DDOS攻击: 互联网安全的主要威胁

DDoS即是分布式拒绝服务攻击。这是一种以使被攻击的服务器或者网络不能提供服务、以分布式攻击为手段的网络攻击方式。DDoS以大量的非法数据耗尽网络带宽和服务器资源，由于分布式攻击的源头分布广泛，且攻击时使用伪造的虚假源IP地址，使这种攻击具有危害大、难以追查、难以抵挡的特点。
    DDoS攻击是互联网面临的主要威胁
    拒绝服务攻击的英文意思是Denial of Service，简称DoS。从网络攻击的各种方法和所产生的破坏情况来看，拒绝服务攻击是一种很简单但又很有效的进攻方式。它可以使服务器或者网络充斥大量信息，消耗网络带宽或系统资源，导致网络或系统趋于瘫痪而无法提供正常的网络服务。

    分布式拒绝服务DDoS(Distributed Denial of Service)是一种基于DoS的特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式，主要瞄准比较大的站点，如商业公司，搜索引擎和政府部门的站点。分布式拒绝服务攻击是危害最大、最易于达到攻击效果、最难以抵御和追踪的一种拒绝服务攻击。

    至今为止没有一家防火墙产品能非常好的抵抗这类简单攻击。虽然各种攻击手法层出不穷，但DoS攻击依然是互联网面临的主要威胁。

    DDOS的主要攻击手段有：
    SYN/ACK Flood攻击：表现为系统存在大量未建立连接 、系统资源占用大，特点是容易发起攻击、伪装原地址。他是通过Netstat –an 命令可以看到大量的SYN_RECEIVED 、TIME_WAIT、FIN_WAIT_1 等。

    UDP、ICMP攻击：表现为系统资源占用非常大，网络资源相应占用大，特点是利用协议漏洞、资源占用、伪装原地址、不易发现, 不易防范， 同时连接数量巨大、可以显示攻击机器的真实IP地址，或者代理攻击的IP地址。

    应用层脚本攻击: 表现为CPU 占用非常大，相同的URL频繁被访问、网络流量较小。特点是大量访问网页中资源占用大的脚本，造成服务器过载、可以显示出攻击的机器IP或者代理的IP、可能可以显示出攻击者的实际控制IP。

    来自DDOS攻击的统计数据：
    网络攻击给现在企业带来巨大的损失，自2002年开始，拒绝服务攻击造成的损失最为巨大，2003年拒绝服务攻击造成的损失占总损失的1/3，2004年占到总损失超过半数以上。
以下是一组来自美国FBI的资料：




    从数据中可以看出拒绝服务攻击越来越成为非常重要的攻击手段。然而现有的抵御方法是非常落后和无用的，经验告诉我们：防火墙和路由器无法有效对付拒绝服务攻击！现在的拒绝服务已经不仅仅是一台或几台机器发起的了，攻击者们控制成百上千的僵尸计算机(Zombie)，甚至由蠕虫来进行传播和攻击。DOS凭借它的便捷有效，吸引了大量热衷者，互联网上因此充斥这类垃圾流量。

    何种情况容易导致拒绝服务攻击
    由于程序员对程序错误的编制，导致系统不停的建立进程，最终耗尽资源，只能重新启动机器。不同的系统平台都会采取某些方法可以防止一些特殊的用户来占用过多的系统资源，我们也建议尽量采用资源管理的方式来减轻这种安全威胁。

    还有一种情况是由磁盘存储空间引起的。假如一个用户有权利存储大量的文件的话，他就有可能只为系统留下很小的空间用来存储日志文件等系统信息。这是一种不良的操作习惯，会给系统带来隐患。这种情况下应该对系统配额作出考虑。

    网络环境下的DDOS攻击:
   从安全的角度来看，本地的拒绝服务攻击可以比较容易的追踪并消除。而下面要讨论的是主要是针对于网络环境下的DoS攻击。

    Smurf攻击:
    广播信息可以通过一定的手段（通过广播地址或其他机制）发送到整个网络中的机器。当某台机器使用广播地址发送一个ICMP echo请求包时（例如PING），一些系统会回应一个ICMP echo回应包，也就是说，发送一个包会收到许多的响应包。Smurf攻击就是使用这个原理来进行的，当然，它还需要一个假冒的源地址。也就是说在网络中发送源地址为要攻击主机的地址，目的地址为广播地址的包，会使许多的系统响应发送大量的信息给被攻击主机（因为他的地址被攻击者假冒了）。使用网络发送一个包而引出大量回应的方式也被叫做"放大器"，这些smurf放大器可以在www.netscan.org网站上获得，一些无能的且不负责任的网站仍有很多的这种漏洞。

    SYN flooding:
    一台机器在网络中通讯时首先需要建立TCP握手，标准的TCP握手需要三次包交换来建立。一台服务器一旦接收到客户机的SYN包后必须回应一个SYN/ACK包，然后等待该客户机回应给它一个ACK包来确认，才真正建立连接。然而，如果只发送初始化的SYN包，而不发送确认服务器的ACK包会导致服务器一直等待ACK包。由于服务器在有限的时间内只能响应有限数量的连接，这就会导致服务器一直等待回应而无法响应其他机器进行的连接请求。

    Slashdot effect:
    这种攻击手法使web服务器或其他类型的服务器由于大量的网络传输而过载，一般这些网络流量是针对某一个页面或一个链接而产生的。当然这种现象也会在访问量较大的网站上正常发生，但我们一定要把这些正常现象和拒绝服务攻击区分开来。如果您的服务器突然变得拥挤不堪，甚至无法响应再多的请求时，您应当仔细检查一下这个资源匮乏的现象，确认在10000次点击里全都是合法用户进行的，还是由5000个合法用户和一个点击了5000次的攻击者进行的。
拒绝服务一般都是由过载导致的，而过载一般是因为请求到达了极限。