DDoS防范和全局網絡安全網絡的應對

　　【簡 介】

　　作為破壞力較強的黑客攻擊手段，DDoS是一種形式比較特殊的拒絕服務攻擊。作為一種分布、協作的大規模攻擊方式，它往往把受害目標鎖定在大型Internet站點，例如商業公司、搜索引擎或政府部門網站。由於DDoS攻擊的惡劣性(往往通過利用一批受控制的網絡終端向某一個公共端口發起沖擊，來勢迅猛又令人難以防備，具有極大破壞力)難以被偵測和控制，因此也廣泛受到網絡安全業界的關注。從最初的入侵檢測系統(IDS)到目前新興的全局安全網絡體系，在防范DDoS攻擊的過程中先進的網絡安全措施發揮作用，使對抗黑客攻擊的手段 日益提升，向著智能化、全局化的方向大步邁進。

　　知己知彼:全面解剖DDoS攻擊

　　分布式攻擊系統和我們日常生活中司空見慣的客戶機/服務器模式非常相象，但是DDoS系統的日趨復雜性和隱蔽性使人難以發現。入侵者控制了一些節點，將它們設計成控制點，這些控制點控制了Internet大量的主機，將它們設計成攻擊點，攻擊點中裝載了攻擊程序，正是由這些攻擊點計算機對攻擊目標發動的攻擊。DDoS攻擊的前奏是率先攻破一些安全性較差的電腦作為控制點主機。因為這些電腦在標准網絡服務程序中存在眾所周知的缺陷，它們還沒有來得及打補丁或進行系統升級，還有可能是操作系統本身有Bug，這樣的系統使入侵者很容易闖入。

　　典型的DDoS攻擊包括帶寬攻擊和應用攻擊。在帶寬攻擊中，網絡資源或網絡設備被高流量數據包所消耗。在應用攻擊時，TCP或HTTP資源無法被用來處理交易或請求。發動攻擊時，入侵者只需運行一個簡單的命令，一層一層發送命令到所有控制的攻擊點上，讓這些攻擊點一齊“開炮”——向目標傳送大量的無用的數據包，就在這樣的“炮火”下，攻擊目標的網絡帶寬被占滿，路由器處理能力被耗盡。而較之一般的黑客攻擊手段來說，DDoS的可怕之處有二:一是DDoS利用Internet的開放性和從任意源地址向任意目標地址提交數據包;二是人們很難將非法的數據包與合法的數據包區分開。

　　閱讀關於 DDoS攻擊 拒絕服務 的全部文章 12下一頁閱讀全文分頁導航

• 1.知己知彼:全面解剖DDoS攻擊
• 2.屢戰屢敗:防范手段失效溯源