网站首页/网络技术列表/内容

DoS攻防简明问答

网络技术2021-12-02阅读
网络技术是从1990年代中期发展起来的新技术,它把互联网上分散的资源融为有机整体,实现资源的全面共享和有机协作,使人们能够透明地使用资源的整体能力并按需获取信息。资源包括高性能计算机、存储资源、数据资源、信息资源、知识资源、专家资源、大型数据库、网络、传感器等。 当前的互联网只限于信息共享,网络则被认为是互联网发展的第三阶段。
什么是DoS?什么是DDoS?它们的危害是什么?怎样有效预防它们?我想这是每一个网络管理人员都关心的问题。下面,我就以问答的形式,从DoS的概念、行为以及预防手段几个方面详细地论述DoS攻防。

Q:何为拒绝服务攻击?
A:DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求就无法通过。连通性攻击指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。例如,2000年2月6日那个星期对Yahoo网站发生的主要是带宽攻击。

Q:何为分布式拒绝服务攻击?
A:分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在Internet上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行。

Q:DDoS攻击怎样影响Web站点?
当对一个Web站点执行 DDoS 攻击时,这个站点的一个或多个Web服务会接到非常多的请求,最终使它无法再正常使用。在一个DDoS攻击期间,如果有一个不知情的用户发出了正常的页面请求,这个请求会完全失败,或者是页面下载速度变得极其缓慢,看起来就是站点无法使用。典型的DDoS攻击利用许多计算机同时对目标站点发出成千上万个请求。为了避免被追踪,攻击者会闯进网上的一些无保护的计算机内,在这些计算机上藏匿DDoS程序,将它们作为同谋和跳板,最后联合起来发动匿名攻击。

Q:有没有远离DDoS攻击危险的快速而简便的方法?
A:没有。但是有一个简单的基本原则:防止计算机被黑客劫持后成为攻击的平台,这样就在攻击发生前将问题彻底排除了。
攻击者很喜欢把非商业计算机作为攻击平台,因为这些计算机更容易被攻陷。比如,大学系统经常是攻击者选择的目标,因为它们经常是人手不足,或者是为了便于学生使用而将安全设置到最低等级。但这并不是一个国家的问题,世界上任何一个Internet服务器都可用被用来作为攻击的平台。
所以,我们必须"团结成一个整体",通过全球合作来保护Internet。最起码要从自己做起,检查自己的上网计算机,确保它们不会成为DDoS的攻击平台。这不仅仅是为了做一个Internet好公民,更是为在发生了DDoS 攻击时,有证据能表明:我的计算机是无罪的。

Q:政府能对防范DoS攻击起很大的作用吗?
A:毫无疑问,政府通过在Internet 上施加多种限制规定,就能极大地控制DoS类型的攻击,至少是那些来自本国的攻击。例如,可以对上网要求相当于驾驶执照那样的许可证,对站点要求相当于"工商许可"的许可证,对所有的 ISP进行严格规范,就象对许多公共设施(如水、气等)的要求一样。
但是请注意:限制犯罪活动和限制经济增长、教育、信息资源以及一般人身自由之间只是一线之隔,政府对此很难掌握,因此许多政府正在寻求一些非干预性的方法。例如,美国前总统Clinton曾提出在大学毕业生中发展一个信息安全计算机联合会,培养所谓"计算机警察",以反抗DDoS和其它类型的计算机犯罪。

Q:如何检测我的服务器是否存在DDoS攻击程序?
要检测DDoS攻击程序的存在,可以有2种方法:
1、通常,我们可以使用文件系统扫描工具来确定在服务器文件系统上是否存在已知的DDoS攻击程序。
同病毒软件一样,每当有新的DDoS发明出来,当前的DDoS工具就将过时,或者它对现存的DDoS进行修改而避开检查。所以,要选择最近更新的扫描工具才能检测到最新的DDoS攻击程序。
FBI提供了一个工具叫做"find_ddos",用于检测一些已知的拒绝服务工具,包括trinoo进程、trinoo主人、加强的tfn进程、tfn客户程序、tfn2k客户程序和tfn-rush客户程序。Find_ddos可以从以下地址下载:
http://www.jintaigroup.com.cn/index2/refuse/n2.htm。
请注意,FBI的这个工具并不能保证捕获所有的DDoS工具。如果侵入者安装了一个根文件包,那么find_ddos程序就有可能无法处理它。
另外,http://www.nessus.org站点也提供一个免费的扫描工具。当然还有一些商务工具也可以使用。
2、还可使用手工方法对起源于本地网络中的DDoS活动进行双重检查。
Q:如果在服务器上发现了一个 DDoS主机程序应该怎么办?
A:如果在系统上出现了特洛伊木马程序,就表明系统上有一个弱点被人利用了。在系统上可能已经发生了一些细微或不那么细微的变化,虽然系统可能还没有表现出外在的问题,但不能因此而放松警惕。

执行你的组织中的应急反应策略。如果现在还没有这样的策略,那么至少要执行以下这些应急步骤:
Q:如何防止服务器被当做DDoS主机?
A:建议采取如下步骤:
1、首先要充分认识和理解Internet服务器上存在的弱点:
2、如果系统已经受到了威胁,立即备份文件系统,然后重新安装操作系统并恢复文件系统。
3、安装软件产商提供的操作系统升级程序。如果升级程序是与系统安全相关的,那在安装的时候尤其要注意。一定要仔细阅读软件产商的升级文件readme,因为有些升级程序并不是测试得那么好,其中有些缺点可能反而对你的系统造成危害。
4、对服务器进行保护。 Q:如何防止个人计算机成为 DDoS 主机?
A:建议采取如下步骤:
1、首先要充分认识并理解Internet客户机所存在的弱点:
2、如果系统已经受到了威胁,理解备份文件系统,重新安装操作系统并恢复文件系统。
3、安装存在系统销售商提供的操作系统升级程序。
4、对客户机/个人计算机进行保护。


网络的神奇作用吸引着越来越多的用户加入其中,正因如此,网络的承受能力也面临着越来越严峻的考验―从硬件上、软件上、所用标准上......,各项技术都需要适时应势,对应发展,这正是网络迅速走向进步的催化剂。

……

相关阅读