔爪。