分布式拒绝服务(DDoS)攻击的规模越来越大,如果一个组织完全没有准备,那么在遇到攻击时,应急人员甚至完全无法使用互联网连接。 DDoS攻击的机制 传统的拒绝服务攻击通常是指让信息系统变成无法提供正常服务。这可能包括从断电到数据包淹没等各种手段。DDoS之所以越来越难防御,主要是源于它名称包含的一个内在特性:分布式。DDoS攻击可以针对一个目标在多个位置的多个系统资源,让这些目标系统完全被击垮。 发起DDoS的方法有很多,但是最基本的方法是(也是Spamhaus遇到的那种),攻击者伪装出一个与攻击目标相同的IP地址。然后,攻击者向一些预先选定的DNS服务器发送一个伪装的DNS请求。当DNS服务器接收到DNS请求时,服务器会检查其数据库,然后回复一个表示没有包含欺骗性IP地址的DNS记录的响应消息。因为DNS响应被发送到欺骗IP地址,也就是说攻击者设定的攻击目标会接收到这个DNS响应,因此无法追踪到攻击者来源。专业级DDoS会同时向大量不同位置的NDS服务器发送这样的请求,从而对攻击目标网络造成严重的影响——大部分网络的到达流量处理容量都有一定的上限。 防御百万级DDoS攻击 一旦企业理解了DDoS的攻击方式,他们就必须决定如何应付这种攻击,这是现在几乎不可避免的状况。第一个方法是与一些DDoS防御供应商合作,如Arbor、CloudFlare、Akamai、Prolexic等,这是应对最严重攻击的一个可行方法。这些公司专门研究如何防御和应付可能的恶意流量。然而,如果一个组织没有足够资源购买第三方产品和服务,那么聪明的安全管理员也会采取下面这些步骤,尽量减小DDoS攻击的危害。 首先,安全管理员应该先了解他们组织的互联网连接。一般组织的平均连接带宽为10Gbps,所以管理员一定要谨慎处理,保证他们至少要让自己的产品服务使用其中大部分的可用吞吐量。此外,安全人员还一定将安全需求报告给更高一级的管理人员。即使资源很紧张,也要定期向他们报告前面提到的统计信息,让他们知道现DDoS攻击的普遍性和潜在危害,这是百利而无一害的做法。 此外,无论网络管理员是否遇到过攻击,他们都应该部署一些防御机制,检查所有到达的DNS响应。如果到达的一系列请求以前在本地服务器上从未记录过,那么要丢弃这些数据包,而不要向外部DNS服务器发送不必要的响应,从而避免加重问题。 还有一个方法,它有时候可以直接用于解决前面提到的资源缺乏问题。管理员应该考虑更多地将他们的基础架构部署到云上。最初,许多企业是出于节约空间的考虑而不想运营自己的独立数据中心,但是云解决方案现在更多是因为安全考虑而受到关注。 最后还有一个解决方法,那就是租用由高防机房提供的高防服务器。高防机房一般都会和全球防御高防线路公司有着深入的合作关系,其通过接人高防线路进行流量清洗。在服务器受到攻击的时候能把攻击流量进行清洗而留下正常的流量。目前,比较出名的高防IDC供应商有:美国洛杉矶高防机房,芝加哥SK高防机房,美国KT机房等都能提供比较优质的高防服务器租用。 结论: 在防御和应对DDoS攻击时,保持警惕是至关重要的。安全管理员必须了解针对互联网系统的最新攻击趋势、策略和流程。各种统计信息表明,百万级DDoS攻击的规模和频率将继续增长,所以要做好防御措施应对最坏的情况。 本文由专业提供香港高防服务器的九河互联编辑整理,欢迎转载!