论文部分内容阅读
[摘 要]本文首先介绍了分布式拒绝服务攻击(DDoS)的实施原理,进而分析了DDoS攻击对电子商务网站的巨大危害,最后提出了防范分布式拒绝服务攻击的措施。
[关键词]电子商务 DDoS 网络安全 分布式拒绝服务攻击
电子商务指的是利用简单、快捷、低成本的电子通讯方式,买卖双方不谋面地进行各种商贸活动。随着网络技术的发展,电子商务和电子政务等信息化工程也日益完善,然而从安全的角度来看,拒绝服务攻击是电子商务网站始终如挥之不去的梦魇。
一、分布式拒绝服务攻击的实施原理
拒绝服务攻击(Deny of Service-DoS)的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。DDoS(Distributed Deny of Service-分布式拒绝服务攻击)攻击是在传统的DoS攻击基础之上发展而来的。DDoS 原理很简单,就是利用网络掌控并集结尽量多的傀儡机来攻击目标机,以期达到比单机大得多的杀伤力,其危害极大且难以防御。
二、分布式拒绝服务攻击的危害性
DDoS攻击是一种很难被彻底解决的电子商务网站安全问题,其危害较大,往往可造成网站访问延时甚至瘫痪。自1999年下半年以来,拒绝服务攻击事件不断发生,攻击发生的频率也越来越密集。据美国加州大学圣地亚哥超级计算机中心报道,在2001年2月的3周内,共检测到12805次拒绝服务攻击。2002年10月21日,一波分布式拒绝服务攻击袭击了Internet DNS根服务器,直接导致了13台根服务器中的9台瘫痪,这些服务器是由多个机构根据合同为美国商务部运行维护的。而对电子商务网站进行直接攻击最著名例子包括2002年黑客对Yahoo和EBay等网站发起的分布式拒绝服务攻击,攻击使这些网站的服务一度关闭。在国内最近一次大规模的攻击发生在2009年5月19日晚,当时受暴风影音软件存在的设计缺陷以及免费智能DNS软件DNSPod的不健壮性影响,黑客通过僵尸网络控制下的DDoS攻击,致使我国江苏、安徽、广西、海南、甘肃、浙江等省在内的23个省出现罕见的断网故障,即“5-19断网事件”。
三、分布式拒绝服务攻击(DDoS)防御措施的研究
常见的DDoS攻击包括数据包洪流(Flood)攻击和反弹(reflector)DDoS攻击。到目前为止,完全杜绝或抵御DDoS攻击还是比较困难的,主要由于这种攻击的特点是它利用了TCP/IP协议的漏洞,除非你不用TCP/IP协议,才有可能完全抵御住DDoS攻击。不过这不等于我们就没有办法阻挡或减轻DDoS攻击。
首先,我们要加强每个网络用户的安全意识,安装杀毒软件,安装软件或者硬件防火墙,不从匿名网站下载软件,不访问不明网站,不打开不明邮件,尽量避免木马的种植。
其次就是从源头遏制DDoS的攻击。比如对于SYN Flood攻击虽然目前没有非常有效的检测和防御方法,但通过对系统架构的设定,能降低被攻击系统的负荷,减轻负面的影响。通常防御方法有:1.缩短SYN Timeout时间;2.设置SYN Cookie;3.负反馈策略;4.分布式DNS负载均衡退让策略;5防火墙QoS。SYN Flood攻击的效果取决于在服务器上保持的SYN半连接数,所以通过缩短从接收到SYN报文到确定这个报文无效并丢弃的时间,可以成倍地降低服务器的负荷。我们还可以设置SYN Cookie,给每一个请求连接的IP地址分配一个Cookie,如果短时间内收到某个IP的重复SYN报文,就认定是受到了攻击,以后从这个IP地址来的包会被丢弃。当然这样的方法不能根本的杜绝这样的DDoS的攻击,对于多个主机不同IP 的不断攻击也就束手无策,所以还需要寻求更优质的策略去解决这种攻击。
对于很多有关涉及到ICMP报文的攻击,我们可以从根本出发,可以关闭服务器ping服务功能,或者在防火墙里设置过滤ICMP报文。有需要的时候再手动开启ping服务。
我们还可以对于一些特定的、容易被攻击利用的协议如ICMP实施流量控制,这样,即使某协议被攻击者利用,它只能占用有限的带宽,从而不会对其他的网络应用带来太大的威胁。对于一些需要高网络带宽的服务,要有足够的冗余,使得系统运行需求远低于可用的极限资源。如果系统在接近极限状态下运行,则很小的拒绝服务攻击就可能耗尽剩余资源,使得系统不能正常提供服务。对于与Internet连接的系统,要及时关闭不需要的服务和端口,服务越多,漏洞越多,需要提供的保护越多,受到外界的安全威胁也越大。坚持打好最新的补丁,密切关注安全漏洞和安全补丁的发布。经常对自己的系统进行端口扫描,找出可能的系统漏洞。定期用新型的拒绝服务攻击方法或工具对自己的网络进行抗拒绝服务攻击测试,针对相应的攻击手段做出相应的调整。
四、结束语
作为一种新颖的商务活动过程,电子商务将带来一场史无前例的革命,而电子商务的安全性问题也越来越受到人们的重视。分布式拒绝服务攻击(DDoS)严重威胁了电子商务网站的正常运作。虽然目前为止网络业界并没有可以彻底消除DDoS攻击的措施,并且硬件设施也只是做到了降低攻击程度的级别,但如果按照本文的方法和思路去防范DDoS,可以把攻击带来的损失降低到最小,从而提高了电子商务活动的安全性。
参考文献:
[1]谢逸等.新网络环境下应用层DDoS攻击的剖析与防御.电信科学,2007年01期,89-93页
[2]李目海.基于流量的分布式拒绝服务攻击检测.华东师范大学,2010年博士论文
[关键词]电子商务 DDoS 网络安全 分布式拒绝服务攻击
电子商务指的是利用简单、快捷、低成本的电子通讯方式,买卖双方不谋面地进行各种商贸活动。随着网络技术的发展,电子商务和电子政务等信息化工程也日益完善,然而从安全的角度来看,拒绝服务攻击是电子商务网站始终如挥之不去的梦魇。
一、分布式拒绝服务攻击的实施原理
拒绝服务攻击(Deny of Service-DoS)的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。DDoS(Distributed Deny of Service-分布式拒绝服务攻击)攻击是在传统的DoS攻击基础之上发展而来的。DDoS 原理很简单,就是利用网络掌控并集结尽量多的傀儡机来攻击目标机,以期达到比单机大得多的杀伤力,其危害极大且难以防御。
二、分布式拒绝服务攻击的危害性
DDoS攻击是一种很难被彻底解决的电子商务网站安全问题,其危害较大,往往可造成网站访问延时甚至瘫痪。自1999年下半年以来,拒绝服务攻击事件不断发生,攻击发生的频率也越来越密集。据美国加州大学圣地亚哥超级计算机中心报道,在2001年2月的3周内,共检测到12805次拒绝服务攻击。2002年10月21日,一波分布式拒绝服务攻击袭击了Internet DNS根服务器,直接导致了13台根服务器中的9台瘫痪,这些服务器是由多个机构根据合同为美国商务部运行维护的。而对电子商务网站进行直接攻击最著名例子包括2002年黑客对Yahoo和EBay等网站发起的分布式拒绝服务攻击,攻击使这些网站的服务一度关闭。在国内最近一次大规模的攻击发生在2009年5月19日晚,当时受暴风影音软件存在的设计缺陷以及免费智能DNS软件DNSPod的不健壮性影响,黑客通过僵尸网络控制下的DDoS攻击,致使我国江苏、安徽、广西、海南、甘肃、浙江等省在内的23个省出现罕见的断网故障,即“5-19断网事件”。
三、分布式拒绝服务攻击(DDoS)防御措施的研究
常见的DDoS攻击包括数据包洪流(Flood)攻击和反弹(reflector)DDoS攻击。到目前为止,完全杜绝或抵御DDoS攻击还是比较困难的,主要由于这种攻击的特点是它利用了TCP/IP协议的漏洞,除非你不用TCP/IP协议,才有可能完全抵御住DDoS攻击。不过这不等于我们就没有办法阻挡或减轻DDoS攻击。
首先,我们要加强每个网络用户的安全意识,安装杀毒软件,安装软件或者硬件防火墙,不从匿名网站下载软件,不访问不明网站,不打开不明邮件,尽量避免木马的种植。
其次就是从源头遏制DDoS的攻击。比如对于SYN Flood攻击虽然目前没有非常有效的检测和防御方法,但通过对系统架构的设定,能降低被攻击系统的负荷,减轻负面的影响。通常防御方法有:1.缩短SYN Timeout时间;2.设置SYN Cookie;3.负反馈策略;4.分布式DNS负载均衡退让策略;5防火墙QoS。SYN Flood攻击的效果取决于在服务器上保持的SYN半连接数,所以通过缩短从接收到SYN报文到确定这个报文无效并丢弃的时间,可以成倍地降低服务器的负荷。我们还可以设置SYN Cookie,给每一个请求连接的IP地址分配一个Cookie,如果短时间内收到某个IP的重复SYN报文,就认定是受到了攻击,以后从这个IP地址来的包会被丢弃。当然这样的方法不能根本的杜绝这样的DDoS的攻击,对于多个主机不同IP 的不断攻击也就束手无策,所以还需要寻求更优质的策略去解决这种攻击。
对于很多有关涉及到ICMP报文的攻击,我们可以从根本出发,可以关闭服务器ping服务功能,或者在防火墙里设置过滤ICMP报文。有需要的时候再手动开启ping服务。
我们还可以对于一些特定的、容易被攻击利用的协议如ICMP实施流量控制,这样,即使某协议被攻击者利用,它只能占用有限的带宽,从而不会对其他的网络应用带来太大的威胁。对于一些需要高网络带宽的服务,要有足够的冗余,使得系统运行需求远低于可用的极限资源。如果系统在接近极限状态下运行,则很小的拒绝服务攻击就可能耗尽剩余资源,使得系统不能正常提供服务。对于与Internet连接的系统,要及时关闭不需要的服务和端口,服务越多,漏洞越多,需要提供的保护越多,受到外界的安全威胁也越大。坚持打好最新的补丁,密切关注安全漏洞和安全补丁的发布。经常对自己的系统进行端口扫描,找出可能的系统漏洞。定期用新型的拒绝服务攻击方法或工具对自己的网络进行抗拒绝服务攻击测试,针对相应的攻击手段做出相应的调整。
四、结束语
作为一种新颖的商务活动过程,电子商务将带来一场史无前例的革命,而电子商务的安全性问题也越来越受到人们的重视。分布式拒绝服务攻击(DDoS)严重威胁了电子商务网站的正常运作。虽然目前为止网络业界并没有可以彻底消除DDoS攻击的措施,并且硬件设施也只是做到了降低攻击程度的级别,但如果按照本文的方法和思路去防范DDoS,可以把攻击带来的损失降低到最小,从而提高了电子商务活动的安全性。
参考文献:
[1]谢逸等.新网络环境下应用层DDoS攻击的剖析与防御.电信科学,2007年01期,89-93页
[2]李目海.基于流量的分布式拒绝服务攻击检测.华东师范大学,2010年博士论文