DDoS防范和全局网络安全网络的应对

核心提示：作为破坏力较强的黑客攻击手段，DDoS是1种情势比较特殊的拒尽服务攻击。作为1种散布、协作的大范围攻击方式，它常常把受害目标锁定在大型Internet站点，例如贸易公司、搜索引擎或政府部份网站。

作为破坏力较强的黑客攻击手段，DDoS是1种情势比较特殊的拒尽服务攻击。作为1种散布、协作的大范围攻击方式，它常常把受害目标锁定在大型Internet站点，例如贸易公司、搜索引擎或政府部份网站。由于DDoS攻击的卑劣性（常常通过利用1批受控制的网络终端向某1个公共端口发起冲击，来势迅猛又使人难以防御，具有极大破坏力）难以被侦测和控制，因此也广泛遭到网络安全业界的关注。从最初的进侵检测系统（IDS）到目前新兴的全局安全网络体系，在防范DDoS攻击的进程中先进的网络安全措施发挥作用，使对抗黑客攻击的手段日益提升，向着智能化、全局化的方向大步迈进。

知己知彼：全面解剖DDoS攻击

散布式攻击系统和我们平常生活中习以为常的客户机/服务器模式非常相象，但是DDoS系统的日益复杂性和隐蔽性使人难以发现。进侵者控制了1些节点，将它们设计成控制点，这些控制点控制了Internet大量的主机，将它们设计成攻击点，攻击点中装载了攻击程序，正是由这些攻击点计算机对攻击目标发动的攻击。DDoS攻击的前奏是率先攻破1些安全性较差的电脑作为控制点主机。由于这些电脑在标准网络服务程序中存在尽人皆知的缺点，它们还没有来得及打补钉或进行系统升级，还有多是操纵系统本身有Bug，这样的系统使进侵者很轻易闯进。

典型的DDoS攻击包括带宽攻击和利用攻击。在带宽攻击中，网络资源或网络设备被高流量数据包所消耗。在利用攻击时，TCP或HTTP资源没法被用来处理交易或要求。发动攻击时，进侵者只需运行1个简单的命令，1层1层发送命令到所有控制的攻击点上，让这些攻击点1齐“开炮”——向目标传送大量的无用的数据包，就在这样的“炮火”下，攻击目标的网络带宽被占满，路由器处理能力被耗尽。而较之1般的黑客攻击手段来讲，DDoS的可怕的地方有2：1是DDoS利用Internet的开放性和从任意源地址向任意目标地址提交数据包；2是人们很难将非法的数据包与正当的数据包辨别开。

屡战屡败：防范手段失效溯源

既然了解DDoS攻击的起源结果，为甚么还会让它如此肆虐呢？平心而论，以往所采取的几种防御情势的被动和片面，是DDoS攻击难以被抑止的真正缘由。

在遭受DDoS攻击时，1些用户会选择直接抛弃数据包的过滤手段。通过改变数据流的传送方向，将其抛弃在1个数据“黑洞”中，以禁止所有的数据流。这类方法的缺点是所有的数据流（不论是正当的还是非法的）都被抛弃，业务利用被中断。数据包过滤和速率限制等措施一样能够封闭所有益用，拒尽为正当用户提供接进。这样做的结果很明显，就是“因噎废食”，可以说是恰恰满足了黑客的心愿。

既然“因噎废食”不可取，那末路由器、防火墙和进侵检测系统（IDS）的功效又怎样呢？从利用情况来看，通过配置路由器过滤没必要要的协议可以禁止简单的ping攻击和无效的IP地址，但是通常不能有效禁止更复杂的嗅探攻击和使用有效IP地址发起的利用级攻击。而防火墙可以阻挡与攻击相干的特定数据流，不过与路由器1样，防火墙不具有反嗅探功能，所以防范手段依然是被动和不可靠的。目前常见的IDS能够进行异常状态检测，但它不能自动配置，需要技术水平较高的安全专家进行手工调剂，因此对新型攻击的反应速度较慢，终究不是解决之道。

全局安全：充分遏制DDoS魔爪

深究各种防范措施对DDoS攻击束手无策的缘由，变幻莫测的攻击来源和层见叠出的攻击手段是关键所在。为了完全打破这类被动局面，目前业界领先的网络安全技术厂商已然趋于共叫：那就是在网络中配置整体联动的安全部系，通过软件与硬件技术结合、深进网络终真个全局防范措施，以加强实行网络安全治理的能力。

以锐捷网络2004年底推出的GSN？？全局安全网络解决方案为例，它在解决DDoS方面给出了自己独特的见解。首先，GSN？？在网络中针对所有要求进行网络访问的行动进行同1的注册，没有经过注册的网络访问行动将不被答应访问网络。通过GSN？？安全策略平台的帮助，治理员可以有效的了解全部网络的运行情况，进而对网络中存在的危及安全行动进行控制。在具体防范DDoS攻击的进程中，每1个在网络中产生的访问行动都会被系统检测并判定其正当性，1旦发觉这1行动存在安全要挟，系统将自动调用安全策略，采取直接禁止访问、限制该终端访问网络区域（例如避开网络内的核心数据或关键服务区，和限制访问权限等）和限制该终端享用网络带宽速率的方式，将DDoS攻击发作的危害降到最低。

在终端用户的安全控制方面，GSN？？能对所有进进网络的用户系统安全性进行评估，杜尽网络内终端用户成为DDoS攻击来源的要挟。从当用户终端接进网络时，安全客户端会自动检测终端用户的安全状态。1旦检测到用户系统存在安全漏洞（未及时安装补钉等），用户会从网络正常区域中隔离开，并自动置于系统修复区域内加以修复，直到完成系统规定的安全策略，才能进进正常的网络环境中。这样1来，不但可以杜尽网络内部各个终端产生安全隐患的要挟，也使网络内各个终端用户的访问行动得到了有效控制。通过在接进网络时进行自动“健康检查”，DDoS不再能潜躲在网络中，并利用网络内的终端设备发动攻击了。

对用户来讲，正常业务的展开是最根本的利益所在。随着人们对Internet的依托性不断增加，DDoS攻击的危害性也在不断加重。很多安全专家都曾撰文指出：尽早发现系统存在的攻击漏洞、及时安装系统补钉程序，和不断提升网络安全策略，都是防范DDoS攻击的有效办法。而先进的全局安全网络体系的出现，实现了将系统层面和网络层面相结合来有效的进行安全解决方案的自动部署，进1步进步了对DDoS这类“行迹漂渺”的恶性网络攻击的自动防范能力。虽然目前以DDoS为代表的黑客攻击依然气势猖狂，但是在可以预感的将来，广大用户手中握紧的安全利刃1定可以斩断DDoS的魔爪。

评论加载中... 内容： 评论者： 验证码：