據(jù)國外媒體報道，一組來自格勒諾布爾理工學(xué)院和CTP 法國紙業(yè)技術(shù)中心的科學(xué)研究人員已經(jīng)成功研發(fā)出一種新型的抗WiFi 墻紙，該種墻紙將于2013年上市發(fā)售。這種新型的抗WiFi 墻紙看起來和像普通的墻

據(jù)國外媒體報道，一組來自格勒諾布爾理工學(xué)院和CTP 法國紙業(yè)技術(shù)中心的科學(xué)研究人員已經(jīng)成功研發(fā)出一種新型的抗WiFi 墻紙，該種墻紙將于2013年上市發(fā)售。這種新型的抗WiFi 墻紙看起來和像普通的墻紙區(qū)別不大，但是它內(nèi)部包涵的是銀納米粒子，該粒子使得墻紙可以同時濾出高達(dá)3種不同的頻率。

不過，這種技術(shù)并不是首次面世的，2004年的時候，BAE Systems公司曾經(jīng)受命英國通信辦公室推出過類似的解決方案，當(dāng)時的墻紙采用的是銅納米粒子，在隔絕WiFi 信號的同時，允許GSM ，4G 信號穿過墻紙，可惜售價很高，一平方米大約500英鎊。

相比之下，法國科學(xué)家最新研發(fā)的WiFi 墻紙的售價要合理許多，格勒諾布爾理工學(xué)院的一名科研人員稱，抗WiFi 墻紙的售價將只會比市場上中端普通墻紙貴一點(diǎn)。而且抗WiFi 墻紙除了可以用在四周的墻壁之外，還可以用于地板以及天花板，進(jìn)一步防止WiFi 信號泄露，提高網(wǎng)絡(luò)安全性。

消息還報道稱，這種墻紙除了能夠有效阻止黑客監(jiān)測網(wǎng)絡(luò)，提升安全性之外，其實(shí)還可以在醫(yī)院或者其他將WiFi 視為有害物質(zhì)的地方使用。

隨著計算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展，對惡意攻擊包的消化處理能力增強(qiáng)，一對一的Dos 攻擊基本失效；高速廣泛連接的網(wǎng)絡(luò)，也使得傀儡機(jī)的選擇范圍更大更靈活。分布式拒絕服務(wù)攻擊手段DDos 利用更多的傀儡機(jī)發(fā)起更大規(guī)模的進(jìn)攻，通過向服務(wù)器提交大量請求，使其過載，干擾甚至阻斷正常的網(wǎng)絡(luò)通信。

清理攻擊機(jī)上的日志是個龐大的工程，如果弄不干凈，容易揪出黑客；如果控制用的是傀儡機(jī)，從控制機(jī)找到黑客的可能性大大降低，清理日志也輕松得多。

攻擊目標(biāo)時，黑客需要了解的有被攻擊目標(biāo)主機(jī)的數(shù)目、地址、配置、性能和帶寬。一個大的網(wǎng)站很可能有多臺主機(jī)利用負(fù)載均衡技術(shù)提供一個網(wǎng)站的www 服務(wù)，舉個例子，66.218.71.89/88/81/83/84/86都提供服務(wù)，如果進(jìn)行DDos 攻擊，應(yīng)該攻擊哪個地址？如果使87癱掉，其他主機(jī)還能提供服務(wù)，如果要使訪問不到該網(wǎng)站，就必須是這些IP 地址的機(jī)器都癱掉。而每個IP 地址往往代表數(shù)臺機(jī)器，使用了4層或者7層交換機(jī)來做均衡負(fù)載。所以事先搜集情報對DDos 攻擊者是至關(guān)重要的，判斷使用多少傀儡機(jī)才能生效；但實(shí)際中黑客多半不進(jìn)行情報搜集直接進(jìn)行DDos 攻擊。

攻擊發(fā)生后，網(wǎng)站上不去了，但可以訪問到管理界面，執(zhí)行命令：

netstat-antp

看到有大量的鏈接存在著，并且都是ESTABLISHED 狀態(tài)，正常狀態(tài)下我們的網(wǎng)站訪問量沒有這么高，這樣的情況處理比較簡單，這是一次四層的攻擊，也就是所有ip 都是真實(shí)的，由于目前為止只是消耗了webserver 的網(wǎng)絡(luò)連接資源，所以只需要簡單的將這些ip 在網(wǎng)絡(luò)層封禁就可以

然后一分鐘執(zhí)行一次即可，很快，iptables 的封禁列表就充斥了大量的封禁ip ，為了保證系統(tǒng)的性能，調(diào)大系統(tǒng)的可接受的連接數(shù)以及對Nginx 進(jìn)行了每個連接能夠進(jìn)行的請求速率，系統(tǒng)恢復(fù)正常的運(yùn)行。

正常狀態(tài)一直持續(xù)到第二天，但是到中午之后發(fā)現(xiàn)網(wǎng)絡(luò)很慢，使用ping 發(fā)現(xiàn)大概出現(xiàn)了70左右的丟包，在艱難的登陸到系統(tǒng)上之后，發(fā)現(xiàn)系統(tǒng)已經(jīng)很少有TCP 的正常連接，為了查明原因，我們對系統(tǒng)進(jìn)行了抓包：

tcpdump -w tmp.pcap port not 22

tcpdump -r tmp.pcap -nnA

我們發(fā)現(xiàn)攻擊已經(jīng)從應(yīng)用層的攻擊調(diào)整到了網(wǎng)絡(luò)層的攻擊，大量的目標(biāo)端口是80的udp 和icmp 包以極快的速度充滿了網(wǎng)絡(luò)，一個包大小大概在1k 左右，這次占據(jù)的資源純粹是帶寬資源了，即使在系統(tǒng)上做限制也解決不了這個問題，不過也沒有關(guān)系，對于網(wǎng)絡(luò)層的問題我們可以在網(wǎng)絡(luò)層上做限制，我們只需要在網(wǎng)絡(luò)上把到達(dá)我們ip 的非TCP 的所有包如UDP 和ICMP 等協(xié)議都禁止掉即可，但是我們沒有自己的服務(wù)器也缺乏對網(wǎng)絡(luò)設(shè)備的控制權(quán)，目前是由工信部CERT 提供支持的，由于臨時無法協(xié)調(diào)進(jìn)行相應(yīng)的操作，后果如大家看到，我們的服務(wù)很慢，基本上停止了服務(wù)，在一段時間之后攻擊者停止了攻擊，服務(wù)才進(jìn)行了恢復(fù)，

很憋屈是么？但是同時我們得到了很多熱心朋友的幫助，得到了更好的網(wǎng)絡(luò)和服務(wù)器資源，在網(wǎng)絡(luò)資源方面的能力得到了很大的提升，緩解了這方面的問題，這里對他們表示感謝。

三常見ddos 攻擊及防御

繼續(xù)秉承80sec 的”Know it then hack it”，這里簡單談一下ddos 攻擊和防御方面的問題。ddos 的全稱是分布式拒絕服務(wù)攻擊，既然是拒絕服務(wù)一定是因?yàn)槟承┰蚨Ｖ狗?wù)的，其中最重要的也是最常用的原因就是利用服務(wù)端方面資源的有限性，這種服務(wù)端的資源范圍很廣，可以簡單的梳理一個請求正常完成的過程：

1用戶在客戶端瀏覽器輸入請求的地址

2瀏覽器解析該請求，包括分析其中的dns 以明確需要到達(dá)的遠(yuǎn)程服務(wù)器地址

3明確地址后瀏覽器和服務(wù)器的服務(wù)嘗試建立連接，嘗試建立連接的數(shù)據(jù)包通過本地網(wǎng)絡(luò)，中間路由最終艱苦到達(dá)目標(biāo)網(wǎng)絡(luò)再到達(dá)目標(biāo)服務(wù)器

4網(wǎng)絡(luò)連接建立完成之后瀏覽器根據(jù)請求建立不同的數(shù)據(jù)包并且將數(shù)據(jù)包發(fā)送到服務(wù)器某個端口 5端口映射到進(jìn)程，進(jìn)程接受到數(shù)據(jù)包之后進(jìn)行內(nèi)部的解析

6請求服務(wù)器內(nèi)部的各種不同的資源，包括后端的API 以及一些數(shù)據(jù)庫或者文件等

7在邏輯處理完成之后數(shù)據(jù)包按照之前建立的通道返回到用戶瀏覽器，瀏覽器完成解析，請求完成。 上面各個點(diǎn)都可以被用來進(jìn)行ddos 攻擊，包括：

1某些著名的客戶端劫持病毒，還記得訪問百度跳搜狗的事情么?

2某個大型互聯(lián)網(wǎng)公司發(fā)生的dns 劫持事件，或者直接大量的dns 請求直接攻擊dns 服務(wù)器，這里可以使用一些專業(yè)的第三方dns 服務(wù)來緩解這個問題，如Dnspod

3利用建立網(wǎng)絡(luò)連接需要的網(wǎng)絡(luò)資源攻擊服務(wù)器帶寬使得正常數(shù)據(jù)包無法到達(dá)如udp 的洪水攻擊，消耗前端設(shè)備的cpu 資源以使得數(shù)據(jù)包不能有效轉(zhuǎn)發(fā)如icmp 和一些碎片包的洪水攻擊，消耗服務(wù)器方建立正常連接需要的資源如synflood 或者就是占用大量的連接使得正常的連接無法發(fā)起，譬如這次的TCPflood 4利用web server的一些特點(diǎn)進(jìn)行攻擊，相比nginx 來說，apache 處理一個請求的過程就比較笨重。 5利用應(yīng)用程序內(nèi)部的一些特性攻擊程序內(nèi)部的資源如mysql ，后端消耗資源大的接口等等，這也就是傳統(tǒng)意義上的CC 攻擊。

這里涉及到攻防的概念，但是實(shí)際上如果了解對方的攻擊點(diǎn)和攻擊手法，防御會變成簡單的一個拼資源的過程，不要用你最弱的地方去抗人家最強(qiáng)的地方，應(yīng)該從最合適的地方入手把問題解決掉，譬如在路由器等設(shè)備上解決應(yīng)用層攻擊就不是一個好的辦法，同理，在應(yīng)用層嘗試解決網(wǎng)絡(luò)層的問題也是不可能的，簡單來說，目標(biāo)是只讓正常的數(shù)據(jù)和請求進(jìn)入到我們的服務(wù)，一個完善的防御體系應(yīng)該考慮如下幾個層面：

1作為用戶請求的入口，必須有良好的dns 防御

2與你的價值相匹配的帶寬資源，并且在核心節(jié)點(diǎn)上布置好應(yīng)用層的防御策略，只允許你的正常應(yīng)用的網(wǎng)絡(luò)數(shù)據(jù)包能夠進(jìn)入，譬如封殺除了80以外的所有數(shù)據(jù)包

3有支持你的服務(wù)價值的機(jī)器集群來抵抗應(yīng)用層的壓力，有必要的話需要將一個http 請求繼續(xù)分解，將連接建立的過程壓力分解到其他的集群里，這里似乎已經(jīng)有一般的硬件防火墻能做這個事情，甚至將正常的http 請求解析過程都進(jìn)行分解，保證到達(dá)后端的是正常的請求，剔除掉畸形的請求，將正常的請求的請求頻度等行為進(jìn)行記錄和監(jiān)控，一旦發(fā)生異常就在這里進(jìn)行應(yīng)用層的封殺

每個公司都有自己對自己價值的評估從而決定安全投入上的大小，每一次攻擊也會涉及到利益的存在，正如防御因?yàn)榉N種原因譬如投入上的不足和實(shí)施過程中的不完美，有著天生的弱點(diǎn)一樣，攻擊也是有著天生的弱點(diǎn)的，因?yàn)槊恳淮喂羯婕暗讲煌沫h(huán)節(jié)，每個環(huán)節(jié)都可能由不同水平的人完成，他所擁有的資源，他使用的工具和技術(shù)都不會是完美的，所以才有可能進(jìn)行防御，另外，我相信進(jìn)行DDOS 攻擊的人是一個固定的行業(yè)，會有一些固定的人群，對于其中使用的技術(shù)，工具，資源和利益鏈都是比較固定的，與之相對的是各個企業(yè)卻缺乏相應(yīng)的溝通，以個人企業(yè)對抗一個產(chǎn)業(yè)自然是比較困難，而如果每一個企業(yè)都能將自己遭受攻擊時的經(jīng)驗(yàn)分享出來，包括僵尸網(wǎng)絡(luò)的大小及IP 分布，攻擊工具的特征，甚至有能力的可以去分析背后的利益點(diǎn)及操作者，那么每一次攻擊都能讓大家的整體防御能力上升，讓攻擊者的攻擊能力有損失，我們很愿意來做這個事情。

四根源及反擊

我困惑的是一點(diǎn)，攻擊我們并不能得到實(shí)際的好處為什么還是有人來攻擊，而且聽說其他公司都有被攻擊的情況，我覺得有一點(diǎn)原因就是攻擊我們的確得不到什么好處，但是實(shí)際上攻擊者也并不損失什么，無論是資源上還是法律風(fēng)險上，他不會因?yàn)橐淮喂舳鴵p失太多，而相比之下，服務(wù)提供者損失的東西卻太多了，這從經(jīng)濟(jì)學(xué)角度來講就是不平衡的，我們處于弱勢。

一般而言，的確對于作惡者是沒有什么懲罰措施，但是這次，我們覺得我們是可以做一些事情的，我們嘗試挖掘背后的攻擊者，甚至清除這個僵尸網(wǎng)絡(luò)。

首先這次攻擊起源于應(yīng)用層的攻擊，所以所有的ip 都是真實(shí)的，經(jīng)過與CERT 溝通，也發(fā)現(xiàn)這些ip 都是韓國的，并且控制端不在國內(nèi)，因?yàn)槠陂g沒有與國內(nèi)有過通訊，即使在后面換成了udp icmp的flood ，但是依然是那些韓國的ip ，這很有意思，正常情況下udp icmp的數(shù)據(jù)包是可以偽造的，但是這里居然沒有偽造，這在后面大概被我們證實(shí)了原因。

這些ip 是真實(shí)存在的ip ，而且這些ip 肯定在攻擊完我們之后一定依然跟攻擊者保持著聯(lián)系，而一般的聯(lián)系方式因?yàn)樾枰刂频姆奖愣际莇ns 域名，既然如此，如果我們能挖掘到這個dns 域名我們就可能間接的挖掘出真正幕后黑手在哪里。首先，我們迅速的找出了這次攻擊ip 中開放了80端口的機(jī)器，因?yàn)槲覀儗?0端口上的安全問題比較自信，應(yīng)該很快可以獲知這些ip 背后的細(xì)節(jié)（80sec 名稱由來），我們發(fā)現(xiàn)大部分是一些路由器和一些web 的vpn 設(shè)備，我們猜測這次攻擊的主要是韓國的個人用戶，而個人用戶的機(jī)器操作系統(tǒng)一般是windows 所以在較高版本上發(fā)送數(shù)據(jù)包方面可能有著比較大的限制，這也解釋了為什么即使是udp icmp的攻擊我們看到的大都是真實(shí)ip 。發(fā)現(xiàn)這些路由設(shè)備之后我們嘗試深入得更多，很快用一些弱口令譬如admin/admin登陸進(jìn)去，果然全世界的網(wǎng)民都一樣，admin/admin是天生的入口。

登陸進(jìn)去一些路由之后我們發(fā)現(xiàn)這些路由器里面存在一個功能是設(shè)置自己的dns ，這意味著這下面的所有dns 請求都可以被定向到我們自己設(shè)置的dns 服務(wù)器，這對于我們?nèi)チ私鈨?nèi)部網(wǎng)絡(luò)的細(xì)節(jié)會很有用，于是我們建立了一個自己的dns 服務(wù)器，并且開啟了dns 請求的日志功能以記錄所有請求的細(xì)節(jié)。我們大約控制了20臺路由器的dns 指向，并且都成功重定向到我們自己的服務(wù)器。

剩下的就是簡單的數(shù)據(jù)分析，在這之前我們可以對僵尸網(wǎng)絡(luò)的控制域名做如下的猜測：

1這個dns 應(yīng)該為了靈活的控制域名的緩存時間TTL 一般不會特別長

2這個dns 應(yīng)該是定期的被請求，所以會在dns 請求里有較大的出現(xiàn)比例

3這個dns 應(yīng)該是為了控制而存在的，所以域名不應(yīng)該在搜索引擎以及其他地方獲得較高的訪問指數(shù)，這與2中的規(guī)則配合起來會比較好確定，是一個天生的矛盾。

4這個dns 應(yīng)該在各個路由下面都會被請求

這些通過簡單的統(tǒng)計就很容易得出答案，我們發(fā)現(xiàn)了一些3322的通用惡意軟件域名但是發(fā)現(xiàn)它并不是我們需要的，因?yàn)橹挥猩贁?shù)機(jī)器去訪問到，經(jīng)過一些時間之后最后我們發(fā)現(xiàn)一個域名訪問量與naver （韓國的一個門戶）的訪問量持平，workgroup001.snow****.net，看起來似乎對自己的僵尸網(wǎng)絡(luò)管理很好嘛，大概有18臺機(jī)器訪問過這個域名，這個域名的主機(jī)托管在新加坡，生存時間TTL 在1800也就是半小時，這個域名在所有的搜索引擎中都不存在記錄，是一個韓國人在godady 一年前才注冊的，同時我們訪問這個域名指向主機(jī)的3389，簡單的通過5下shift 就判斷出它上面存在著一個典型的windows 后門，似乎我們找到它了，不是么？經(jīng)過后續(xù)的觀察，一段時間后這個域名指向到了127.0.0.1，我們確信了我們的答案,workgroup001.snow****.net，看起來似乎對自己的僵尸網(wǎng)絡(luò)管理很好嘛：）

這是一次典型的ddos 攻擊，攻擊之后我們獲得了參與攻擊的主機(jī)列表和控制端的域名及ip ，相信中國和韓國的cert 對于清理這次的攻擊源很有興趣，我們是有一些損失，但是攻擊者也有損失了（大概包括一個僵尸網(wǎng)絡(luò)及一個控制端域名，甚至可能包括一次內(nèi)部的法律調(diào)查），我們不再是不平等的了，不是么？ 五總結(jié)

正如一個朋友所講的，所有的防御是不完美的正如攻擊是不完美的一樣，好的防御者在提升自己的防御能力趨于完美的同時也要善于尋找攻擊者的不完美，尋找一次攻擊中的漏洞，不要對攻擊心生恐懼，對于Ddos 攻擊而言，發(fā)起一次攻擊一樣是存在漏洞的，如果我們都能夠擅長利用其中的漏洞并且抓住后面的攻擊者那么相信以后的ddos 攻擊案例將會減少很多，在針對目標(biāo)發(fā)起攻擊之前攻擊者也會做更多的權(quán)衡，損失，利益和法律。

在DDoS 攻擊下保護(hù)DNS

2012-03-14 11:08 佚名 ZDNet 攻擊防范 我要評論(2) 字號： |

如果你的服務(wù)器主機(jī)中運(yùn)行了DNS 服務(wù)，那么一定要小心DdoS 這個很現(xiàn)實(shí)的攻擊行為。而如果你的DNS 服務(wù)遭受到了DdoS 攻擊，那么可以想象，最低的損失也是丟失電子郵件和暫停Web 服務(wù)。

AD ：

51CTO 云計算架構(gòu)師峰會 搶票進(jìn)行中！

如果你的服務(wù)器主機(jī)中運(yùn)行了DNS 服務(wù)，那么一定要小心DdoS 這個很現(xiàn)實(shí)的攻擊行為。而如果你的DNS 服務(wù)遭受到了DdoS 攻擊，那么可以想象，最低的損失也是丟失電子郵件和暫停Web 服務(wù)。而如果你的DNS 服務(wù)主機(jī)位于企業(yè)內(nèi)部，并且與企業(yè)用戶的網(wǎng)絡(luò)瀏覽等服務(wù)共用網(wǎng)絡(luò)連接，那么一旦遭受DdoS 攻擊，就意味著整個企業(yè)的網(wǎng)絡(luò)服務(wù)暫停了。就算你的DNS 服務(wù)只是用于測試或其它有限的目的，一旦被攻擊，所波及的范圍也會很廣。

其它會威脅到DNS 的情況還包括對外網(wǎng)開啟FTP 服務(wù)，這個服務(wù)本來不應(yīng)該從企業(yè)內(nèi)部對外開放的。因?yàn)楣芾韱T都明白，一旦你這樣做了，黑客和各種機(jī)器人程序會通過各種手段，包括暴力破解方式，來取得FTP 的賬戶和密碼。就算你采用了很復(fù)雜的密碼，當(dāng)多個暴力破解程序運(yùn)行時，由此產(chǎn)生的失敗的FTP 訪問流量就足以耗光網(wǎng)絡(luò)資源。

總之，企業(yè)自己搭建和管理DNS 總會存在一定程度的安全風(fēng)險。換句話說，目前公認(rèn)的較好的解決方案就是DNS 服務(wù)托管。對于那些還沒有為自己管理DNS 服務(wù)做好萬全準(zhǔn)備的企業(yè)來說，唯一的建議就是找個信任ISP 或其它專業(yè)的托管機(jī)構(gòu)，將這個事兒交給他們?nèi)プ觥?/p>

DDoS 攻擊親身體驗(yàn)

之所以撰寫這篇文章，也是因?yàn)槲医?jīng)歷了一場真實(shí)的DdoS 攻擊。當(dāng)時的受害者是位于北美的一個小辦公室，擁有一個DSL 路由器和一個靜態(tài)IP 地址。辦公室的服務(wù)器對外開啟了DNS 。被攻擊的早期征兆有兩點(diǎn)，一是接收到的電子郵件數(shù)量比平時有所下降，二是Web 瀏覽速度下降。在經(jīng)過幾天的不良癥狀后，該辦公室再也收不到來自外界的電子郵件了，同時也無法進(jìn)行網(wǎng)絡(luò)瀏覽了。使用最簡單的ping 命令到互聯(lián)網(wǎng)大型網(wǎng)站地址，得到的結(jié)果要么是失敗，要么就是超過1000ms 的響應(yīng)時間，這也基本算是無法連接了。

很明顯此時有某個網(wǎng)絡(luò)進(jìn)程充斥在DSL 連接中。辦公室中的每臺電腦都關(guān)機(jī)重啟了，并沒有解決問題。重啟DSL 也沒有解決問題。但是在重啟DNS 服務(wù)器后，會有短暫的時間恢復(fù)到正常的互聯(lián)網(wǎng)連接狀態(tài)，幾分鐘后，這種正常的連接速度再次變得不正常，并很快無法連接任何網(wǎng)站?？紤]到可能是電子郵件系統(tǒng)或基于Web 的進(jìn)程出現(xiàn)故障，便先后將服務(wù)器中的Exchange 服務(wù)和Web 服務(wù)關(guān)停，但是沒有效果。在接下來的逐項嘗試中，我們發(fā)現(xiàn)關(guān)閉DNS 服務(wù)會產(chǎn)生明顯的效果，于是我們最終將問題鎖定在DNS 服務(wù)上。

但是DNS 服務(wù)的日志中并沒有任何警告事件，而且服務(wù)器本身也安裝了最新的補(bǔ)丁，包括DNS 服務(wù)補(bǔ)丁和DoS 溢出補(bǔ)丁。另一個找尋線索的位置就是防火墻的日志文件。雖然這個辦公室的防火墻沒有歷史日志文件，但是我們可以查看選定網(wǎng)絡(luò)協(xié)議的實(shí)時日志。從實(shí)時的防火墻日志可以觀察到，有兩個互聯(lián)網(wǎng)上的IP 地址在不斷向辦公室的服務(wù)器發(fā)送DNS 請求數(shù)據(jù)。這兩個IP 地址所代表的服務(wù)器都位于歐洲，分別屬于兩個不同的國家，但是它們都在向這個相同的DNS 服務(wù)地址發(fā)送大量的數(shù)據(jù)。如果有兩個或兩個以上的遠(yuǎn)程地址在進(jìn)行DoS 攻擊，就可以將其歸類為DDoS 攻擊，即分布式DoS 攻擊。。

在DDoS 攻擊下保護(hù)DNS

一旦你知道了攻擊方的IP 地址，就可以簡單在防火墻中設(shè)置一個IP 規(guī)則，阻止來自該IP 地址的任何數(shù)據(jù)通過防火墻。在我們阻止了一個IP 地址后，ping 主流網(wǎng)站的結(jié)果已經(jīng)達(dá)到300ms 了。當(dāng)我們將第二個IP 地址阻擋后，ping 主流網(wǎng)站的結(jié)果已經(jīng)恢復(fù)到正常水平，大概30ms ，并且所有網(wǎng)絡(luò)功能恢復(fù)了正常。這個辦公室很幸運(yùn)，所遭受的DDoS 攻擊只有兩個攻擊源，兩個固定IP 地址。如果攻擊源有幾十甚至上百個(或者攻擊源IP 地址是變化的) ，該辦公室的處境就艱難的多了，同時對日常業(yè)務(wù)的沖擊也會更大。

正如我前面提到的，防止DNS 服務(wù)器遭遇DDoS 攻擊的最佳方案是將DNS 服務(wù)交給DNS 服務(wù)供應(yīng)商去實(shí)現(xiàn)，比如你的ISP 或知名的DNS 注冊機(jī)構(gòu)，或者可靠的托管機(jī)構(gòu)。雖然這種做法無法從根本上杜絕黑客對于供應(yīng)商展開DoS 攻擊的威脅，但是起碼能夠防止在發(fā)生DoS 攻擊時，你企業(yè)的各種網(wǎng)絡(luò)功能會不受影響。 如果出于某種原因，你必須要在企業(yè)內(nèi)部建立DNS 服務(wù)，那么一定要制定一個針對DNSDoS 攻擊的應(yīng)對策略。比如在不同地點(diǎn)建立多個DNS 服務(wù)器, 使用強(qiáng)化或?qū)Ｓ玫腄NS 服務(wù)器或應(yīng)用程序并采用獨(dú)立的互聯(lián)網(wǎng)連接線路。Verisign 在2011年5月發(fā)布了一份DNS 可用性狀態(tài)報告，確認(rèn)就算是最頂級的電子商務(wù)網(wǎng)站，其DNS 的可用性也面臨潛在風(fēng)險，尤其是那些自己建立和管理DNS 服務(wù)的企業(yè)。

Arbor Networks APS防黑客層出不窮的DDoS 問題

2012-07-18 13:38 曉憶 51CTO.com 字號： |

近些年來，DDoS 攻擊已變的更加尖端。黑客在其攻擊中使用的攻擊手段更加復(fù)雜。黑客現(xiàn)在組合使用大流量攻擊和應(yīng)用層DDoS 攻擊，因?yàn)樗麄冎肋@會增加中斷可用性的幾率。

AD ：

51CTO 云計算架構(gòu)師峰會 搶票進(jìn)行中！

近些年來，DDoS 攻擊已變的更加尖端。黑客在其攻擊中使用的攻擊手段更加復(fù)雜。黑客現(xiàn)在組合使用大流量攻擊和應(yīng)用層DDoS 攻擊，因?yàn)樗麄冎肋@會增加中斷可用性的幾率。

此外，大流量攻擊也日益壯大，它們使用數(shù)目更加龐大的惡意軟件感染的機(jī)器或自愿主機(jī)來發(fā)起此類攻擊。 在由Arbor Networks進(jìn)行的調(diào)查中，DDoS 攻擊的規(guī)模已穩(wěn)步增長。但在2010年，已報告有100Gbps 級攻擊。這超過2009年發(fā)生的最大攻擊的規(guī)模的兩倍。驚人的數(shù)據(jù)顯示了黑客攻擊網(wǎng)絡(luò)或服務(wù)時能夠使用的資源。由于結(jié)構(gòu)面臨這些新挑戰(zhàn)，網(wǎng)絡(luò)管理員不得不尋求以轉(zhuǎn)移和緩解這些新黑客戰(zhàn)術(shù)為單一目的的解決方案。

黑客行為主義的出現(xiàn)改變了對安全社區(qū)中的DDoS 的觀點(diǎn)。攻擊動機(jī)以前主要被視為博取名譽(yù)或財務(wù)，但現(xiàn)在已發(fā)生變化。盡管出于勒索等目的攻擊仍然存在，但DDoS 攻擊目前正被用作黑客行動主義的一種手段或用于證明是多么不堪一擊。媒體機(jī)構(gòu)、社交網(wǎng)絡(luò)、政府部門等已成為此類DDoS 攻擊的首要目標(biāo)。

Anonymous 和LulzSec 是兩個引起人們關(guān)注的知名黑客組織。Anonymous 的目標(biāo)是攻擊它認(rèn)為以不公平的方式妨礙互聯(lián)網(wǎng)自由和言論自由的機(jī)構(gòu)。另一方面，LulzSec 因?yàn)楸┞毒W(wǎng)絡(luò)和網(wǎng)站中的安全漏洞而聞名于世。 盡管LulzSec 的目的是暴露網(wǎng)絡(luò)漏洞，除了揭示網(wǎng)絡(luò)漏洞以外沒有其他的動機(jī)，但已有其他實(shí)例表明，攻擊背后的理由已變的模糊。根據(jù)2011年第2季度出版的Kapersky 的DDoS 攻擊報告，社交網(wǎng)絡(luò)正成為目標(biāo)，因?yàn)樗鼈冊试S在數(shù)以萬計的用戶之間及時交換信息。在2011年，名為LiveJournal 的俄羅斯虛擬網(wǎng)絡(luò)遭遇了一系列攻擊。隱藏在攻擊后的僵尸網(wǎng)絡(luò)名為Optima 。迄今為止，沒有任何人聲稱為這些攻擊負(fù)責(zé)。

Arbor Networks的Pravail 可用性保護(hù)系統(tǒng)（APS ）專注于保障網(wǎng)絡(luò)邊界的安全，使其免遭針對可用性的威脅，尤其可以提供針對應(yīng)用層DDoS 攻擊的保護(hù)。該系統(tǒng)是為企業(yè)專門設(shè)計的，它提供開包即可使用、經(jīng)過實(shí)踐檢驗(yàn)的DDoS 攻擊識別的緩解功能，此類功能可藉使用極少的配置快速部署，甚至可以在攻擊發(fā)生的過程中部署。

為客戶提供的一項附加好處是Arbor 獨(dú)一無二的對DDoS 僵尸網(wǎng)絡(luò)的洞察能力，這得益于其ATLAS 基礎(chǔ)設(shè)施，它將暗網(wǎng)監(jiān)測系統(tǒng)與來自全球100多家服務(wù)提供商客戶的流量數(shù)據(jù)有機(jī)地結(jié)合起來。ATLAS 智能預(yù)警系統(tǒng)實(shí)時提供DDoS 簽名，藉此保護(hù)企業(yè)數(shù)據(jù)中心邊緣免受數(shù)以百計的僵尸網(wǎng)絡(luò)支持的DDoS 攻擊工具及其變種的威脅。

總而言之，Arbor Networks APS 提供其他基于邊界的安全設(shè)備無法提供的功能，這就是主動檢測和緩解DDoS 攻擊的功能。

Arbor 詳解目前DDoS 三大攻擊手段 2012-07-26 14:06 佚名 51CTO.COM 字號： |

Arbor Networks的Pravail 可用性保護(hù)系統(tǒng)(APS)是為企業(yè)專門設(shè)計的，它提供開包即可使用、經(jīng)過實(shí)踐檢驗(yàn)的DDoS 攻擊識別和緩解功能，此類功能可使用極少的配置快速部署，甚至可以在攻擊發(fā)生的過程中部署。

AD ：

51CTO 云計算架構(gòu)師峰會 搶票進(jìn)行中！

什么是DDoS?

DDoS 攻擊就是攻擊者發(fā)起的一個嘗試，目的是耗盡可用于網(wǎng)絡(luò)、應(yīng)用程序或服務(wù)的資源，以致于真正的用戶無法訪問這些資源。它是由一組惡意軟件感染的計算機(jī)或自愿的客戶端計算機(jī)產(chǎn)生的攻擊，這些計算機(jī)企圖耗盡特定的網(wǎng)絡(luò)、網(wǎng)站或服務(wù)的資源。不過，并非所有DDoS 攻擊均按照相同的方式來操作。

DDoS 攻擊可分為多種不同的形式。這些形式包括洪水攻擊和更加尖端的應(yīng)用層攻擊手段/工具。洪水攻擊依賴大量流量/會話來耗盡一個目標(biāo)，例如TCP SYN、ICMP 和UDP 洪水; 尖端的應(yīng)用層攻擊手段/工具包括Slowloris 、KillApache 等。

DDoS 攻擊可分為大流量攻擊、TCP 狀態(tài)耗盡攻擊或應(yīng)用層攻擊。在2011年第2季度出版的Kapersky 的DDoS 攻擊報告中，HTTP 洪水攻擊是最常見的DDoS 手段，它就是應(yīng)用層攻擊的一個實(shí)例。應(yīng)用層攻擊占據(jù)主導(dǎo)地位反映了快速演變的DDoS 已脫離傳統(tǒng)的大流量攻擊方向。

大流量攻擊

大流量攻擊通過海量流量使得網(wǎng)絡(luò)的帶寬和基礎(chǔ)設(shè)施達(dá)到飽和，將其消耗殆盡，從而實(shí)現(xiàn)淹沒網(wǎng)絡(luò)的目的。一旦流量超過網(wǎng)絡(luò)的容量，或網(wǎng)絡(luò)與互聯(lián)網(wǎng)其他部分的連接能力，網(wǎng)絡(luò)將無法訪問，如上圖所示。大流量攻擊實(shí)例包括ICMP 、碎片和UDP 洪水。

TCP 狀態(tài)耗盡攻擊

TCP 狀態(tài)耗盡攻擊試圖消耗許多基礎(chǔ)設(shè)施組件(例如負(fù)載均衡器、防火墻和應(yīng)用服務(wù)器本身) 中存在的連接狀態(tài)表。例如，防火墻必須分析每個數(shù)據(jù)包來確定數(shù)據(jù)包是離散連接，現(xiàn)有連接的存續(xù)，還是現(xiàn)有連接的完結(jié)。同樣，入侵防御系統(tǒng)必須跟蹤狀態(tài)以實(shí)施基于簽名的數(shù)據(jù)包檢測和有狀態(tài)的協(xié)議分析。這些設(shè)備和其他有狀態(tài)的設(shè)備—包括負(fù)責(zé)均衡器—被會話洪水或連接攻擊頻繁攻陷。例如，Sockstress 攻擊可通過打開套接字來填充連接表以便快速淹沒防火墻的狀態(tài)表。

應(yīng)用層攻擊

應(yīng)用層攻擊使用更加尖端的機(jī)制來實(shí)現(xiàn)黑客的目標(biāo)。應(yīng)用層攻擊并非使用流量或會話來淹沒網(wǎng)絡(luò)，它針對特定的應(yīng)用/服務(wù)緩慢地耗盡應(yīng)用層上的資源。應(yīng)用層攻擊在低流量速率下十分有效，從協(xié)議角度看，攻擊中涉及的流量可能是合法的。這使得應(yīng)用層攻擊比其他類型的DDoS 攻擊更加難以檢測。HTTP 洪水、DNS 詞典、Slowloris 等都是應(yīng)用層攻擊的實(shí)例。

Arbor Networks的Pravail 可用性保護(hù)系統(tǒng)(APS)

Arbor Networks的Pravail 可用性保護(hù)系統(tǒng)(APS)是為企業(yè)專門設(shè)計的，它提供開包即可使用、經(jīng)過實(shí)踐檢驗(yàn)的DDoS 攻擊識別和緩解功能，此類功能可使用極少的配置快速部署，甚至可以在攻擊發(fā)生的過程中部署。Pravail APS 專注于保障網(wǎng)絡(luò)邊界的安全，使其免遭針對可用性的威脅，尤其可以提供針對應(yīng)用層DDoS 攻擊的保護(hù)，可以應(yīng)對管理人員處于DDoS 攻擊時所面對的日益嚴(yán)峻的挑戰(zhàn)。通過使用一系列反制措施，Pravail APS 檢測和阻斷DDoS 攻擊，尤其是在云環(huán)境下難以檢測攻擊。

【責(zé)任編輯：Oo 小孩兒 TEL ：（010）68476606】