扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
公安机关,运营商和网络安全厂商已经意识到网络攻击问题的严重性,今年1月由三方参加的在北京举办的防护网络黑客 DDOS 的高层研讨会上,就提出许多有建设性的意见。
目前,黑客进行网络破坏活动主要是两类途径:
DoS 攻击
通常而言, DoS 的网络数据包同样是利用 TCP/IP 协议在 Internet 传输。这些数据包本身一般是无害的,但是如果数据包异常过多,就会造成网络设备或者服务器过载,迅速消耗了系统资源,造成服务拒绝,这就是 DoS 攻击的基本工作原理。
DoS 攻击之所以难于防护,其关键之处就在于非法流量和合法流量相互混杂,防护过程中无法有效的检测到 DoS 攻击。加之许多 DoS 攻击都采用了伪造源地址 IP 的技术,从而成功的躲避了基于统计模式工具的识别。
具体 DOS 攻击实现有如下几种方法:
1 、 SYN FLOOD
利用服务器的连接缓冲区,设置特殊的 TCP 包头,向服务器端不断地发送大量只有 SYN 标志的 TCP 连接请求。当服务器接收的时候,认为是没有建立起来的连接请求,于是这些请求建立会话,排到缓冲区队列中。如果发送的 SYN 请求超过了服务器能容纳的限度,缓冲区队列占满,那么服务器就不再接收新的请求了,因此其他合法用户的连接都会被拒绝掉。
2 、 IP 欺骗 DOS 攻击
这种攻击利用 RST 位来实现。假设现在有一个合法用户 (1.1.1.1) 已经同服务器建立了正常的连接,攻击者构造攻击的 TCP 数据,伪装自己的 IP 为 1.1.1.1 ,并向服务器发送一个带有 RST 位的 TCP 数据段。服务器接收到这样的数据后,会认为从 1.1.1.1 发送的连接有错误,从而清空缓冲区中建立好的连接。这时,如果合法用户 1.1.1.1 再发送合法数据,服务器就已经没有这样的连接了,该用户就必须从新开始建立连接。攻击者伪造大量的 IP 地址,向目标主机发送 RST 数据,从而使服务器不对合法用户服务。
3 、 带宽 DOS 攻击( UDP Flood , ICMP Flood )
这类攻击完全利用连接带宽足够大,持续向目标服务器发送大量请求,如 UDP 的包, ICMP 的 ping 包,来消耗服务器的缓冲区,或者仅消耗服务器的连接带宽,从而达到网络拥塞,使服务器不能正常提供服务。
DDOS 攻击
单一的 DoS 攻击一般是采用一对一方式的,“分布式拒绝服务攻击”( Distributed Denial of Service ,简称 DDoS )是建立在传统的 DoS 攻击基础之上一类攻击方式。当计算机与网络的处理能力加大了,用一台攻击机来攻击不再能起作用的话,攻击者就使用 10 台甚至 100 台攻击机同时攻击。这就是 DDos 。 DDoS 就是利用更多的傀儡机“肉鸡”来同时发起进攻,更大规模的来进攻受害者,破坏力更强。
现在,高速广泛连接的网络给大家带来了方便,但同时也为 DDoS 攻击创造了极为有利的条件。在低速网络时代时,黑客占领攻击用的傀儡机时,总是会优先考虑离目标网络距离近的机器,因为经过路由器的跳数少,效果好。而现在电信骨干节点之间的连接都是以 G 为级别的,大城市之间更可以达到 2.5G 的连接,这使得攻击可以从更远的地方或者其他城市发起,攻击者的傀儡机位置可以在分布在更大的范围,选择起来更灵活了,攻击也更加隐蔽。 当主机服务器被 DDoS 攻击时,通常会有如下现象 :
•被攻击主机上有大量等待的 TCP 连接
•网络中充斥着大量的无用的数据包,源地址一般为伪造的
•高流量无用数据造成网络拥塞,使受害主机无法正常和外界通讯
•反复高速的发出特定的服务请求,使受害主机无法及时处理所有正常请求
•系统服务器 CPU 利用率极高,处理速度缓慢,甚至宕机
如何应对 DDOS 攻击
从以上的分析可以看出,黑客的攻击方式已经越来越简单,门槛越来越低,因此,这次攻击事件越来越频繁,造成的破坏力也越来越严重。
首先,要加强每个网络用户的安全意识,安装杀毒软件,安装软件或者硬件防火墙,不从不名网站下载软件,不访问一些不名网站,不打开不名邮件,尽量避免木马的种植。
其次,要求国家立法单位,对网络犯罪进行立法,对传播病毒,木马,和进行黑客攻击的行为进行定性,并有法可依,保障国家信息高速网络平台的安全,为国内信息化建设保驾护航。
再次,我们的运营商有义务在网络平台升级和建设的过程中,有效在各个节点抵御黑客恶意攻击的行为,以净化我们的网络。不光仅仅是只加强可以看到效益的终端平台,如 IDC 机房的抗 DDOS 防护,而是应该在网络的各个节点都加强防护,特别是在接入端进行 DDOS 防护和源地址检测,使得黑客的主机或者占领的“肉鸡”,无法拉起大量带宽,有效记录各种用户(特别是网吧用户)的网络行为,建立电子档案,以协助公安部门对网络犯罪进行调查,为指证犯罪提供证据。
对我们的一些网络运营平台用户,如经营性网站,门户网站,网上交易平台,网络游戏提供商,网吧, VOIP 提供商等,也要加强网络出口的防护,发现和举证攻击行为,做好日志记录,并利用硬件防护设备,最大程度的减少黑客攻击的危害,保障经营性平台的正常运行。
对我们企事业单位的网络,虽不象经营性的网络,成为黑客攻击的重点目标,但也可能存在“误伤”的现象,如与某个网吧共在一个运营商的路由器下,或者黑客得到的 IP 地址不准确,目前这类网络事件也不少。因此,在新的网络的设计中,防护 DDOS ,也应该成为企业网络安全防护的重点,同时,在企业网络的规划中,如何防止自己内部的主机和服务器避免成为黑客的“肉鸡”,也是企业在新形势下防护的一个重点课题,要求我们的企业网络要真正做到 1 )对内部主机的有效防护,避免成为黑客的“肉鸡” 2 )当内部主机成为“肉鸡”后能很快发现,并在很快的时间内杀掉控制程序 3 )“肉鸡”攻击和传播时迅速报警,切断其攻击和传播途径,同时,不影响出口带宽和内部其他主机网络的正常使用。
因此,在防护 DDOS 和黑客攻击的问题上,要求我们的公安机关,运营商和网络安全厂商,和网络的用户,在意识到网络攻击问题的严重性前提下,多方配合,共同加强我们的网络平台安全性的建设性,净化我们的网络,不给黑客以生存的攻击,保障我们十几年来信息网络平台建设的成果,为我国的经济建设提供坚固安全的网络信息化平台。
在网络安全厂商方面,对于专用的抗 DDOS 设备,许多厂商也参与进来,研制了许多新型设备,目前大多数还是集中在解决IDC机房的主机防护上。
其实,通过上述的研究,我们知道,要彻底根除 DDOS 和黑客攻击,攻击源头,接入节点和一些骨干节点才是防护的重点,在这个层次上做的比较好的厂商不是很多,举个例子,大唐龙创公司,大唐龙创公司在接入节点DDOS 防护上有很好的解决方案。扩充了其 DDOS 防护的产品线,为运营商提供“接入节点”的黑客攻击防护,在防护接入带宽的同时,使得黑客和黑客的占领的“肉鸡”无法施展效力,无处藏身,从源头上解决目前黑客 DDOS 攻击猖獗的问题。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者