完全了解DDoS攻击 企业、个人如何避免防范DDoS
上周一场阻断服务攻击(DoS)导致Twitter断线数小时、Facebook、LiveJournal与Google Sites及Blogger都大受影响,这可不是一般的网络攻击。
一般而言,有心人士若想针对某个网站袭击,一定会召集一批已经被劫持的电脑,联手让特定网站不堪负荷而断线。但在这次的事件中,幕后者的作法却是针对特定使用者帐号,而非网站本身。
阻断服务攻击(DOS)不见然都是这么直接了当的,这次攻击就有其独到之处,以下我们来看看整个经过。
何谓阻断服务攻击?
阻断服务攻击(denial-of-service ,简称DoS )主要是要干扰网站的访问或互联网服务。比较常见的攻击手法是用大量的通讯请求来瘫痪目标服务器,如此正常的流量就无法通过。这可让目标网站挂掉,或者至少让该网站速度暂时变慢。
但所谓的DoS攻击不全然是以网站为主,若有人把你电脑插头拔掉,这也算是很基本的DoS攻击。
何谓分散式阻断服务攻击(DDoS)?
由于网站本身通常得处理很大的流量,因此若要攻击服务器,必须同时动用上百万的通讯请求(故称之分散式)才可能对网站性能产生一定的影响。在DDos攻击中,同时会有数十万台,甚至上百万台的电脑同时连续发送流量至目标网站。一如Sophos的Graham Cluley在他的博客中所写的,“这很像派出15名大胖子同时间一起挤入旋转门,结果就是谁也动不了。”
何谓botnet(俗称僵尸网络)?
被用来进行DDos攻击的中毒电脑会组成一个僵尸网络。个别已经被入侵中毒的电脑称为傀儡(bots)、僵尸(zombies)或者仆人(slaves),他们全受远端的主人(攻击发起者)所操控。攻击者通过一台指令/控管服务器来发出指令给僵尸电脑,通常采用的是IRC(Internet Relay Chat)。僵尸网络也可用来散布垃圾邮件。有些更先进的僵尸网络则是借由P2P来发送指令(比如Conficker)。
我的电脑怎么会变成僵尸?
有多种方式,比较常见的是通过发送垃圾邮件,里面夹带有毒程序或恶意链接。这类恶程序有可能是蠕虫、木马,或者后门,一旦你开启电子邮件的附件或按下信中的链接,恶意程序就会自动安装在你的电脑中。另外还有一种所谓的随机下载安装(drive-by downloads)模式,亦即在网站中隐藏恶意程序,若你的浏览器有漏洞没有修补,且又造访这类不肖网站,它就会在你不知情的情况下自动下载并安装恶意程序。
电脑用户多半不会知道自己的电脑已经被攻破,成了僵尸网络的一环;而若有心犯罪者也不需自己动手去破解你的电脑,他只要出钱去租就有了。最近Finjan一份研究显示,有个地下网络组织有提供僵尸网络的租赁,一台僵尸电脑计价为5美分至10美分。
这回攻击Twitter的DDos攻击是怎么回事?
多数DoS攻击都是瞄准网站,但上周四的攻击却是瞄准特定人士在不同网站的帐号,被瞄准的对象是一位格鲁吉亚博客,网络帐号名称是Cyxymu,他在Twitter、Facebook、LiveJournal、与Google的Blogger网站/YouTube都有帐号。受害的网站一起联手调查,发现此番攻击的对象原来就是Cyxymu,至于背后原因还不详。
要把网站弄到挂点需要多少台僵尸电脑?
这得看目标网站的资源、服务器与带宽等因素而定。一般网站可能得动用到2万5000台至5万台僵尸电脑才打得下来,规模小一点的网站则只需1万台即可,安全专家Kevin Stevens如此表示。
追查得到是谁发起DoS攻击的吗?
除非有人出面承认,否则这类DoS攻击都难以追查幕后人,这是因为攻击者都是通过proxy来发出流量,因此无法直接追查到源头,即使调查员有办法查到某台僵尸电脑也没辄,更何况僵尸电脑也可能是位于海外。
比如前阵子发生美国与韩国政府网站遭到DoS攻击,至今成因依然是个谜。
DoS攻击的杀伤力有多强?
DoS会造成目标网站完全断线,导致网友在某段期间内无法访问,比如这次的Twitter这样,也或者只影响局部性能,让网站速度变慢。
DDoS要如何避免或防范?
这没有百分之百的保险方式,公司可以做的是降低风险,比如多买一点服务器跟带宽,并把内容放在备援服务器上。企业也可限制Web服务器同一时间的连线数量,并设定防火墙来拦阻DDos攻击擅于采用的特定类型资料。
另外,企业还可要求ISP限定带宽,并拦下来自攻击方的IP地址。有些厂商有提供DoS侦测软件,网站也可设定让服务器去侦测流量模式,并自动挡下涉及攻击的IP地址。
一旦攻击发生后,公司可尝试把流量导引至无效的IP地址,或称黑洞,趋势科技的David Perry如此表示。
更多DDoS这方面趋吉避凶的资讯可参考SANS网站或US-CERT网站。
个人要如何避免自己的电脑成为DDos攻击的帮凶?
要避免电脑沾上任何恶意程序,你必须安装最新的软件补丁程序(包括操作系统),更新杀毒软件等安全软件,考虑让浏览器自动安装更新程序,同时在开启附件文档或造访网站时要特别谨慎。