Mike Mullins 2007/06/15
大部分網路都很容易受到各種類型的駭客攻擊,但是我們可以透過一套安全規範來最大限度的防止駭客攻擊的發生。
但是,分散式拒絕服務攻擊(DDoS)是一個完全不同的攻擊方式,你無法阻止駭客對你的網站發動DDoS攻擊,除非你主動斷開網際網路連接。
如果我們無法防止這種攻擊,那麼怎麼做才能最大限度地保護企業網路呢?
首先你應該清楚的瞭解DDoS攻擊的三個階段,然後再學習如何將這種攻擊的危害降到最低。
理解DDoS攻擊
一個DDoS攻擊一般分為三個階段。第一階段是目標確認:駭客會在網際網路上鎖定一個企業網路的IP位址。這個被鎖定的IP位址可能代表了企業的Web伺服器,DNS伺服器,網際網路閘道等。而選擇這些目標進行攻擊的目的同樣多種多樣,比如為了賺錢(有人會付費給駭客攻擊某些站點),或者只是以破壞為樂。
第二個階段是準備階段:在這個階段,駭客會入侵網際網路上大量的沒有良好防護系統的電腦(基本上就是網路上的家庭電腦,DSL寬頻或有線電纜上網方式為主)。駭客會在這些電腦中植入日後攻擊目標所需的工具。
第三個階段是實際攻擊階段:駭客會將攻擊命令發送到所有被入侵的電腦(也就是僵屍電腦)上,並命令這些電腦利用預先植入的攻擊工具不斷向攻擊目標發送資料包,使得目標無法處理大量的資料或者頻寬被占滿。
聰明的駭客還會讓這些僵屍電腦偽造發送攻擊資料包的IP位址,並且將攻擊目標的IP位址插在資料包的原始位址處,這就是所謂的反射攻擊。伺服器或路由器看到這些資料包後會轉發(即反射)給原始IP位址一個接收響應,更加重了目標主機所承受的資料流程。
因此,我們無法阻止這種DDoS攻擊,但是知道了這種攻擊的原理,我們就可以儘量減小這種攻擊所帶來的影響。
減少攻擊影響
入侵過濾(Ingress filtering)是一種簡單而且所有網路(ISP)都應該實施的安全策略。在你的網路邊緣(比如每一個與外網直接相連的路由器),應該建立一個路由聲明,將所有資料來來源IP標記為本網位址的資料包丟棄。雖然這種方式並不能防止DDoS攻擊,但是卻可以預防DDoS反射攻擊。(請接續下一頁閱讀)