從接入節點談黑客和DDOS攻擊防御

早期的“黑客”，主要利用操作系統或者軟件的漏洞，入侵一些WEB服務等，竄改頁面的內容，比如在主頁寫上“您的主頁被XXX攻克”的字樣，以炫耀自己的技術。他們追求的只是“肉雞”的占領，而盡量不破壞影響用戶的正常服務，更不會以此來要挾獲取利益。而現在，黑客們已經不滿足于炫耀，而是更加的務實。他們現在開始利用網絡來竊取銀行秘碼，股票交易秘碼，和一些游戲的帳戶，其最終目的已經不是炫耀，而是直接利用網絡來賺錢，來換取現金。一些更高級的黑客們，會利用已經占領的大量“肉機”，在一些人的利益的誘惑下，向一些網站，ISP游戲提供商或者網吧運營商發動DDOS拒絕服務攻擊，造成網絡擁擠，正常的經營被迫關閉，這些黑客也因此會可以獲得高額報酬。由于這類活動已經超越的法律的界限，因此一些人才提出“做黑客要低調”，以逃避公安的追查。在網絡經歷的幾年的低谷期后，逐漸開始欣欣向榮的今天，這些“黑客”也要趁著這股東風，在網上興風作浪，賺取不義之財。對比以前，目前黑客進行的活動更加具有破壞力，已經嚴重影響了人們的正常的經濟活動秩序。如果不盡早對利用網絡犯罪這個毒瘤加以重視，研究并采取必要的措施，將嚴重阻礙國內信息化網絡的建設，甚至破壞國內的經濟發展和社會的和諧。一些公安機關，運營商和網絡安全廠商已經意識到網絡攻擊問題的嚴重性，今年1月由三方參加的在北京舉辦的防護網絡黑客DDOS的高層研討會上，就提出許多有建設性的意見。目前，黑客進行網絡破壞活動主要是兩類途徑：一：利用郵件，網絡下載，聊天等工具分發和傳播后門程序。用戶從不名網站的鏈接下載一些程序中，有時就會有黑客設計的陷阱，用戶運行這些程序后，后門程序也一同種植在機器中，這些木馬程序會獲取用戶的超級管理員權限，監視和記錄用戶的所有操作動作，包括通過鍵盤敲入的任何指令，盜用用戶的一些特殊帳戶，密碼，然后自動發給黑客。另外，黑客還會通過木馬程序開放某些特殊端口，供黑客控制主機和繼續進一步入侵時使用，此時，這臺主機就成為黑客的“肉雞”。同時，利用一些操作系統的漏洞，一些高級的木馬程序有時還會像病毒一樣試圖連接局域網內的其他程序，進行復制和傳播，入侵內網的其他主機。二：黑客利用占領的“肉機”，向一些網站，交易平臺，游戲，網吧等一些經營性服務器發起DDOS拒絕服務攻擊，利用同一時間的海量數據阻塞網絡鏈路，使正常服務無法連接和訪問。這種類型的攻擊，以不僅僅是炫耀技術，而更多是有很多直接獲利的目的，他們或者是惡意商業競爭的對手花錢雇傭的(據報道，現在黑客市場的價格是租用每個“肉雞”的價格，僅需要幾角錢/每星期)，或者因此達到敲詐或者報復的目的.DoS攻擊通常而言，DoS的網絡數據包同樣是利用TCP/IP協議在Internet傳輸。這些數據包本身一般是無害的，但是如果數據包異常過多，就會造成網絡設備或者服務器過載，迅速消耗了系統資源，造成服務拒絕，這就是DoS攻擊的基本工作原理。DoS攻擊之所以難于防護，其關鍵之處就在于非法流量和合法流量相互混雜，防護過程中無法有效的檢測到DoS攻擊。加之許多DoS攻擊都采用了偽造源地址IP的技術，從而成功的躲避了基于統計模式工具的識別。具體DOS攻擊實現有如下幾種方法：1、SYNFLOOD利用服務器的連接緩沖區，設置特殊的TCP包頭，向服務器端不斷地發送大量只有SYN標志的TCP連接請求。當服務器接收的時候，認為是沒有建立起來的連接請求，于是這些請求建立會話，排到緩沖區隊列中。如果發送的SYN請求超過了服務器能容納的限度，緩沖區隊列占滿，那么服務器就不再接收新的請求了，因此其他合法用戶的連接都會被拒絕掉。2、IP欺騙DOS攻擊這種攻擊利用RST位來實現。假設現在有一個合法用戶(1.1.1.1)已經同服務器建立了正常的連接，攻擊者構造攻擊的TCP數據，偽裝自己的IP為1.1.1.1，并向服務器發送一個帶有RST位的TCP數據段。服務器接收到這樣的數據后，會認為從1.1.1.1發送的連接有錯誤，從而清空緩沖區中建立好的連接。這時，如果合法用戶1.1.1.1再發送合法數據，服務器就已經沒有這樣的連接了，該用戶就必須從新開始建立連接。攻擊者偽造大量的IP地址，向目標主機發送RST數據，從而使服務器不對合法用戶服務。?3、帶寬DOS攻擊(UDPFlood，ICMPFlood)這類攻擊完全利用連接帶寬足夠大，持續向目標服務器發送大量請求，如UDP的包，ICMP的ping包，來消耗服務器的緩沖區，或者僅消耗服務器的連接帶寬，從而達到網絡擁塞，使服務器不能正常提供服務。DDOS攻擊單一的DoS攻擊一般是采用一對一方式的，“分布式拒絕服務攻擊”(DistributedDenialofService，簡稱DDoS)是建立在傳統的DoS攻擊基礎之上一類攻擊方式。當計算機與網絡的處理能力加大了，用一臺攻擊機來攻擊不再能起作用的話，攻擊者就使用10臺甚至100臺攻擊機同時攻擊。這就是DDos。DDoS就是利用更多的傀儡機“肉雞”來同時發起進攻，更大規模的來進攻受害者，破壞力更強。現在，高速廣泛連接的網絡給大家帶來了方便，但同時也為DDoS攻擊創造了極為有利的條件。在低速網絡時代時，黑客占領攻擊用的傀儡機時，總是會優先考慮離目標網絡距離近的機器，因為經過路由器的跳數少，效果好。而現在電信骨干節點之間的連接都是以G為級別的，大城市之間更可以達到2.5G的連接，這使得攻擊可以從更遠的地方或者其他城市發起，攻擊者的傀儡機位置可以在分布在更大的范圍，選擇起來更靈活了，攻擊也更加隱蔽。當主機服務器被DDoS攻擊時，通常會有如下現象：被攻擊主機上有大量等待的TCP連接網絡中充斥著大量的無用的數據包，源地址一般為偽造的高流量無用數據造成網絡擁塞，使受害主機無法正常和外界通訊反復高速的發出特定的服務請求，使受害主機無法及時處理所有正常請求系統服務器CPU利用率極高，處理速度緩慢，甚至宕機如何應對DDOS攻擊從以上的分析可以看出，黑客的攻擊方式已經越來越簡單，門檻越來越低，因此，這次攻擊事件越來越頻繁，造成的破壞力也越來越嚴重。首先，要加強每個網絡用戶的安全意識，安裝殺毒軟件，安裝軟件或者硬件防火墻，不從不名網站下載軟件，不訪問一些不名網站，不打開不名郵件，盡量避免木馬的種植。其次，要求國家立法單位，對網絡犯罪進行立法，對傳播病毒，木馬，和進行黑客攻擊的行為進行定性，并有法可依，保障國家信息高速網絡平臺的安全，為國內信息化建設保駕護航。再次，我們的運營商有義務在網絡平臺升級和建設的過程中，有效在各個節點抵御黑客惡意攻擊的行為，以凈化我們的網絡。不光僅僅是只加強可以看到效益的終端平臺，如IDC機房的抗DDOS防護，而是應該在網絡的各個節點都加強防護，特別是在接入端進行DDOS防護和源地址檢測，使得黑客的主機或者占領的“肉雞”，無法拉起大量帶寬，有效記錄各種用戶(特別是網吧用戶)的網絡行為，建立電子檔案，以協助公安部門對網絡犯罪進行調查，為指證犯罪提供證據。對我們的一些網絡運營平臺用戶，如經營性網站，門戶網站，網上交易平臺，網絡游戲提供商，網吧，VOIP提供商等，也要加強網絡出口的防護，發現和舉證攻擊行為，做好日志記錄，并利用硬件防護設備，最大程度的減少黑客攻擊的危害，保障經營性平臺的正常運行。對我們企事業單位的網絡，雖不象經營性的網絡，成為黑客攻擊的重點目標，但也可能存在“誤傷”的現象，如與某個網吧共在一個運營商的路由器下，或者黑客得到的IP地址不準確，目前這類網絡事件也不少。因此，在新的網絡的設計中，防護DDOS，也應該成為企業網絡安全防護的重點，同時，在企業網絡的規劃中，如何防止自己內部的主機和服務器避免成為黑客的“肉雞”，也是企業在新形勢下防護的一個重點課題，要求我們的企業網絡要真正做到1)對內部主機的有效防護，避免成為黑客的“肉雞”2)當內部主機成為“肉雞”后能很快發現，并在很快的時間內殺掉控制程序3)“肉雞”攻擊和傳播時迅速報警，切斷其攻擊和傳播途徑，同時，不影響出口帶寬和內部其他主機網絡的正常使用。因此，在防護DDOS和黑客攻擊的問題上，要求我們的公安機關，運營商和網絡安全廠商，和網絡的用戶，在意識到網絡攻擊問題的嚴重性前提下，多方配合，共同加強我們的網絡平臺安全性的建設性，凈化我們的網絡，不給黑客以生存的攻擊，保障我們十幾年來信息網絡平臺建設的成果，為我國的經濟建設提供堅固安全的網絡信息化平臺。在網絡安全廠商方面，對于專用的抗DDOS設備，許多廠商也參與進來，研制了許多新型設備，目前大多數還是集中在解決IDC機房的主機防護上。作為國內權威專業電子商務研究機構，包括B2B領域的阿里巴巴、網盛生意寶、中國制造網、慧聰網、環球資源、金銀島、一達通、敦煌網等企業；B2C領域的京東商城、當當網、卓越亞馬遜、新蛋中國、紅孩子、凡客誠品(VANCL)、麥考林（麥網）、庫巴購物網、蘇寧易購、淘寶網、拍拍網、eBay易趣網、樂酷天、百度有啊