分析:針對個人用戶DDoS自殺式攻擊

　　DDos是英文Distributed Denial of Service的縮寫，中文意思是“分布式拒絕服務。那什麼又是拒絕服務呢？用戶可以這樣理解，凡是能導致合法用戶不能進行正常的網絡服務的行為都算是拒絕服務攻擊。拒絕服務攻擊的目的非常明確，就是要阻止合法用戶對正常網絡資源的訪問。

DDoS攻擊主要是通過很多“傀儡主機向遠程計算機發送大量看似合法的數據包，從而造成網絡阻塞或服務器資源耗盡而導致拒絕服務。分布式拒絕服務攻擊一旦被實施，攻擊數據包就會猶如洪水般湧向遠程計算機，從而把合法的數據包淹沒，導致合法用戶無法正常地訪問服務器的網絡資源。因此，分布式拒絕服務也被稱之為“洪水攻擊。

DDoS的表現形式主要有兩種，一種是流量攻擊，主要是針對網絡帶寬的攻擊，即大量攻擊包導致網絡帶寬被阻塞，合法的網絡數據包被虛假的網絡數據包淹沒而無法到達主機；另一種為資源耗盡攻擊，主要是針對服務器主機進行的攻擊，即通過大量的攻擊包導致主機的內存被耗盡，或是CPU被內核及應用程序占完而造成無法提供網絡服務。

DDoS的攻擊類型

DDoS的攻擊類型目前主要包括三種方式，即TCP-SYN Flood攻擊、UDP Flood攻擊以及提交腳本攻擊。

TCP-SYN Flood攻擊又稱半開式連接攻擊，每當我們進行一次標准的TCP連接，都會有一個三次握手的過程，而TCP-SYN Flood在它的實現過程中只有前兩個步驟。這樣，服務方會在一定時間處於等待接收請求方ASK消息的狀態。由於一台服務器可用的TCP連接是有限的，如果惡意攻擊方快速連續地發送此類連接請求，則服務器可用TCP連接隊列很快將會阻塞，系統資源和可用帶寬急劇下降，無法提供正常的網絡服務，從而造成拒絕服務。

UDP Flood攻擊在網絡中的應用也是比較廣泛的，基於UDP的攻擊種類也是比較多的，如目前在互聯網上提供網頁、郵件等服務的設備一般是使用Unix操作系統的服務器，它們默認是開放一些有被惡意利用可能的UDP服務。如果惡意攻擊者將UDP服務互指，則網絡可用帶寬會很快耗盡造成拒絕服務。

提交腳本攻擊主要是針對存在ASP、PHP、CGI等腳本程序，並調用MSSQL、MYSQL、ACCESS等數據庫的網站系統設計的。首先是和服務器建立正常的TCP連接，並不斷地向數據庫提交注冊、查詢、刷新等消耗資源的命令，最終將服務器的資源消耗掉從而導致拒絕服務。

防范DDoS的三條軍規

1.檢查並修補系統漏洞

及早發現當前系統可能存在的攻擊漏洞，及時安裝系統的補丁程序。對一些重要的信息（例如系統配置信息）建立和完善備份機制。對一些特權賬號（例如管理員賬號）的密碼設置要謹慎。通過這樣一系列的舉措可以把攻擊者的可乘之機降低到最小。

2.刪除多余的網絡服務

在網絡管理方面，要經常檢查系統的物理環境，禁止那些不必要的網絡服務。建立邊界安全界限，確保輸出的包受到正確限制。經常檢測系統配置信息，並注意查看每天的安全日志。如果你是一個單機用戶，可去掉多余不用的網絡協議，完全禁止NetBIOS服務，從而堵上這個危險的“漏洞。

3. 自己定制防火牆規則

利用網絡安全設備來加固網絡的安全性，配置好這些設備的安全規則，過濾掉所有可能的偽造數據包，這種方法適合所有Windows操作系統的用戶。以天網個人防火牆為例，新建一條空規則，規定如下：“數據包方向設置為“接收，“對方IP地址設置為“任何，“協議設置為“TCP，“本地端口設置為“139到139，“對方端口設置為“0到0，在“標志位中選上“SYN標志，“動作選擇“攔截，保存即可。另外，其他危險的端口也可以用該方法進行設置。

　　物理隔離技術，不是要替代防火牆，入侵檢測，漏洞掃描和防病毒系統，相反，它是用戶“深度防御的安全策略的另外一塊基石，一般用來保護為了的“核心。物理隔離技術，是絕對要解決互聯網的安全問題，而不是什麼其它的問題。

一、物理隔離要解決的問題

解決目前防火牆存在的根本問題：

防火牆對操作系統的依賴，因為操作系統也有漏洞

TCP/IP的協議漏洞：不用TCP/IP

防火牆、內網和DMZ同時直接連接

應用協議的漏洞，因為命令和指令可能是非法的

文件帶有病毒和惡意代碼：不支持MIME，只支持TXT，或殺病毒軟件，或惡意代碼檢查軟件

物理隔離的指導思想與防火牆有很大的不同：（1）防火牆的思路是在保障互聯互通的前提下，盡可能安全，而（2）物理隔離的思路是在保證必須安全的前提下，盡可能互聯互通。

二、TCP/IP的漏洞

TCP/IP是冷戰時期的產物，目標是要保證通達，保證傳輸的粗曠性。通過來回確認來保證數據的完整性，不確認則要重傳。TCP/IP沒有內在的控制機制，來支持源地址的鑒別，來證實IP從哪兒來。這就是TCP/IP漏洞的根本原因。黑客利用TCP/IP的這個漏洞，可以使用偵聽的方式來截獲數據，能對數據進行檢查，推測TCP的系列號，修改傳輸路由，修改鑒別過程，插入黑客的數據流。莫裡斯病毒就是利用這一點，給互聯網造成巨大的危害。

防火牆的漏洞

防火牆要保證服務，必須開放相應的端口。防火牆要准許HTTP服務，就必須開放80端口，要提供MAIL服務，就必須開放25端口等。對開放的端口進行攻擊，防火牆不能防止。利用Dos或DDOS，對開放的端口進行攻擊，防火牆無法禁止。利用開放服務流入的數據來攻擊，防火牆無法防止。利用開放服務的數據隱蔽隧道進行攻擊，防火牆無法防止。攻擊開放服務的軟件缺陷，防火牆無法防止。

防火牆不能防止對自己的攻擊，只能強制對抗。防火牆本身是一種被動防衛機制，不是主動安全機制。防火牆不能干涉還沒有到達防火牆的包，如果這個包是攻擊防火牆的，只有已經發生了攻擊，防火牆才可以對抗，根本不能防止。

目前還沒有一種技術可以解決所有的安全問題，但是防御的深度愈深，網絡愈安全。物理隔離網閘是目前唯一能解決上述問題的安全設備。

物理隔離的技術原理

物理隔離的技術架構在隔離上。以下的圖組可以給我們一個清晰的概念，物理隔離是如何實現的。

外網是安全性不高的互聯網，內網是安全性很高的內部專用網絡。正常情況下，隔離設備和外網，隔離設備和內網，外網和內網是完全斷開的。保證網絡之間是完全斷開的。隔離設備可以理解為純粹的存儲介質，和一個單純的調度和控制電路。

當外網需要有數據到達內網的時候，以電子郵件為例，外部的服務器立即發起對隔離設備的非TCP/IP協議的數據連接，隔離設備將所有的協議剝離，將原始的數據寫入存儲介質。根據不同的應用，可能有必要對數據進行完整性和安全性檢查，如防病毒和惡意代碼等。

一旦數據完全寫入隔離設備的存儲介質，隔離設備立即中斷與外網的連接。轉而發起對內網的非TCP/IP協議的數據連接。隔離設備將存儲介質內的數據推向內網。內網收到數據後，立即進行TCP/IP的封裝和應用協議的封裝，並交給應用系統。

這個時候內網電子郵件系統就收到了外網的電子郵件系統通過隔離設備轉發的電子郵件。在控制台收到完整的交換信號之後，隔離設備立即切斷隔離設備於內網的直接連接。

如果這時，內網有電子郵件發出，隔離設備收到內網建立連接的請求後，建立與內網之間的非TCP/IP協議的數據連接。隔離設備剝離所有的TCP/IP協議和應用協議，得到原始的數據，將數據寫入隔離設備的存儲介質。必要的化，對其進行防病毒處理和防惡意代碼檢查。然後中斷與內網的直接連接。

一旦數據完全寫入隔離設備的存儲介質，隔離設備立即中斷與內網的連接。轉而發起對外網的非TCP/IP協議的數據連接。隔離設備將存儲介質內的數據推向外網。外網收到數據後，立即進行TCP/IP的封裝和應用協議的封裝，並交給系統。

控制台收到信息處理完畢後，立即中斷隔離設備與外網的連接，恢復到完全隔離狀態。 　　

每一次數據交換，隔離設備經歷了數據的接受，存儲和轉發三個過程。由於這些規則都是在內存和內核力完成的，因此速度上有保證，可以達到100%的總線處理能力。

物理隔離的一個特征，就是內網與外網永不連接，內網和外網在同一時間最多只有一個同隔離設備建立非TCP/IP協議的數據連接。其數據傳輸機制是存儲和轉發。