會
游戲《侏羅紀世界》不用facebook登錄相當于是游客登錄,不會記錄游戲數據,會丟失存檔
2007年,國內著名游戲廠商聯眾世界遭受了一次有組織的大型分布式拒絕服務(DDoS)攻擊,經濟損失慘重;2009年5月19日,“暴風影音”服務器遭受DDoS攻擊引發了多省大規模網絡故障事件;7月,美、韓兩國政府諸多商務網站和軍事網站頻頻遭受DDoS攻擊,造成近30個網站訪問延遲甚至崩潰……
這些案例表明,近年來,大規模的DDoS攻擊呈上升趨勢,其影響也越來越惡劣。有數據表明,2008年,中國DDoS攻擊的峰值流量甚至達到了40Gps,這是一個省級運營商40%的帶寬,客戶訪問失敗、服務質量受損,網絡服務商從信譽到金錢都遭受到了巨大損失。那么,有沒有技術方案可以徹底解決這一難題呢?
2009年7月的一個下午,在“綠色網吧”門口,有大批的游戲玩家罵罵咧咧地從網吧走出來,網管隨即在門口掛出了“停止營業”的牌子。“又是這樣,玩著玩著突然掉線,重新登錄服務器完全沒反應。一個月內這樣的情況已經發生第三次了,解決不了就別做了,關門得了。”一個剛從網吧走出來的男生嘴里絮叨著,他把手里的煙順手丟在了地上,狠狠地踩了兩腳。
“沒辦法啊,我們已經裝了防火墻,也做了專門的網絡維護,該做的我們都盡可能做了,黑客的攻擊防不勝防,我們對這些攻擊真是束手無策了。”網吧老板顯得很無奈。
其實,“綠色網吧”是遭受到了一輪DDoS攻擊,網速變得極慢,玩家根本無法正常上網。雖然最后并沒能查到究竟是誰組織的這次攻擊,但網吧老板懷疑是相距不遠的另一家網吧采取的一種惡性競爭手段。
“低投高收” 的“洪水式攻擊”
最近幾年,隨著互聯網的快速發展,上網人群日益增多,DDoS攻擊似乎又開始呈現出大規模爆發的趨勢。東軟網絡安全產品營銷中心產品經理姚偉棟給出了這樣一組數據:在2006年,國內DDoS攻擊峰值流量只有2.5Gps,2007年達到了24Gps,2008年則達到了40Gps,每年在以兩倍以上的速度增長。“國內一個省級電信運營商的出口帶寬是100Gps,DDoS攻擊流量占據了整體流量的40%,這相當驚人。”他說。2009年8月,Twitter、Facebook和YouTube賬戶也遭到阻斷服務攻擊。有報告指出,目前數百萬企業應用正面臨DDoS攻擊的威脅。
那么,發動DDoS攻擊的人究竟是什么目的?他們是如何發動的?真的如某些人所說,DDoS攻擊是互聯網上的頑疾,很難防御嗎?為了弄清楚這些問題,記者走訪了幾家業內知名的信息安全廠商。
“發起DDoS攻擊,大多數是為了惡性競爭。比如,網吧為了爭奪顧客資源,有時會采取一些惡意攻擊方法,造成被攻擊網吧網絡癱瘓而無法正常運營,并對網吧經營主造成直接經濟損失。” 北京神州綠盟科技有限公司產品市場經理崔云鵬告訴記者。“最開始是黑客對某個企業發動攻擊,然后進行敲詐勒索; 后來演變成了某些企業花錢聘用這些黑客向另一個競爭對手發起攻擊,竊取商業機密或是使得對方網絡癱瘓無法正常工作。”
記者了解到,黑客們發動DDoS攻擊時需要找很多的“肉雞”組成一個僵尸網絡,通過操縱僵尸網絡,讓所有的“肉雞”一起向目標發起攻擊,并向受害主機發送大量看似合法的網絡包,從而造成網絡阻塞或服務器資源耗盡而導致拒絕服務,分布式拒絕服務攻擊一旦被實施,攻擊網絡包就會猶如洪水般涌向受害主機,從而把合法用戶的網絡包淹沒,導致合法用戶無法正常訪問服務器的網絡資源。因此,拒絕服務攻擊又被稱之為“洪水式攻擊”。
姚偉棟認為,除了商業惡意競爭催生DDoS攻擊的快速發展外,另一個刺激因素是攻擊的成本越來越低,而收益卻越來越高。以每臺“肉雞”貢獻1Mps流量計算,1000臺“肉雞”就可以達到1Gps,一次流量1Gps、時間一小時的攻擊目前圈內可以接受的最低行內價只需要2000元到3000元,實際攻擊成本比這個市價要低得多,只有一些高級攻擊費用相對高些,但與收益比起來還是顯得微不足道。
“比如,在網絡上,買一個‘肉雞’只需要0.8元人民幣,一個1萬臺‘肉雞’組成的僵尸網絡,只需要8000元錢,形成的DDoS攻擊流量可達10Gps,而據此獲得的商業收益,卻可能達到上億元。” 姚偉棟介紹說。據了解,現在有些黑客利用漏洞入侵大型知名游戲網絡來刷數據庫、盜刷賬號等級和道具,一次便可獲利上百萬元。
防御追查困難重重
DDoS攻擊發動起來簡單,預防起來卻是非常困難,這也是DDoS攻擊被稱為互聯網“腫瘤”的一個重要原因。
到目前為止,對DDoS攻擊的防御還是非常困難的。“最重要的原因是,這種攻擊的特點是利用了TCP/IP協議的漏洞,除非你不用TCP/IP協議,才有可能完全抵御住DDoS攻擊。”安徽中新軟件有限公司企業發展部總監徐航解釋了DDoS攻擊的防御難題。
“黑客們很巧妙地利用了TCP協議的三次握手,DDoS攻擊讓TCP三次握手中的第三步不能完成,也就是說,不發送確認連接信息給服務器。” 姚偉棟說。這樣,服務器就無法完成第三次握手,但服務器不會立即放棄,而是會不停地重試并等待一定時間后才放棄這個未完成的連接,這段時間一般會持續大約30秒到兩分鐘。如果一個用戶在連接時出現問題導致服務器的一個線程等待一兩分鐘并不是什么大不了的問題,但是如果有人用特殊的軟件大量模擬這種情況,那后果就可想而知了。如果服務器一直在處理這些大量的半連接信息而消耗了大量的系統資源和網絡帶寬,其就不可能再有空去處理普通用戶的正常請求了,這時服務器也就無法正常工作了。
一般來說,常見的防火墻、入侵檢測設備、路由器等網絡設備,對于DDoS攻擊雖然有一定的防范作用,但一旦遭遇到有組織的大規模攻擊,往往都無能為力。而且由于在設計上的缺陷,在面臨大量攻擊的情況下,這些設備反而很容易最先癱瘓。至于退讓策略或是系統優化等方法也只能應付小規模DDoS攻擊,對大規模DDoS攻擊還是無法提供有效防護。
此外,黑客雖然也知道發動DDoS攻擊是犯法行為,但因為追查的困難性,讓黑客們來勢洶洶。崔云鵬介紹,在網站遭受襲擊過后,通過網絡溯源查找幕后黑手是一大難題。通常,黑客們會建立很多個僵尸網絡,很可能在國內有幾個,在國外有幾個,這是一種跳躍式的分布,一下子從國內跳到國外,然后又再跳回來。即使一層一層查下去,想要查到最上一層的僵尸主機也很難。此外,黑客還會把一個個龐大的“肉雞”系統分割成很多部分,就算你查到了一個部分,他們也可以很簡單地舍棄掉這部分,其他的部分仍然可以繼續工作。如此查找,即使最終能查到幕后黑手,但需要花費巨額的人力和財力成本,只有關系到國家重大聲譽或經濟損失時才可能徹底追查,一般情況也就不了了之了。
廠商方案各有不同
目前,業界普遍認為,對于DDoS攻擊并沒有100%有效的防御手段。但是,由于攻擊者必須付出比防御者大得多的資源和努力才能擁有這樣的“動力”,所以積極部署防御措施,還是能夠在很大程度上緩解和抵御這類安全威脅的。那么,到底可以采取哪些技術措施進行防范呢?目前,東軟、華為賽門鐵克、思科、綠盟、中新軟件等公司都推出了不同特色的解決方案。
東軟提出了通過流量變化來檢測是否受到DDoS攻擊的方法。據姚偉棟介紹,東軟的反DDoS攻擊方法與其他廠商的方案有所不同,一般廠商是通過特征碼來判斷是否受到DDoS攻擊,而東軟則是通過流量異常來判斷是否受到DDoS攻擊。這兩者之間最大的差別是: 前者只能判斷已知的DDoS攻擊,如果攻擊庫里沒有則無法判斷; 而后者可以判斷并抵御未知的DDoS攻擊。
對已經檢測到的DDoS攻擊,東軟采取的處理方法是設定保護線和限制線:當設備判斷當前流量異常有DDoS攻擊發生時,納入流量分析,進入保護線; 當流量到達一定程度并觸發限制線時,將采取強制措施進行流量限制。“東軟的反DDoS攻擊方案主要是針對電信運營商級的DDoS攻擊,因為電信運營商容易成為黑客攻擊的目標,而且遭受了DDoS攻擊后影響會非常大。”姚偉棟介紹說,“而中小企業的反DDoS攻擊,用防火墻、IPS、UTM就能完成。”
華為賽門鐵克安全解決方案部部長武鵬介紹了華賽的反DDoS攻擊解決方法,華賽提出了異常流量監管解決方案ATIC,其中心思想是: 檢測中心發現流量異常后通告管理中心,管理中心控制清洗中心引流,由清洗中心精確區分異常流量和正常流量,丟棄異常流量并回注正常流量。其中,管理中心用于集中策略管理和報表呈現,并對攻擊流量進行動態控制,以消除對網絡結構和網絡性能的影響。
據了解,華賽的Anti-DDoS設備,是一個分層部署、逐層防護的全網異常流量清洗解決方案,該設備采用“NP+多核+分布式”架構,每塊單板能清洗10G DDoS攻擊流量。部署在骨干網的清洗方案專注于帶寬型DDoS攻擊流量的清洗; 接入側清洗方案則專注小流量及應用型攻擊,以實現基于業務和帶寬資源的縱深防御。“這樣一來,不僅可以防御DDoS攻擊,非法訪問、安全傳輸和系統安全等問題都能得到解決。”武鵬強調,華賽的解決方案是一個多方案保障網絡安全的解決辦法。
而綠盟公司則認為,目前該公司已經基本解決了DDoS攻擊的問題。崔云鵬介紹,反DDoS攻擊的最大難點是對DDoS攻擊的識別和流量清洗,因為DDoS攻擊的訪問很多看起來都是正常的報文。因此,綠盟的產品針對這些難點,自主研發了對拒絕服務攻擊進行識別的獨特算法,能對SYN Flood、UDP Flood、UDP DNS Query Flood、(M)Stream Flood、ICMP Flood、HTTP Get Flood以及連接耗盡這些常見的攻擊行為進行有效識別,并通過集成的機制實時對這些攻擊流量進行阻斷。“我們的方案就是把DDoS攻擊攔截在門外,使其無法攻入服務器內部,并對正常和異常的訪問進行篩選,在防范惡意攻擊的同時還可以保證用戶的正常訪問。”崔云鵬總結了綠盟反DDoS攻擊解決方案的原理。
中新軟件主要是針對小型用戶遇到的DDoS攻擊推出了解決方案,采取的方法是: 對于TCP協議報文,通過連接跟蹤模塊來防護攻擊; 而對于UDP及ICMP協議報文,主要采用流量控制模塊來防護攻擊。針對進出的所有連接均進行連接跟蹤,并在跟蹤的同時進行防護,以化解針對TCP協議的各種攻擊。同時,針對不同的端口應用,中新還提供不同的防護手段,這使得運行在同一服務器上的不同服務,都可以獲得完善的攻擊防護。“這樣可以對攻擊進行有效的檢測,針對不同的流量觸發不同的保護機制,這在提高效率的同時還確保了準確度。”徐航介紹說。
部署方式是關鍵
僅僅有了反DDoS攻擊產品,還并不能完全保證網絡或應用不受DDoS攻擊,這些設備在網絡中的部署方法也非常重要,并且將直接決定應用的效果。
姚偉棟認為,設備部署在不同層次對反DDoS攻擊的效果是不一樣的,他建議,應該將設備部署在越外圍越好。“比如,對市級運營商網絡,最好在省級出口部署反DDoS攻擊設備; 對于跨地區的大型企業網絡,最好在每個互聯網出口處都部署反DDoS設備,再加上網絡管理雙管齊下,就可以降低受攻擊的可能性。”姚偉棟表示,“而對于中小企業來說,目前它們