作為破壞力較強(qiáng)的黑客攻擊手段，DDoS是一種形式比較特殊的拒絕服務(wù)攻擊。作為一種分布、協(xié)作的大規(guī)模攻擊方式，它往往把受害目標(biāo)鎖定在大型Internet站點(diǎn)，例如商業(yè)公司、搜索引擎或政府部門網(wǎng)站。由于DDoS攻擊的惡劣性（往往通過利用一批受控制的網(wǎng)絡(luò)終端向某一個(gè)公共端口發(fā)起沖擊，來勢迅猛又令人難以防備，具有極大破壞力）難以被偵測和控制，因此也廣泛受到網(wǎng)絡(luò)安全業(yè)界的關(guān)注。從最初的入侵檢測系統(tǒng)（IDS）到目前新興的全局安全網(wǎng)絡(luò)體系，在防范DDoS攻擊的過程中先進(jìn)的網(wǎng)絡(luò)安全措施發(fā)揮作用，使對抗黑客攻擊的手段 日益提升，向著智能化、全局化的方向大步邁進(jìn)。

知己知彼：全面解剖DDoS攻擊

分布式攻擊系統(tǒng)和我們?nèi)粘Ｉ钪兴究找姂T的客戶機(jī)/服務(wù)器模式非常相象，但是DDoS系統(tǒng)的日趨復(fù)雜性和隱蔽性使人難以發(fā)現(xiàn)。入侵者控制了一些節(jié)點(diǎn)，將它們設(shè)計(jì)成控制點(diǎn)，這些控制點(diǎn)控制了Internet大量的主機(jī)，將它們設(shè)計(jì)成攻擊點(diǎn)，攻擊點(diǎn)中裝載了攻擊程序，正是由這些攻擊點(diǎn)計(jì)算機(jī)對攻擊目標(biāo)發(fā)動的攻擊。DDoS攻擊的前奏是率先攻破一些安全性較差的電腦作為控制點(diǎn)主機(jī)。因?yàn)檫@些電腦在標(biāo)準(zhǔn)網(wǎng)絡(luò)服務(wù)程序中存在眾所周知的缺陷，它們還沒有來得及打補(bǔ)丁或進(jìn)行系統(tǒng)升級，還有可能是操作系統(tǒng)本身有Bug，這樣的系統(tǒng)使入侵者很容易闖入。

典型的DDoS攻擊包括帶寬攻擊和應(yīng)用攻擊。在帶寬攻擊中，網(wǎng)絡(luò)資源或網(wǎng)絡(luò)設(shè)備被高流量數(shù)據(jù)包所消耗。在應(yīng)用攻擊時(shí)，TCP或HTTP資源無法被用來處理交易或請求。發(fā)動攻擊時(shí)，入侵者只需運(yùn)行一個(gè)簡單的命令，一層一層發(fā)送命令到所有控制的攻擊點(diǎn)上，讓這些攻擊點(diǎn)一齊“開炮”——向目標(biāo)傳送大量的無用的數(shù)據(jù)包，就在這樣的“炮火”下，攻擊目標(biāo)的網(wǎng)絡(luò)帶寬被占滿，路由器處理能力被耗盡。而較之一般的黑客攻擊手段來說，DDoS的可怕之處有二：一是DDoS利用Internet的開放性和從任意源地址向任意目標(biāo)地址提交數(shù)據(jù)包;二是人們很難將非法的數(shù)據(jù)包與合法的數(shù)據(jù)包區(qū)分開。

屢戰(zhàn)屢敗：防范手段失效溯源

既然了解DDoS攻擊的起源結(jié)果，為什么還會讓它如此肆虐呢？平心而論，以往所采用的幾種防御形式的被動和片面，是DDoS攻擊難以被遏止的真正原因。

在遭遇DDoS攻擊時(shí)，一些用戶會選擇直接丟棄數(shù)據(jù)包的過濾手段。通過改變數(shù)據(jù)流的傳送方向，將其丟棄在一個(gè)數(shù)據(jù)“黑洞”中，以阻止所有的數(shù)據(jù)流。這種方法的缺點(diǎn)是所有的數(shù)據(jù)流（不管是合法的還是非法的）都被丟棄，業(yè)務(wù)應(yīng)用被中止。數(shù)據(jù)包過濾和速率限制等措施同樣能夠關(guān)閉所有應(yīng)用，拒絕為合法用戶提供接入。這樣做的結(jié)果很明顯，就是“因噎廢食”，可以說是恰恰滿足了黑客的心愿。

既然“因噎廢食”不可取，那么路由器、防火墻和入侵檢測系統(tǒng)（IDS）的功效又怎樣呢？從應(yīng)用情況來看，通過配置路由器過濾不必要的協(xié)議可以阻止簡單的ping攻擊以及無效的IP地址，但是通常不能有效阻止更復(fù)雜的嗅探攻擊和使用有效IP地址發(fā)起的應(yīng)用級攻擊。而防火墻可以阻擋與攻擊相關(guān)的特定數(shù)據(jù)流，不過與路由器一樣，防火墻不具備反嗅探功能，所以防范手段仍舊是被動和不可靠的。目前常見的IDS能夠進(jìn)行異常狀況檢測，但它不能自動配置，需要技術(shù)水平較高的安全專家進(jìn)行手工調(diào)整，因此對新型攻擊的反應(yīng)速度較慢，終究不是解決之道。

全局安全：充分遏制DDoS魔爪

深究各種防范措施對DDoS攻擊束手無策的原因，變幻莫測的攻擊來源和層出不窮的攻擊手段是癥結(jié)所在。為了徹底打破這種被動局面，目前業(yè)界領(lǐng)先的網(wǎng)絡(luò)安全技術(shù)廠商已然趨于共識：那就是在網(wǎng)絡(luò)中配置整體聯(lián)動的安全體系，通過軟件與硬件技術(shù)結(jié)合、深入網(wǎng)絡(luò)終端的全局防范措施，以加強(qiáng)實(shí)施網(wǎng)絡(luò)安全管理的能力。

以銳捷網(wǎng)絡(luò)2004年底推出的GSN？？全局安全網(wǎng)絡(luò)解決方案為例，它在解決DDoS方面給出了自己獨(dú)特的見解。首先，GSN？？在網(wǎng)絡(luò)中針對所有要求進(jìn)行網(wǎng)絡(luò)訪問的行為進(jìn)行統(tǒng)一的注冊，沒有經(jīng)過注冊的網(wǎng)絡(luò)訪問行為將不被允許訪問網(wǎng)絡(luò)。通過GSN？？安全策略平臺的幫助，管理員可以有效的了解整個(gè)網(wǎng)絡(luò)的運(yùn)行情況，進(jìn)而對網(wǎng)絡(luò)中存在的危及安全行為進(jìn)行控制。在具體防范DDoS攻擊的過程中，每一個(gè)在網(wǎng)絡(luò)中發(fā)生的訪問行為都會被系統(tǒng)檢測并判斷其合法性，一旦發(fā)覺這一行為存在安全威脅，系統(tǒng)將自動調(diào)用安全策略，采取直接阻止訪問、限制該終端訪問網(wǎng)絡(luò)區(qū)域（例如避開網(wǎng)絡(luò)內(nèi)的核心數(shù)據(jù)或關(guān)鍵服務(wù)區(qū)，以及限制訪問權(quán)限等）和限制該終端享用網(wǎng)絡(luò)帶寬速率的方式，將DDoS攻擊發(fā)作的危害降到最低。

在終端用戶的安全控制方面，GSN ？？能對所有進(jìn)入網(wǎng)絡(luò)的用戶系統(tǒng)安全性進(jìn)行評估，杜絕網(wǎng)絡(luò)內(nèi)終端用戶成為DDoS攻擊來源的威脅。從當(dāng)用戶終端接入網(wǎng)絡(luò)時(shí)，安全客戶端會自動檢測終端用戶的安全狀態(tài)。一旦檢測到用戶系統(tǒng)存在安全漏洞（未及時(shí)安裝補(bǔ)丁等），用戶會從網(wǎng)絡(luò)正常區(qū)域中隔離開，并自動置于系統(tǒng)修復(fù)區(qū)域內(nèi)加以修復(fù)，直到完成系統(tǒng)規(guī)定的安全策略，才能進(jìn)入正常的網(wǎng)絡(luò)環(huán)境中。這樣一來，不僅可以杜絕網(wǎng)絡(luò)內(nèi)部各個(gè)終端產(chǎn)生安全隱患的威脅，也使網(wǎng)絡(luò)內(nèi)各個(gè)終端用戶的訪問行為得到了有效控制。通過在接入網(wǎng)絡(luò)時(shí)進(jìn)行自動“健康檢查”，DDoS再也不能潛藏在網(wǎng)絡(luò)中，并利用網(wǎng)絡(luò)內(nèi)的終端設(shè)備發(fā)動攻擊了。

對于用戶來說，正常業(yè)務(wù)的開展是最根本的利益所在。隨著人們對Internet的依賴性不斷增加，DDoS攻擊的危害性也在不斷加劇。不少安全專家都曾撰文指出：及早發(fā)現(xiàn)系統(tǒng)存在的攻擊漏洞、及時(shí)安裝系統(tǒng)補(bǔ)丁程序，以及不斷提升網(wǎng)絡(luò)安全策略，都是防范DDoS攻擊的有效辦法。而先進(jìn)的全局安全網(wǎng)絡(luò)體系的出現(xiàn)，實(shí)現(xiàn)了將系統(tǒng)層面和網(wǎng)絡(luò)層面相結(jié)合來有效的進(jìn)行安全解決方案的自動部署，進(jìn)一步提高了對于DDoS這類“行蹤飄渺”的惡性網(wǎng)絡(luò)攻擊的自動防范能力。盡管目前以DDoS為代表的黑客攻擊仍舊氣焰囂張，但是在可以預(yù)見的將來，廣大用戶手中握緊的安全利刃必定可以斬?cái)郉DoS的魔爪。