解析針對個(gè)人用戶的殘酷DDoS自殺式攻擊

什么是DDoS攻擊

　　DDoS是英文Distributed Denial of Service的縮寫，中文意思是“分布式拒絕服務(wù)”。那什么又是拒絕服務(wù)呢？用戶可以這樣理解，凡是能導(dǎo)致合法用戶不能進(jìn)行正常的網(wǎng)絡(luò)服務(wù)的行為都算是拒絕服務(wù)攻擊。拒絕服務(wù)攻擊的目的非常明確，就是要阻止合法用戶對正常網(wǎng)絡(luò)資源的訪問。

　　DDoS攻擊主要是通過很多“傀儡主機(jī)”向遠(yuǎn)程計(jì)算機(jī)發(fā)送大量看似合法的數(shù)據(jù)，從而造成網(wǎng)絡(luò)阻塞或服務(wù)器資源耗盡而導(dǎo)致拒絕服務(wù)。分布式拒絕服務(wù)攻擊一旦被實(shí)施，攻擊數(shù)據(jù)就會(huì)猶如洪水般涌向遠(yuǎn)程計(jì)算機(jī)，從而把合法的數(shù)據(jù)淹沒，導(dǎo)致合法用戶無法正常地訪問服務(wù)器的網(wǎng)絡(luò)資源。因此，分布式拒絕服務(wù)也被稱之為“洪水攻擊”。

　　DDoS的表現(xiàn)形式主要有兩種，一種是流量攻擊，主要是針對網(wǎng)絡(luò)帶寬的攻擊，即大量攻擊導(dǎo)致網(wǎng)絡(luò)帶寬被阻塞，合法的網(wǎng)絡(luò)數(shù)據(jù)被虛假的網(wǎng)絡(luò)數(shù)據(jù)淹沒而無法到達(dá)主機(jī)；另一種為資源耗盡攻擊，主要是針對服務(wù)器主機(jī)進(jìn)行的攻擊，即通過大量的攻擊導(dǎo)致主機(jī)的內(nèi)存被耗盡，或是CPU被內(nèi)核及應(yīng)用程序占完而造成無法提供網(wǎng)絡(luò)服務(wù)。

DDoS的攻擊類型

　　DDoS的攻擊類型目前主要括三種方式，即TCP-SYN Flood攻擊、UDP Flood攻擊以及提交腳本攻擊。

　　TCP-SYN Flood攻擊又稱半開式連接攻擊，每當(dāng)我們進(jìn)行一次標(biāo)準(zhǔn)的TCP連接，都會(huì)有一個(gè)三次握手的過程，而TCP-SYN Flood在它的實(shí)現(xiàn)過程中只有前兩個(gè)步驟。這樣，服務(wù)方會(huì)在一定時(shí)間處于等待接收請求方ASK消息的狀態(tài)。由于一臺服務(wù)器可用的TCP連接是有限的，如果惡意攻擊方快速連續(xù)地發(fā)送此類連接請求，則服務(wù)器可用TCP連接隊(duì)列很快將會(huì)阻塞，系統(tǒng)資源和可用帶寬急劇下降，無法提供正常的網(wǎng)絡(luò)服務(wù)，從而造成拒絕服務(wù)。

　　UDP Flood攻擊在網(wǎng)絡(luò)中的應(yīng)用也是比較廣泛的，基于UDP的攻擊種類也是比較多的，如目前在互聯(lián)網(wǎng)上提供網(wǎng)頁、郵件等服務(wù)的設(shè)備一般是使用UNIX操作系統(tǒng)的服務(wù)器，它們默認(rèn)是開放一些有被惡意利用可能的UDP服務(wù)。如果惡意攻擊者將UDP服務(wù)互指，則網(wǎng)絡(luò)可用帶寬會(huì)很快耗盡造成拒絕服務(wù)。

　　提交腳本攻擊主要是針對存在ASP、PHP、CGI等腳本程序，并調(diào)用MSSQL、MYSQL、ACCESS等數(shù)據(jù)庫的網(wǎng)站系統(tǒng)設(shè)計(jì)的。首先是和服務(wù)器建立正常的TCP連接，并不斷地向數(shù)據(jù)庫提交注冊、查詢、刷新等消耗資源的命令， 終將服務(wù)器的資源消耗掉從而導(dǎo)致拒絕服務(wù)。

防范DDoS的三條軍規(guī)

    1.檢查并修補(bǔ)系統(tǒng)漏洞

　　及早發(fā)現(xiàn)當(dāng)前系統(tǒng)可能存在的攻擊漏洞，及時(shí)安裝系統(tǒng)的補(bǔ)丁程序。對一些重要的信息（例如系統(tǒng)配置信息）建立和完善備份機(jī)制。對一些特權(quán)賬號（例如管理員賬號）的密碼設(shè)置要謹(jǐn)慎。通過這樣一系列的舉措可以把攻擊者的可乘之機(jī)降低到 小。

　　2.刪除多余的網(wǎng)絡(luò)服務(wù)

　　在網(wǎng)絡(luò)管理方面，要經(jīng)常檢查系統(tǒng)的物理環(huán)境，禁止那些不必要的網(wǎng)絡(luò)服務(wù)。建立邊界安全界限，確保輸出的受到正確限制。經(jīng)常檢測系統(tǒng)配置信息，并注意查看每天的安全日志。如果你是一個(gè)單機(jī)用戶，可去掉多余不用的網(wǎng)絡(luò)協(xié)議，完全禁止NetBIOS服務(wù)，從而堵上這個(gè)危險(xiǎn)的“漏洞”。

    3. 自己定制防火墻規(guī)則

　　利用網(wǎng)絡(luò)安全設(shè)備（例如：硬件防火墻）來加固網(wǎng)絡(luò)的安全性，配置好這些設(shè)備的安全規(guī)則，過濾掉所有可能的偽造數(shù)據(jù)，這種方法適合所有Windows操作系統(tǒng)的用戶。

編輯海楓解讀：

問題一：安裝了殺毒軟件后還需要安裝個(gè)人防火墻嗎？

　　殺毒軟件是為了解決網(wǎng)絡(luò)上的病毒破壞問題而研制的個(gè)人信息安全產(chǎn)品，它保護(hù)的范圍是電腦中的所有文件，當(dāng)發(fā)現(xiàn)有病毒攻擊電腦時(shí)可以直接將病毒文件攔截，但是它本身無法防止網(wǎng)絡(luò)上的黑客攻擊。而個(gè)人防火墻則是為了解決網(wǎng)絡(luò)上的黑客攻擊問題而研制的個(gè)人信息安全產(chǎn)品，它本身具有完備的規(guī)則設(shè)置，能有效的監(jiān)控任何網(wǎng)絡(luò)連接，保護(hù)網(wǎng)絡(luò)不受黑客的攻擊，但它本身不具備反病毒的能力。由此可見，殺毒軟件和個(gè)人防火墻分別滿足了電腦用戶的殺毒、防黑兩方面的安全需求，因此要想更好地保護(hù)電腦，則應(yīng)該同時(shí)安裝這兩種軟件。

問題二：針對本文提到的DDOS攻擊，該如何用防火墻防范？

　　以瑞星個(gè)人防火墻2007版為例，首先啟動(dòng)防火墻，點(diǎn)擊“設(shè)置”菜單選擇“詳細(xì)設(shè)置”選項(xiàng)，在如圖所示的設(shè)置界面中做如下設(shè)置：

　　第一步：點(diǎn)擊增加規(guī)則，在“規(guī)則名稱”中輸入：防止DDOS攻擊，選默認(rèn)“禁止數(shù)據(jù)通行”，點(diǎn)下一步。如下圖：

　　第二步：IP地址選擇界面中，本地地址選“所有地址”，對方地址選“任意地址”，如下圖：

　　第三步：在協(xié)議中選擇類型為“TCP”，對方端口為“任意端口”；本地端口為“指定端口”，輸入端口號為“139”，如下圖：

　　繼續(xù)點(diǎn)下一步，選擇提示方式， 后點(diǎn)完成，至此，防范DDOS的防火墻規(guī)則配置完成。