分布式拒绝服务(Distributed Denial of service)简称DDoS,很多DOS攻击源一起攻击某台服务器就组成了DDoS攻击,攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在Internet上的许多计算机上,代理程序收到指令时就发动攻击。
DDoS是英文Distributed Denial of Service的缩写,中文意思是“分布式拒绝服务”。 是目前黑客经常采用而难以防范的攻击手段。那什么又是拒绝服务呢?用户可以这样理解,凡是能导致合法用户不能进行正常的网络服务的行为都算是拒绝服务攻击。拒绝服务攻击的目的非常明确,就是要阻止合法用户对正常网络资源的访问。
黑客们通过很多“傀儡主机”向远程计算机发送大量看似合法的数据包,从而造成网络阻塞或服务器资源耗尽而导致拒绝服务。分布式拒绝服务攻击一旦被实施,攻击数据包就会犹如洪水般涌向远程计算机,从而把合法的数据包淹没,导致合法用户无法正常地访问服务器的网络资源,侵害合法用户的的利益。
DDoS的表现形式主要有两种,一种是流量攻击,主要是针对网络带宽的攻击,即大量攻击包导致网络带宽被阻塞,合法的网络数据包被虚假的网络数据包淹没而无法到达主机;另一种为资源耗尽攻击,主要是针对服务器主机进行的攻击,即通过大量的攻击包导致主机的内存被耗尽,或是CPU被内核及应用程序占完而造成无法提供网络服务,这些攻击都会给合法用户带来极大的损失。聪明的黑客还会让这些僵尸计算机伪造发送攻击数据包的IP地址,并且将攻击目标的IP地址插在数据包的原始地址处,这就是所谓的反射攻击。服务器或路由器看到这些资料包后会转发(即反射)给原始IP地址一个接收响应,更加重了目标主机所承受的数据流。
DDoS的攻击类型目前主要包括三种方式,即TCP-SYN Flood攻击、UDP Flood攻击以及提交脚本攻击。
那么面对这些DDoS的攻击我们能做些什么呢,如何降低被攻击的可能行呢?下面的防范方法可以给你答案。
1、确保所有服务器采用最新系统,并打上安全补丁。计算机紧急响应协调中心发现,几乎每个受到DDoS攻击的系统都没有及时打上补丁。对一些重要的信息(例如系统配置信息)建立和完善备份机制。对一些特权账号(例如管理员账号)的密码设置要谨慎。通过这样一系列的举措可以把攻击者的可乘之机降低到最小。
2、删除多余的网络服务,在网络管理方面,要经常检查系统的物理环境,禁止那些不必要的网络服务。建立边界安全界限,确保输出的包受到正确限制。经常检测系统配置信息,并注意查看每天的安全日志。如果你是一个单机用户,可去掉多余不用的网络协议,完全禁止NetBIOS服务,从而堵上这个危险的“漏洞”。
3、自己定制防火墙规则,利用网络安全设备(例如:硬件防火墙)来加固网络的安全性,配置好这些设备的安全规则,过滤掉所有可能的伪造数据包。
4、确保从服务器相应的目录或文件数据库中删除未使用的服务如FTP或NFS。Wu-Ftpd等守护程序存在一些已知的漏洞,黑客通过根攻击就能获得访问特权系统的权限,并能访问其他系统――甚至是受防火墙保护的系统。
5、禁止内部网通过Modem连接至PSTN系统。否则,黑客能通过电话线发现未受保护的主机,即刻就能访问极为机密的数据。
6、禁止使用网络访问程序如Telnet、Ftp、Rsh、Rlogin和Rcp,以基于PKI的访问程序如SSH取代。SSH不会在网上以明文格式传送口令,而Telnet和Rlogin则正好相反,黑客能搜寻到这些口令,从而立即访问网络上的重要服务器。
7、限制在防火墙外与网络文件共享。这会使黑客有机会截获系统文件,并以特洛伊木马替换它,文件传输功能无异将陷入瘫痪。
8、在防火墙上运行端口映射程序或端口扫描程序。大多数事件是由于防火墙配置不当造成的,使DoS/DDoS攻击成功率很高,所以定要认真检查特权端口和非特权端口。
9、检查所有网络设备和主机/服务器系统的日志。只要日志出现漏洞或时间出现变更,几乎可以肯定:相关的主机安全受到了危胁。
10、确保管理员对所有主机进行检查,而不仅针对关键主机。这是为了确保管理员知道每个主机系统在运行什么?谁在使用主机?哪些人可以访问主机?不然,即使黑客侵犯了系统,也很难查明。
虽然DDoS攻击不可避免,但相信做到以上十条,你就可以比别人更加远离DDos的攻击,保证合法用户的网络畅通。