门户网站被疑遭到DDoS攻击
来源:硅谷动力 更新时间:2012-04-13

       据笔者刚刚从北京大学计算机研究所信息安全中心得到的消息,于2005年7月12日即今天下午14:00,国内各大门户网站、google搜索引擎以及部分专题网站(例如中国经济网等)发生了大面积的网络瘫痪现象。有专家怀疑,这次突如其来的网络瘫痪是由于互联网受到大规模的分布式拒绝服务攻击(DDoS攻击)所导致!通过历时1个多小时的紧急抢修,目前各大网站都已恢复正常、继续为广大用户提供浏览服务!

 被怀疑引起本次互联网瘫痪事件的凶手——DDoS攻击(Distributed-Disturbed-Denial-Of-Service)——素来是一个非常严峻的公共安全问题,曾有黑客昵称它为“黑客终极武器”。此攻击以每年50%的速度增加,在全球范围内作案累累:2002年10月,国际互联网系统的核心DNS服务器遭到有史以来最严重的攻击,包括美国、瑞典、英国、日本的13个根名服务器瘫痪;2004年初传遍全球的MyDoom病毒,利用病毒体内的DDoS工具对SCO网站和微软网站发起DDoS攻击,造成巨大影响;2005年初中国唐山就破获一起利用Botnet控制10万台计算机的案件,作案者利用DDos攻击讹诈国内某网站,引起轰动………………

  目前,我们已知道的DDoS攻击技术大致分为以下几种:伪造数据,消除攻击包特征;综合利用协议缺陷和系统处理缺陷;使用多种攻击包混合攻击;采用攻击包预产生法,提高攻击速率。目前已经出现的攻击工具在单点情况下能发起6-7万个/秒攻击包,足以堵塞一个百兆带宽的大中型网站。像文章开头所提到的门户网站被黑事件,对那些恶名昭著的黑客而言兴许只是小试牛刀罢了!

  正所谓“道高一尺、魔高一丈”,虽然DDoS分布式拒绝服务攻击来势汹汹,但是国内安全业界的一些专家也对此作了系统调查和反制技术。来自北京大学计算机研究所的专家介绍,目前DDoS攻击主要分为两类:带宽耗尽型和资源耗尽型。带宽耗尽型主要是堵塞目标网络的出口,导致带宽消耗不能;而后者则是目前比较多见的DDoS攻击类型,攻击者利用服务器处理缺陷、消耗目标服务器的关键资源,例如CPU、内存等,导致无法提供正常服务。例如常见的Syn Flood攻击、NAPTHA攻击等。而目前业内比较主流的DDoS防范技术包括攻击追踪、网关防范等技术:在骨干网上攻击追踪研究的目标就是,在攻击者刚开始发起攻击时就能定位攻击源,从而阻挡攻击扩散和减轻目标损失;像是利用ICMP数据包追踪、或是Burch 和 Cheswick提出的通过标志数据包来追踪的方法,都是目前研究的主方向。而网关DDoS防范技术是未来产品发展的重点,将成为各类网站和ICP的DDoS防护盾牌,目前研究的热点集中在利用行为统计等方法区分攻击包,如方正防DDoS攻击网关——方正黑鲨所采用的CIP技术即是其中之一。

  方正黑鲨产品是专门防范资源耗尽型DDoS攻击的硬件网关产品,产品采用北大计算机研究所自行研发的高效网络检测技术,创新性地采用零拷贝流分类、特有快速搜索算法和规则定位等技术,针对网络攻击进行高效识别。对于可疑的数据包,黑鲨会代替目的主机,自动根据来包做出智能回应,并与前面的“智能IP识别技术”联合,检查源主机的后续数据包,完成与合法源主机建立连接的操作。经严格测试,方正黑鲨每秒可最高抵挡120万次攻击量级,真正达成了用户防范DDoS攻击的需求。

  不过,另一种非常见的DDoS带宽耗尽型攻击技术,由于其防范难度较大,在合作和实施方面仍存在一定难度;加之TCP/IP互联网协议的缺陷和无国界性,导致目前的国家机制和法律都很难追查和惩罚DDoS攻击者,造就了这些累犯的越发猖狂……

  就目前安全业内的总体形式看来,这场DDoS和抗DDoS之争可能会演变成一场旷日持久的拉锯战。