拒绝服务DDoS攻击方式分析及防御策略的部署
2008-07-04 中国安全信息网
拒绝服务是一种技术含量低,但攻击效果明显的攻击方式,受到这种攻击时,服务器或网络设备长时间不能正常提供服务,并且由于某些网络通讯协议本身固有的缺陷,难以提出一个行之有效的解决办法。
我们的一些关键应用,如电子商务、电子政务越来越多地依赖于互联网进行实施。在当前条件下,如何保障关键应用的不间断服务,尤其是如何防御拒绝服务攻击,具有相当重要的意义。
安全漏洞成罪魁祸首
引用《信息系统安全导论》一书里的定义,拒绝服务攻击就是使信息或信息系统的被利用价值和服务能力下降或丧失的攻击。当然,我们这里所说的攻击主要是通过网络来实现的攻击。可以这么理解,凡是导致合法用户不能访问正常网络服务的行为都算是拒绝服务攻击,也就是说拒绝服务攻击的目的非常明确,就是要阻断合法用户对正常网络资源的访问,从而达到攻击者不可告人的目的。
拒绝服务攻击通常基于网络协议的缺陷或者软件系统的安全漏洞发起。典型的拒绝服务攻击以资源耗尽和流量过载为主要表现形式。当一个对资源的合理请求大大超过服务的承受能力时就会造成拒绝服务攻击,这些资源包括网络带宽、文件系统空间容量、开放的进程或者内向的连接。
应对出新招
拒绝服务是一种相当难以防范的攻击,防范拒绝服务攻击需要我们从全局去部署防御拒绝服务攻击策略,多种策略联动防范,将拒绝服务攻击的危害降至最低,以下总结了多种防范策略的部署方案。
升级操作系统以及各种网络应用程序,及时安装各种补丁,安全设置服务器及网络设备,避免由于软件缺陷或者用户设置不当造成的拒绝服务攻击;优化路由器设置,关闭不需要的服务,保障路由器自身安全;保障DNS关键应用不受拒绝服务攻击,通过设置安全策略的方式,限制DNS非授权访问,设置多台辅助DNS服务器。对WEB等应用采用DNS轮询或者负载均衡方式增加抗拒绝服务能力;在条件不许可的情况下,可以使用多IP主机的方式。优化服务器或者应用程序本身,比如Windows 2000和Windows server 2003操作系统,就具备一定的抵抗拒绝服务攻击的能力,只是默认状态下没有开启,开启的话自身就可以抵御10000个SYN攻击包,若没有开启仅能抵御数百个攻击包。
对于WEB服务,应尽量避免使用数据库连接,必须使用数据库时,应在调用数据库的脚本中拒绝使用代理的访问,防止针对数据的连接耗尽型攻击。同时,大量事实证明,把网站做成静态页面,不仅能大大提高抗攻击能力,同时也大大减少了服务器的负荷开销。升级网络带宽,抵御带宽耗尽型攻击。升级网络设备,使网络设备不至于在受到攻击时成为瓶颈。升级服务器,提高服务器处理性能。部署专用抗拒绝服务攻击设备,以及IDS入侵监测系统。与网络服务商协作,阻断攻击发起点的网络连接。现阶段对于层出不穷的拒绝服务攻击并没有100%有效的防御手段,但我们应采取主动措施,未雨绸缪,通过分析各种拒绝服务攻击的方式,深入地了解拒绝服务攻击,积极部署防御措施,完全能够缓解和抵御此类安全威胁。