一種電子商務網站抵御分布式拒絕服務攻擊的方案

摘 要：本文首先介紹了分布式拒絕服務攻擊（DDoS）的實施原理，進而分析了DDoS攻擊對電子商務網站和DNS服務器的危害，最后提出了一種防御基于DNS放大DDoS攻擊的方案。

關鍵詞：分布式拒絕服務攻擊 DNS UDP 放大攻擊 反射攻擊

電子商務指的是利用簡單、快捷、低成本的電子通訊方式，買賣雙方不謀面地進行各種商貿活動。然而隨著網絡技術的發展，拒絕服務攻擊也越來越成為電子商務網站始終如揮之不去的夢魘。

一、分布式拒絕服務攻擊的實施原理

拒絕服務攻擊（DoS）一般可以被歸納為兩大類。第一種DoS攻擊主要是利用網絡協議漏洞、操作系統或應用軟件的缺陷來達到攻擊的目的，如比較有名的ping of death攻擊。第二種是攻擊者直接向目標機器發送大量精心偽造的數據包，其主要目標往往是目標系統中最稀缺的資源，如內存，CPU或者網絡帶寬等。此類型的拒絕服務攻擊一般被稱為泛洪（flooding）攻擊，如SYN-Flood 攻擊就是屬于此類攻擊。

二、分布式拒絕服務攻擊的危害性

拒絕服務攻擊威脅著因特網上所有類型的服務，DNS服務器也不例外。與DNS服務器相關的攻擊也可以分為兩種。第一種情況是以DNS服務器為攻擊目標，即攻擊者直接向DNS服務器發送大量的DNS查詢請求或其他無用的UDP流量進而影響DNS服務器的正常工作。防御這種蠻力攻擊的簡單有效的方法是使用Cluster集群技術進行負載平衡，這也是眾多世界級公司慣用的抵御DoS攻擊的措施。第二種DNS相關攻擊更為精巧和策略性，攻擊者往往利用DNS服務器來放大攻擊流量（也就是所謂的DNS放大攻擊或反射攻擊）。……