電子商務(wù)網(wǎng)站安全中的DDoS攻擊防御新思考

高敏 葉晰

基金項(xiàng)目:溫州市科技計(jì)劃項(xiàng)目(Y20100301)

[摘 要]本文首先介紹了典型的服務(wù)器模型，描述了分布式拒絕服務(wù)攻擊（DDoS）對(duì)電子商務(wù)網(wǎng)站的巨大危害，最后從管理和技術(shù)兩個(gè)方面提出了幾種防范分布式拒絕服務(wù)攻擊措施。

[關(guān)鍵詞]電子商務(wù) DDoS網(wǎng)絡(luò)安全 分布式拒絕服務(wù)攻擊

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，電子商務(wù)和電子政務(wù)等信息化工程也日益完善，然而從安全的角度來(lái)看，電子商務(wù)網(wǎng)絡(luò)所面臨的網(wǎng)絡(luò)安全問題卻始終如揮之不去的夢(mèng)魘。DDoS（Distributed Deny of Service-分布式拒絕服務(wù)攻擊）攻擊的目的就是使服務(wù)器某一層的資源利用率達(dá)到極限，致使網(wǎng)站訪問延時(shí)甚至癱瘓，進(jìn)而嚴(yán)重影響正常用戶的電子商務(wù)活動(dòng)。

一、典型的服務(wù)器模型

如圖所示，服務(wù)器模型是由多個(gè)服務(wù)器組成的有層次的結(jié)構(gòu)。每一層諸如：處理器計(jì)算能力，存儲(chǔ)空間和網(wǎng)絡(luò)帶寬等資源都是有限的。一般來(lái)說(shuō)如果服務(wù)器出現(xiàn)以下幾種情況：資源被迅速消耗、系統(tǒng)吞吐量降低且響應(yīng)時(shí)間不斷增大，則我們可判定服務(wù)器受到了DDoS攻擊。正如前面所說(shuō)DDoS攻擊的目的就是使某一層的資源利用率達(dá)到極限，從而導(dǎo)致利用服務(wù)器資源的正常用戶數(shù)量減少。

二、DDoS攻擊的產(chǎn)生機(jī)理

拒絕服務(wù)DoS攻擊顧名思義就是使Internet中的受攻擊對(duì)象(主機(jī)、服務(wù)器、路由器等網(wǎng)絡(luò)設(shè)備)無(wú)法提供或者接受正常服務(wù)的一種攻擊，典型的DoS攻擊中，攻擊者向受害者發(fā)送大量的數(shù)據(jù)從而消耗其資源(網(wǎng)絡(luò)帶寬，路由器上的包緩沖區(qū)，目標(biāo)機(jī)器的CPU和內(nèi)存)，從而使用戶無(wú)法訪問所需信息。因此可以說(shuō)DoS是一種損人不利已的攻擊行為,而分布式DoS(DDoS, distributed DoS)攻擊破壞性更大，往往借助僵尸網(wǎng)絡(luò)。

從拒絕服務(wù)攻擊的原理可以看出，不管是拒絕服務(wù)攻擊階段還是分布式拒絕服務(wù)攻擊的攻擊階段，都需要很高的網(wǎng)絡(luò)帶寬。特別是校園網(wǎng)絡(luò)的寬帶和大量主機(jī)資源，以及學(xué)生的好奇，想在教育網(wǎng)絡(luò)中進(jìn)行入侵實(shí)驗(yàn)的諸多特點(diǎn)，正好滿足拒絕服務(wù)攻擊的要求。在比較嚴(yán)重的網(wǎng)絡(luò)攻擊事件中，以校園網(wǎng)為“基地”發(fā)起的拒絕服務(wù)攻擊事件令人印象深刻。最著名的是2002年黑客對(duì)Yahoo和EBay等網(wǎng)站發(fā)起的拒絕服務(wù)攻擊，使這些網(wǎng)站的服務(wù)一度關(guān)閉，據(jù)調(diào)查，這些攻擊就是從校園網(wǎng)絡(luò)中發(fā)起的。事后分析得知這些攻擊都是采用了分布式拒絕服務(wù)攻擊。類似的攻擊在中國(guó)也是屢見不鮮。中國(guó)國(guó)防部網(wǎng)站總編輯季桂林指出：“國(guó)防部網(wǎng)站從上線試運(yùn)行第一天開始，就受到大量的、不間斷的DDoS攻擊。第一個(gè)月受到的攻擊達(dá)230 多萬(wàn)次，攻擊方式包括侵入式攻擊和阻塞式攻擊，第一周的攻擊最為密集”。

三、DDoS攻擊的防范

到目前為止，完全抵御DDoS攻擊還是比較困難的，但我們可以從管理和技術(shù)兩個(gè)方面減少DDoS的攻擊。首先在管理方面我們要加強(qiáng)每個(gè)網(wǎng)絡(luò)用戶的安全意識(shí)，安裝殺毒軟件，安裝軟件或者硬件防火墻，不從不明網(wǎng)站下載軟件，不訪問一些不明網(wǎng)站，不打開不明郵件，盡量避免木馬的種植。其次在技術(shù)的手段上，我們還應(yīng)加強(qiáng)以下幾點(diǎn)：

1.區(qū)分正常流量和攻擊流量。我們可根據(jù)正常流量和攻擊流量的不同行為、統(tǒng)計(jì)特征等進(jìn)行區(qū)別,也可通過認(rèn)證的方式讓所有用戶付出一定的代價(jià),比如計(jì)算、人工參與輸入認(rèn)證碼等來(lái)區(qū)別。一個(gè)典型的例子是Google網(wǎng)站在發(fā)現(xiàn)訪問流量異常時(shí)，會(huì)要求每個(gè)用戶在每個(gè)搜索前先輸入驗(yàn)證碼。此類防御方法的優(yōu)點(diǎn)是實(shí)施成本簡(jiǎn)單，但會(huì)影響用戶的體驗(yàn)滿意度，而且無(wú)法防御非頁(yè)面訪問的流量攻擊。

2.確保服務(wù)器的系統(tǒng)文件是最新的版本，并及時(shí)更新系統(tǒng)補(bǔ)丁。

3.關(guān)閉不必要的服務(wù)。

4.正確設(shè)置防火墻。

5.禁止對(duì)主機(jī)的非開放服務(wù)的訪問，限制特定IP 地址的訪問。

6.啟用防火墻的防DDoS的屬性，或者使用專用的抗DDoS設(shè)備。嚴(yán)格限制對(duì)外開放的服務(wù)器的向外訪問，運(yùn)行端口映射程序禍端口掃描程序，要認(rèn)真檢查特權(quán)端口和非特權(quán)端口。

7.認(rèn)真檢查網(wǎng)絡(luò)設(shè)備和主機(jī)/服務(wù)器系統(tǒng)的日志。只要日志出現(xiàn)漏洞或是時(shí)間變更，那這臺(tái)機(jī)器就可能遭到了攻擊。

8.限制在防火墻外與網(wǎng)絡(luò)文件共享。這樣會(huì)給黑客截取系統(tǒng)文件的機(jī)會(huì)，主機(jī)的信息暴露給黑客，無(wú)疑是給了對(duì)方入侵的機(jī)會(huì)。

四、結(jié)束語(yǔ)

作為一種新穎的商務(wù)活動(dòng)過程，電子商務(wù)將帶來(lái)一場(chǎng)史無(wú)前例的革命，而電子商務(wù)的安全性問題也越來(lái)越受到人們的重視。分布式拒絕服務(wù)攻擊（DDoS）嚴(yán)重威脅了電子商務(wù)網(wǎng)站的正常運(yùn)作。對(duì)DDoS的原理與應(yīng)付方法的研究一直在進(jìn)行中，找到一個(gè)既有效又切實(shí)可行的方案不是一朝一夕的事情，因此此時(shí)要求我們的公安機(jī)關(guān)，運(yùn)營(yíng)商和網(wǎng)絡(luò)安全廠商和網(wǎng)絡(luò)的用戶，在意識(shí)到網(wǎng)絡(luò)攻擊問題的嚴(yán)重性前提下，多方配合，共同加強(qiáng)網(wǎng)絡(luò)平臺(tái)安全性的建設(shè)性。這樣一來(lái)可以把攻擊帶來(lái)的損失降低到最小，從而提高了電子商務(wù)活動(dòng)的安全性，為我國(guó)的經(jīng)濟(jì)建設(shè)提供堅(jiān)固安全的網(wǎng)絡(luò)信息化平臺(tái)。

參考文獻(xiàn):

[1]謝逸等.新網(wǎng)絡(luò)環(huán)境下應(yīng)用層DDoS攻擊的剖析與防御.電信科學(xué),2007年01期,89-93頁(yè)

[2]新華網(wǎng).國(guó)防部網(wǎng)站遭230多萬(wàn)次攻擊3個(gè)月點(diǎn)擊12.5億.2009年11月18日,http://news.xinhuanet.com/it/2009-11/18/content_12480973.htm

[3]李目海.基于流量的分布式拒絕服務(wù)攻擊檢測(cè).華東師范大學(xué)2010年博士論文