抵御DDoS攻击浅谈

　　分布式拒绝服务攻击（DDoS：Distributed Denial of Service）是一种特殊形式的拒绝服务攻击。它是利用多台已经被攻击者所控制的傀儡机器对某一台单机发起攻击，在带宽相对的情况下，被攻击的主机很容易失去反应能力。作为一种分布、协作的大规模攻击方式，分布式拒绝服务攻击（DDoS）主要瞄准比较大的站点，像商业公司、搜索引擎和政府部门的站点。由于它利用一批受控制的机器向一台机器发起攻击，来势迅猛，而且往往令人难以防备，具有极大的破坏性。

　　对DDoS攻击来说并没有100％有效的防御手段。但是由于攻击者必须付出比防御者大得多的资源和努力才能实现有效的攻击，所以只要我们更好地了解DDoS攻击，积极部署防御措施，还是能在很大程度上缓解和抵御这类安全威胁的。另外，加强用户的安全防范意识，提高网络系统的安全性也是很重要的措施。

　　监控骨干网络设备，减少骨干网主机的漏洞

　　加强对骨干网络设备的监控，常用的方法包括限制连接队列的长度以及减少处理延时等。前者可以缓解系统资源的耗尽，虽然不能完全避免拒绝服务的发生，但是至少在一定程度上降低了系统崩溃的可能性，而后者能够加强系统的处理能力。通过减少延时，我们能以更快的速度抛弃队列里等待的连接，而不是任其堆满队列。不过这种方法也不是在所有的情况下都有效，因为很多DDoS的攻击机制并不是建立在类似SYN Flood这样以畸形连接淹没队列的方式之上的。

　　几乎所有的主机平台都有抵御DDoS的设置，基本的设置有四种：

　　1.关闭不必要的服务。确保从服务器相应的目录或文件数据库中删除未使用的服务，如FTP或NFS。Wu-Ftpd等守护程序存在一些已知的漏洞，黑客通过根攻击就能获得访问特权系统的权限，并能访问其他系统——甚至是受防火墙保护的系统。确保运行在Unix主机上的所有服务都有TCP封装程序，限制对主机的访问权限。

　　2.限制同时打开的Syn半连接数目。

　　3.缩短Syn半连接的time out 时间。

　　4.及时更新系统补丁。确保所有服务器采用最新系统，并打上安全补丁，计算机紧急响应协调中心发现，几乎每个受到DDoS攻击的系统都没有及时打上补丁。因此应当及早发现系统存在的攻击漏洞，及时安装系统补丁程序。

　　合理配置路由器及防火墙，实现IDS和防火墙的联动

　　企业网的网络设备可以从防火墙与路由器上考虑。这两个设备是与外界的接口设备。需要注意的是防DDoS的设置是以牺牲效率为代价的。

　　路由器（以Cisco路由器为例）

　　1．Cisco Express Forwarding（CEF）。

　　2．使用 unicast reverse-path。

　　3．访问控制列表（ACL）过滤。

　　4．设置SYN数据包流量速率。

　　5．升级版本过低的ISO。

　　6．为路由器建立log server。

　　其中使用CEF和Unicast设置时要特别注意，使用不当会造成路由器工作效率严重下降，升级IOS也应谨慎。

　　在思科路由器上使用 ip verfy unicast reverse-path 网络接口命令，这个功能检查每一个经过路由器的数据包。在路由器的CEF表该数据包所到达网络接口的所有路由项中，如果没有该数据包源IP地址的路由，路由器将丢弃该数据包。例如，路由器接收到一个源IP地址为1.2.3.4的数据包，如果CEF路由表中没有为IP地址1.2.3.4提供任何路由（即反向数据包传输时所需的路由），则路由器会丢弃它。 单一地址反向传输路径转发（Unicast Reverse Path Forwarding）在ISP（局端）实现阻止SMURF攻击和其他基于IP地址伪装的攻击，这能够保护网络和客户避免受来自互联网其他地方的侵扰。使用Unicast RPF需要打开路由器的“CEF swithing”或“CEF distributed switching”选项，不需要将输入接口配置为CEF交换（switching）。只要该路由器打开了CEF功能，所有独立的网络接口都可以配置为其他交换（switching）模式。RPF（反向传输路径转发）属于在一个网络接口或子接口上激活的输入端功能，处理路由器接收的数据包。

　　防火墙

　　1．禁止对主机的非开放服务的访问。

　　2．限制同时打开的SYN最大连接数。

　　3．限制特定IP地址的访问。

　　4．启用防火墙的防DDoS属性。

　　5．严格限制对外开放的服务器的向外访问。

　　要限制在防火墙外与网络文件共享，因为这会使黑客有机会截获系统文件，并以特洛伊木马替换它，文件传输功能无异将陷入瘫痪。

　　利用防火墙来加固网络的安全性，配置好这些设备的安全规则，过滤掉所有可能的伪造数据包。在受到攻击时，迅速确定来源地址，在路由器和防火墙上做一些屏蔽。

　　在防火墙上运行端口映射程序或端口扫描程序。大多数事件是由于防火墙配置不当造成的，使DoS/DDoS攻击成功率很高，所以一定要认真检查特权端口和非特权端口。

　　现在有很多防火墙产品集成了反DDoS功能，进一步提高了对常见DDoS攻击包的识别能力。这样的产品可以在很大程度上增强DDoS防御能力，并且可以做到不对数据包进行完全检查就可以发现“恶意行为”。这是非常有用的功能，因为如果判断DDoS攻击所耗费的处理越少，就越不容易被耗尽处理能力，从而极大地增加攻击者的成本。包括很多路由器产品在内的网络设备都具备一些防火墙功能，我们应该尽可能充分利用。

　　另外，实现IDS和防火墙的联动也是有效抵御DDoS攻击的有效手段。

　　加强网络管理，建立合理的应对策略

　　1.确保手头有一张最新的网络拓扑图。这张图应该详细标明TCP/IP地址、主机、路由器及其他网络设备，还应该包括网络边界、非军事区（DMZ）及网络的内部保密部分。

　　2.在网络管理方面，要经常检查系统的物理环境，禁止那些不必要的网络服务。建立边界安全界限，确保输出的包受到正确限制。经常检测系统配置信息，并注意查看每天的安全日志，检查所有网络设备和主机/服务器系统的日志，只要日志出现漏洞或时间出现变更，几乎可以肯定相关的主机安全受到了危胁。

　　3.与网络服务提供商协调工作，让网络服务提供商帮助实现路由的访问控制和对带宽总量的限制。

　　4.当用户发现自己正在遭受DDoS攻击时，应当启动自己的应付策略，尽可能快地追踪攻击包，并及时联系ISP和有关应急组织，分析受影响的系统，确定涉及的其他节点。

　　5.确保管理员对所有主机进行检查，而不仅针对关键主机。这是为了确保管理员知道每个主机系统在运行什么？谁在使用主机？哪些人可以访问主机？不然，即使黑客侵犯了系统，也很难查明。

　　6.对一些重要的信息（例如系统配置信息）建立和完善备份机制。对一些特权账号（例如管理员账号）的密码设置要谨慎。

　　通过以上一系列的举措可以把攻击者的可乘之机降低到最小。