什么是DoS

　　什么是DoS?什么是DDoS?它們的危害是什么?怎樣有效預(yù)防它們?我想這是每一個(gè)網(wǎng)絡(luò)管理人員都關(guān)心的問題。下面，我就以問答的形式，從DoS的概念、行為以及預(yù)防手段幾個(gè)方面詳細(xì)地論述DoS攻防。

　　Q：何為拒絕服務(wù)攻擊?

　　A：DoS是Denial of Service的簡稱，即拒絕服務(wù)，造成DoS的攻擊行為被稱為DoS攻擊，其目的是使計(jì)算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)。最常見的DoS攻擊有計(jì)算機(jī)網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網(wǎng)絡(luò)，使得所有可用網(wǎng)絡(luò)資源都被消耗殆盡，最后導(dǎo)致合法的用戶請求就無法通過。連通性攻擊指用大量的連接請求沖擊計(jì)算機(jī)，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計(jì)算機(jī)無法再處理合法用戶的請求。例如，2000年2月6日那個(gè)星期對Yahoo網(wǎng)站發(fā)生的主要是帶寬攻擊。

　　Q：何為分布式拒絕服務(wù)攻擊?

　　A：分布式拒絕服務(wù)(DDoS：Distributed Denial of Service)攻擊指借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺，對一個(gè)或多個(gè)目標(biāo)發(fā)動DoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。通常，攻擊者使用一個(gè)偷竊帳號將DDoS主控程序安裝在一個(gè)計(jì)算機(jī)上，在一個(gè)設(shè)定的時(shí)間主控程序?qū)⑴c大量代理程序通訊，代理程序已經(jīng)被安裝在Internet上的許多計(jì)算機(jī)上。代理程序收到指令時(shí)就發(fā)動攻擊。利用客戶/服務(wù)器技術(shù)，主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運(yùn)行。

　　Q：DDoS攻擊怎樣影響Web站點(diǎn)?

　　當(dāng)對一個(gè)Web站點(diǎn)執(zhí)行 DDoS 攻擊時(shí)，這個(gè)站點(diǎn)的一個(gè)或多個(gè)Web服務(wù)會接到非常多的請求，最終使它無法再正常使用。在一個(gè)DDoS攻擊期間，如果有一個(gè)不知情的用戶發(fā)出了正常的頁面請求，這個(gè)請求會完全失敗，或者是頁面下載速度變得極其緩慢，看起來就是站點(diǎn)無法使用。典型的DDoS攻擊利用許多計(jì)算機(jī)同時(shí)對目標(biāo)站點(diǎn)發(fā)出成千上萬個(gè)請求。為了避免被追蹤，攻擊者會闖進(jìn)網(wǎng)上的一些無保護(hù)的計(jì)算機(jī)內(nèi)，在這些計(jì)算機(jī)上藏匿DDoS程序，將它們作為同謀和跳板，最后聯(lián)合起來發(fā)動匿名攻擊。

　　Q：有沒有遠(yuǎn)離DDoS攻擊危險(xiǎn)的快速而簡便的方法?

　　A：沒有。但是有一個(gè)簡單的基本原則：防止計(jì)算機(jī)被黑客劫持后成為攻擊的平臺，這樣就在攻擊發(fā)生前將問題徹底排除了。

　　攻擊者很喜歡把非商業(yè)計(jì)算機(jī)作為攻擊平臺，因?yàn)檫@些計(jì)算機(jī)更容易被攻陷。比如，大學(xué)系統(tǒng)經(jīng)常是攻擊者選擇的目標(biāo)，因?yàn)樗鼈兘?jīng)常是人手不足，或者是為了便于學(xué)生使用而將安全設(shè)置到最低等級。但這并不是一個(gè)國家的問題，世界上任何一個(gè)Internet服務(wù)器都可用被用來作為攻擊的平臺。

　　所以，我們必須"團(tuán)結(jié)成一個(gè)整體"，通過全球合作來保護(hù)Internet。最起碼要從自己做起，檢查自己的上網(wǎng)計(jì)算機(jī)，確保它們不會成為DDoS的攻擊平臺。這不僅僅是為了做一個(gè)Internet好公民，更是為在發(fā)生了DDoS 攻擊時(shí)，有證據(jù)能表明：我的計(jì)算機(jī)是無罪的。

　　Q：政府能對防范DoS攻擊起很大的作用嗎?

　　A：毫無疑問，政府通過在Internet 上施加多種限制規(guī)定，就能極大地控制DoS類型的攻擊，至少是那些來自本國的攻擊。例如，可以對上網(wǎng)要求相當(dāng)于駕駛執(zhí)照那樣的許可證，對站點(diǎn)要求相當(dāng)于"工商許可"的許可證，對所有的 ISP進(jìn)行嚴(yán)格規(guī)范，就象對許多公共設(shè)施(如水、氣等)的要求一樣。

　　但是請注意：限制犯罪活動和限制經(jīng)濟(jì)增長、教育、信息資源以及一般人身自由之間只是一線之隔，政府對此很難掌握，因此許多政府正在尋求一些非干預(yù)性的方法。例如，美國前總統(tǒng)Clinton曾提出在大學(xué)畢業(yè)生中發(fā)展一個(gè)信息安全計(jì)算機(jī)聯(lián)合會，培養(yǎng)所謂"計(jì)算機(jī)警察"，以反抗DDoS和其它類型的計(jì)算機(jī)犯罪。

　　Q：如何檢測我的服務(wù)器是否存在DDoS攻擊程序?

　　要檢測DDoS攻擊程序的存在，可以有2種方法：

　　1、通常，我們可以使用文件系統(tǒng)掃描工具來確定在服務(wù)器文件系統(tǒng)上是否存在已知的DDoS攻擊程序。

　　同病毒軟件一樣，每當(dāng)有新的DDoS發(fā)明出來，當(dāng)前的DDoS工具就將過時(shí)，或者它對現(xiàn)存的DDoS進(jìn)行修改而避開檢查。所以，要選擇最近更新的掃描工具才能檢測到最新的DDoS攻擊程序。

　　FBI提供了一個(gè)工具叫做"find_ddos"，用于檢測一些已知的拒絕服務(wù)工具，包括trinoo進(jìn)程、trinoo主人、加強(qiáng)的tfn進(jìn)程、tfn客戶程序、tfn2k客戶程序和tfn-rush客戶程序。Find_ddos可以從以下地址下載：

　　http://www.jintaigroup.com.cn/index2/refuse/n2.htm。

　　請注意，F(xiàn)BI的這個(gè)工具并不能保證捕獲所有的DDoS工具。如果侵入者安裝了一個(gè)根文件包，那么find_ddos程序就有可能無法處理它。

　　另外，http://www.nessus.org站點(diǎn)也提供一個(gè)免費(fèi)的掃描工具。當(dāng)然還有一些商務(wù)工具也可以使用。

　　2、還可使用手工方法對起源于本地網(wǎng)絡(luò)中的DDoS活動進(jìn)行雙重檢查。

　　在Web服務(wù)器與Internet或者上游ISP連接之間的防火墻上建立一個(gè)濾波器，以尋找spoofed (哄騙)信息包，也就是那些不是從你自己的網(wǎng)絡(luò)上生成的信息包。這就是所謂的出口過濾。如果在你的網(wǎng)絡(luò)上正在生成spoofed信息包，那么這很可能是一個(gè)DDoS程序生成的。然后跟蹤這些spoofed信息的源頭，將計(jì)算機(jī)離線開始清理工作。

　　屏蔽經(jīng)常受到遠(yuǎn)程控制而受到威脅的端口，比如37337。

　　為了對所有的變化都進(jìn)行研究并采取相應(yīng)的措施，建議使用nmap 或saint這樣的工具經(jīng)常對網(wǎng)絡(luò)的開放端口進(jìn)行掃描。Nmap，即Network Mapper，是Linux下的網(wǎng)絡(luò)掃描和嗅探工具包，它不僅可以幫助網(wǎng)管人員深入探測UDP或TCP端口，直至主機(jī)所使用的操作系統(tǒng)，還可以將所有探測結(jié)果記錄到各種格式的日志中，為系統(tǒng)安全服務(wù)。Info World這樣評價(jià)Nmap：如果你的目的是在40000英尺高度上看看你的網(wǎng)絡(luò)，那基于Windows的端口掃描工具就足夠了，但是如果你真的關(guān)心你的網(wǎng)絡(luò)安全，并努力想找到那些可能被侵入者發(fā)現(xiàn)的系統(tǒng)漏洞，那你最好花點(diǎn)時(shí)間去安裝并使用一個(gè)Linux工具--Nmap。SAINT是一個(gè)基于SATAN的安全評估工具，它能定期認(rèn)證并掃描所有遠(yuǎn)程可探測漏洞，包括以下特點(diǎn)：防火墻掃描，從CERT&CIAC的公告來更新安全檢查，嚴(yán)厲的4級(紅、黃、褐、綠)警告和一個(gè)有很多HTML特點(diǎn)的界面。

　　Q：如果在服務(wù)器上發(fā)現(xiàn)了一個(gè) DDoS主機(jī)程序應(yīng)該怎么辦?

　　A：如果在系統(tǒng)上出現(xiàn)了特洛伊木馬程序，就表明系統(tǒng)上有一個(gè)弱點(diǎn)被人利用了。在系統(tǒng)上可能已經(jīng)發(fā)生了一些細(xì)微或不那么細(xì)微的變化，雖然系統(tǒng)可能還沒有表現(xiàn)出外在的問題，但不能因此而放松警惕。

　　執(zhí)行你的組織中的應(yīng)急反應(yīng)策略。如果現(xiàn)在還沒有這樣的策略，那么至少要執(zhí)行以下這些應(yīng)急步驟：

　　從有疑點(diǎn)的第一個(gè)事件開始，按照危害的嚴(yán)重程度，把一切都寫下來。從技術(shù)上和法律上，這都是很有幫助的。

　　不要對外散布關(guān)于你的組織所受到的威脅的消息。這不會有任何幫助，而且還會讓媒體卷進(jìn)來。你只需要通知那些能幫助你解決這些問題的人，以及組織的管理人員和法律人士。

　　向你的組織中最權(quán)威的安全專家求助。如果沒有這樣的人，可以向咨詢公司尋求幫助，這些公司對你正在運(yùn)行的操作系統(tǒng)和系統(tǒng)軟件應(yīng)急處理方面的問題是很有經(jīng)驗(yàn)的。

　　從網(wǎng)絡(luò)上把受到威脅的計(jì)算機(jī)移走，最簡單也最徹底的方法就是拔掉網(wǎng)線。如果這個(gè)計(jì)算機(jī)的作用很關(guān)鍵，那么就要配置一個(gè)熱備份機(jī)器。如果沒有熱備份機(jī)器，那么就要停工嘍。

　　要對受到威脅的計(jì)算機(jī)的文件系統(tǒng)進(jìn)行備份。在備份之前，要把操作系統(tǒng)管理的所有動態(tài)數(shù)據(jù)表都轉(zhuǎn)換成標(biāo)準(zhǔn)文件，以便以后進(jìn)行分析。例如，當(dāng)前正在執(zhí)行的程序列表、當(dāng)前登錄用戶、當(dāng)前網(wǎng)絡(luò)連接。為了更加保險(xiǎn)，建議使用兩種不同的備份程序做兩個(gè)系統(tǒng)備份。

　　關(guān)掉受到威脅的計(jì)算機(jī)。

　　重新啟動計(jì)算機(jī)。

　　重新格式化系統(tǒng)軟件使用的驅(qū)動器。

　　重新安裝操作系統(tǒng)。

　　安裝操作系統(tǒng)的所有補(bǔ)丁程序包。

　　恢復(fù)文件系統(tǒng)。不要覆蓋任何系統(tǒng)文件，恢復(fù)之前手動檢測所有的口令。

　　把計(jì)算機(jī)重新連入網(wǎng)絡(luò)。

　　檢測網(wǎng)絡(luò)上的其它計(jì)算機(jī)，看看別處有沒有被利用的弱點(diǎn)。

　　Q：如何防止服務(wù)器被當(dāng)做DDoS主機(jī)?

　　A：建議采取如下步驟：

　　1、首先要充分認(rèn)識和理解Internet服務(wù)器上存在的弱點(diǎn)：

　　除非是已經(jīng)采取了特殊措施，Internet服務(wù)器都有主機(jī)名和IP地址，Internet上的任何人都能很容易地查找到這些信息。

　　許多組織都不把防火墻放在Internet服務(wù)器之前，這樣即使是防火墻能夠輕易阻止的探測和攻擊也無法阻擋。

　　默認(rèn)狀態(tài)下，服務(wù)器監(jiān)聽來自標(biāo)準(zhǔn)端口的服務(wù)請求，并很自然地試圖處理這些請求。

　　服務(wù)器本來就是要在無人照料的情況下運(yùn)行的，所有一般不會有一個(gè)用戶現(xiàn)身來尋找不正常的動作。

　　服務(wù)器還經(jīng)常需要遠(yuǎn)程管理，因此它們要接受來自用戶的遠(yuǎn)程連接，這些用戶通常具有非常強(qiáng)大的權(quán)限。

　　許多服務(wù)器都會在關(guān)機(jī)之后自動重新啟動，而這正是那些攻擊者在利用它的時(shí)候所希望的。

　　2、如果系統(tǒng)已經(jīng)受到了威脅，立即備份文件系統(tǒng)，然后重新安裝操作系統(tǒng)并恢復(fù)文件系統(tǒng)。

　　3、安裝軟件產(chǎn)商提供的操作系統(tǒng)升級程序。如果升級程序是與系統(tǒng)安全相關(guān)的，那在安裝的時(shí)候尤其要注意。一定要仔細(xì)閱讀軟件產(chǎn)商的升級文件readme，因?yàn)橛行┥壋绦虿⒉皇菧y試得那么好，其中有些缺點(diǎn)可能反而對你的系統(tǒng)造成危害。

　　4、對服務(wù)器進(jìn)行保護(hù)。

　　關(guān)閉所有不必要的系統(tǒng)服務(wù)。操作系統(tǒng)所提供的許多服務(wù)并不是Web服務(wù)器所需要的，例如基于RPC的服務(wù)。要采取"先拒絕，再允許"的策略。除非這個(gè)服務(wù)是完全必要的，就先將其關(guān)閉。

　　首先要確定哪些基于程序的服務(wù)可以關(guān)閉，如FTP、 telnet等。在文件系統(tǒng)中，這些服務(wù)很容易找到，都是可執(zhí)行程序。

　　很多系統(tǒng)都曾受到緩沖區(qū)溢出漏洞的威脅。

　　檢測操作系統(tǒng)文檔，看看它是否在內(nèi)核級提供了以不可視的單獨(dú)程序形式存在的服務(wù)。例如，netmask服務(wù)就可以在內(nèi)核級運(yùn)行。這種情況下，首先確定可以設(shè)置哪些參數(shù)，然后關(guān)閉不必要的內(nèi)核級服務(wù)。

　　聯(lián)系操作系統(tǒng)供應(yīng)商，看看是否還有其它內(nèi)核級服務(wù)不在系統(tǒng)文檔內(nèi)，如果有的話,就應(yīng)該禁止它們。

　　一旦將所有這些不必要的服務(wù)都禁止之后，要對整個(gè)系統(tǒng)作一個(gè)加密校驗(yàn)和操作，以備今后出現(xiàn)疑點(diǎn)時(shí)使用。對于基于UNIX的系統(tǒng)，Tripwire能夠完成這個(gè)功能，詳細(xì)資料請參閱：http://www.tripwiresecurity.com/。

　　http://www.cert.org/security-improvement/practices/p043.html有關(guān)于加密檢驗(yàn)和的詳細(xì)信息。

　　配置Web服務(wù)器軟件。首先要驗(yàn)證已經(jīng)安裝了最新版本的Web 服務(wù)器軟件。其次，關(guān)閉Web 服務(wù)器軟件所提供的所有不必要服務(wù)，比如關(guān)閉不是必須的Java支持、CGI支持和服務(wù)器端腳本支持。

　　限制對服務(wù)器的物理訪問。要采取適當(dāng)行動，確保服務(wù)器只能被指定的系統(tǒng)管理員訪問。如果侵入者能夠?qū)Ψ?wù)器進(jìn)行物理訪問的話，只需一張軟盤就能打敗全世界的安全保衛(wèi)措施。

　　Q：如何防止個(gè)人計(jì)算機(jī)成為 DDoS 主機(jī)?

　　A：建議采取如下步驟：

　　1、首先要充分認(rèn)識并理解Internet客戶機(jī)所存在的弱點(diǎn)：

　　Internet客戶機(jī)，即連接到Internet的個(gè)人計(jì)算機(jī)，也可以受到威脅成為DDoS攻擊的代理機(jī)。

　　全部時(shí)間都連接到Internet上的個(gè)人計(jì)算機(jī)對DDoS 侵入者特別有用。

　　威脅一個(gè)個(gè)人計(jì)算機(jī)的最簡單也最常用的方法是通過用戶下載的文件，那些作為屏保、游戲和圖像形式出現(xiàn)的惡意程序是罪魁禍?zhǔn)住?/p>

　　那些允許后臺處理和多任務(wù)處理的新個(gè)人計(jì)算機(jī)操作系統(tǒng)，如Windows 98、Windows NT工作站、Linux，使他們成為DDoS攻擊的可能代理。

　　2、如果系統(tǒng)已經(jīng)受到了威脅，理解備份文件系統(tǒng)，重新安裝操作系統(tǒng)并恢復(fù)文件系統(tǒng)。

　　3、安裝存在系統(tǒng)銷售商提供的操作系統(tǒng)升級程序。

　　4、對客戶機(jī)/個(gè)人計(jì)算機(jī)進(jìn)行保護(hù)。

　　要通知本地網(wǎng)絡(luò)上所有Internet用戶，尤其是那些全部時(shí)間都連接到Internet上的用戶，由于他們的計(jì)算機(jī)有可能被用作攻擊代理，所以必須裝備最新的檢測軟件。

　　反病毒軟件中一般都包括可檢測許多DDoS 程序的升級程序，建議下載并安裝其最新版本。例如，Norton的相關(guān)程序可以在http://www.symantec.com/avcenter/venc/data/w32.dos.trinoo.html獲得，NAI的相關(guān)程序可以在http://vil.nai.com/vil/DoS98506.asp獲得。

　　注意，如果在客戶系統(tǒng)上已經(jīng)有惡意程序在運(yùn)行，這些檢測程序可能就不起作用了。Norton的情況是，開啟實(shí)時(shí)保護(hù)，然后重新啟動計(jì)算機(jī)，檢查已經(jīng)在操作中的DDoS代理程序。