小型商务网站如何应对DDoS攻击.doc

小型商务网站如何应对DDoS攻击 DDoS(Distributed Denial of Service，分布式拒绝服务攻击)，俗称洪水攻击。是在传统的DoS攻击基础之上产生的新的破坏力更强的攻击方式。分布式拒绝服务攻击是指借助于客户/服务器技术，将多个甚至几十万个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高了攻击的威力。DDoS带来的破坏是巨大的，你无法阻止黑客对你的网站发动DDoS攻击，除非主动断开Internet连接。如果我们无法防止这种攻击，那么，怎样做才能最大限度地保护我们的企业网络呢? 1、了解DDoS攻击当前主要有三种流行的DDoS攻击： 1.1SYN/ACKFlood攻击 这种攻击方法是经典最有效的DDoS方法，可攻击各种系统的网络服务，主要是通过向受害主机发送大量伪造源IP和源端口的SYN或ACK包，导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务，由于源IP和源端口都是伪造的，故追踪起来比较困难。其缺点是实施起来有一定难度，需要高带宽的僵尸主机支持。 1.2TCP全连接攻击 TCP全连接攻击就是通过许多僵尸主机不断地与受害服务器建立大量的TCP连接，直到服务器的内存等资源被耗尽而被拖跨，从而造成拒绝服务，这种攻击的特点是可绕过一般防火墙的防护而达到攻击目的，缺点是需要找很多僵尸主机，并且由于僵尸主机的IP是暴露的，因此容易被追踪。 1.3刷Script脚本攻击 这种攻击主要是针对存在ASP、JSP、PHP、CGI等脚本程序，并调用MSSQLServer、MySQLServer、Oracle等数据库的网站系统而设计的，特征是和服务器建立正常的TCP连接，并不断地向脚本程序提交查询、列表等大量耗费数据库资源的调用，典型的以小博大的攻击方法。常见的现象就是网站慢如蜗牛、ASP程序失效、PHP连接数据库失败、数据库主程序占用CPU偏高。这种攻击的特点是可以完全绕过普通的防火墙防护，轻松找一些Proxy代理就可实施攻击，缺点是对付只有静态页面的网站效果会大打折扣，并且有些Proxy会暴露攻击者的IP地址。 2、发现DDoS攻击 根据以下异常现象在网络入侵监测系统建立相应规则，能够较准确地监测出DDoS攻击。 (1)根据分析，攻击者在进行DDoS攻击前总要解析目标的主机名，BIND域名服务器能够记录这些请求。由于每台攻击服务器在进行一个攻击前会发出PTR反向查询请求，也就是说在DDoS攻击前域名服务器会接收到大量的反向解析目标IP主机名的PTR查询请求。 (2)当DDoS攻击一个站点时，会出现明显超出该网络正常工作时的极限通讯流量的现象。现在的技术能够分别对不同的源地址计算出对应的极限值。当明显超出此极限值时，就表明存在DDoS攻击的通讯。因此，可以在主干路由器端建立ACL访问控制规则以监测和过滤这些通讯。 (3)特大型的ICP和UDP数据包。正常的UDP会话一般都使用小的UDP包，通常有效数据内容不超过10字节。正常的ICMP消息也不会超过64到128字节。那些尺寸明显大得多的数据包很有可能就是控制信息通讯用的，主要含有加密后的目标地址和一些命令选项。一旦捕获到(没有经过伪造的)控制信息通讯，DDoS服务器的位置就暴露出来了，因为控制信息通讯数据包的目标地址是没有伪造的。 (4)不属于正常连接通讯的TCP和UDP数据包。最隐蔽的DDoS工具随机使用多种通讯协议(包括基于连接的协议)通过基于无连接通道发送数据。优秀的防火墙和路由规则能够发现这些数据包。另外，那些连接到高于1024而且不属于常用网络服务的目标端口的数据包也是非常值得怀疑的。 (5)数据段内容只包含文字和数字字符(例如，没有空格、标点和控制字符)的数据包。这往往是数据经过BASE64编码后而只会含有BASE64字符集字符的特征。TFN2K发送的控制信息数据包就是这种类型的数据包。TFN2K(及其变种)的特征模式是在数据段中有一串A字符(AAA)，这是经过调整数据段大小和加密算法后的结果。如果没有使用BASE64编码，对于使用了加密算法数据包，这个连续的字符就是“”。 (6)数据段内容只包含二进制和high-bit字符的数据包。虽然此时可能在传输二进制文件，但如果这些数据包不属于正常有效的通讯时，可以怀疑正在传输的是没有被BASE64编码但经过加密的控制信息通讯数据包(如果实施这种规则，必须将20、21、80等端口上的传输排除在外)。 3、应对DDoS攻击 当遭受DDoS攻击的时候要如何设法存活并继续提供正常服务呢? 由前面的介绍可以知道，若黑客攻击规模远高于你的网络频宽、设备或主机所能处理的能力，其实是很难反抗攻击的，但仍然有一些方法可以减轻攻击所造成的影响。首先是调查攻击来源，由于黑客由僵尸主机进行攻击，因此，可能无法直