| 揭开抗DDOS防火墙的神秘面纱 |
| 作者/www0 时间/2006-11-17 11:39:00 类别/综合 查看/ |
 发表评论 以论坛方式查看 |
| 标签:网络 DDOS |
|
或许很多公司都吹嘘自己的抗DDOS防火墙有多强大 实际上 那种所谓的DDOS是分布式拒绝服务的含义 什么叫做拒绝服务 顾名思义 想办法让您无法向别人提供正常的服务 包括干扰 阻塞 通常拒绝服务的手法是阻塞 因为干扰正常运行的难度相对较大 分布式拒绝服务就是分散式的阻塞攻击 那么那些自称非常牛X的的防火墙又是如何来实现所谓的防火墙又是如何实现对这些分散式的阻塞实现防护的呢 事实上 并没有任何防火墙能有效的对阻塞实施防护 而是在早期所谓的DDOS(分布式拒绝服务)是属于干扰型的拒绝服务 通过大家熟知的TCP三握手的方式 来实现干扰 具体方式如下 A系统(黑客控制的攻击傀儡机器) 向 B系统(遭受DDOS攻击的系统) 发送带有虚假源地址(C)的syn包(请求链接的包) 此时B系统将回复C进行确认 而实际上C可能无法到达 此时B系统将会消耗固定的时间去等待 并且重新回复确认 在这个过程中 B系统将浪费大量的CPU时间片 由于这种干扰数据包数额十分可观 结果B系统将最终因为大量的虚假数据包的资源开销 而无法正常的提供服务 这种现象在早期的网络中极为普遍 由于当时情况下的服务器性能相对低下 在这个时候 某种替代B系统进行链接确认的设备(软件)出现了 它们优化了确认过程中的算法和资源开销 使用更面向硬件的语言开发 同样的CPU时间片可以处理更大的吞吐量 并且智能的丢弃了部分不合理的虚假数据包 因此他们减少了B系统的负担 有效的防护了B系统 但是随着时间的变迁和市场环境的改变 几乎所有的IDC(服务器托管商)都提供了类似的系统(硬件) 同时个人电脑的数量飞快的上升 电脑用户的程度不断的下降 黑客可以操纵的傀儡系统也逐步上升 从最初的数十台到现在的以万计的傀儡机 很快 网络攻击的格局开始变化 从早前的虚假数据包开始变为真实的链接或者纯粹的流量 由于链接是真实有效 所以可以绕过这类设备对服务器实行大规模的资源消耗 有些时候 黑客们不花多少力气 就可以向B系统建立起百万计的连接 此时的防火墙的资源开销 仅仅只有寥寥无几的10%左右 很显然成了又瞎又聋的猫 使用纯粹流量的攻击可以很快的消耗掉机房的宽带 很多情况下所谓的防火墙已经成为装饰 普通机房经常配备2.5G~25G的带宽 而黑客们可以轻松的送出该数额数倍的流量 经常最终导致网络无法访问的是链路中的线路被阻塞 或者路由器无法承受如此庞大的报文群瘫痪 使通向B系统的通路中断 而最终导致B系统无法提供正常的服务 1.DNS欺骗 分布式拒绝服务实施中存在着有个技术难题 也就是究竟是通过域名做为攻击目标呢 还是直接攻击IP 通常情况下大家为了防止被攻击者更换IP 经常选用直接使用域名做为攻击目标 攻击软件基本上只会向最早得到的IP发送数据 DNS欺骗可以有效的缓解这种攻击方式给您带来的麻烦 如"绿盟"也采用了这套技术 通过查询DNS得到他们的IP地址将有多个 只有其中某个才是正确的IP地址 这种情况下攻击者将会十分苦恼和难堪 事实上您可以将首IP报中的IP地址指向当地公安,电信,政府网站 或者gov.cn 此时我想我们的公安机关会为您出这口恶气 2.分布式服务 既然是分布是拒绝服务 我们也可以采取分布式服务的方式 由于服务分布式以后 攻击者很难寻找到攻击的焦点 即便是某个机房遭受到极为强烈的攻击 由于其他机房安然无恙 自然的您的网站依然可以展现在大家的面前 其中CDN就是此类技术的代表 通过使用高度优化的缓存软件 你可以发现 事实上服务器处理连接的开销完全小于用户建立链接的开销 当然这项技术也可以避免同机房内某个系统遭受剧烈攻击时因为带宽被大量消耗的"连坐"之苦 |
| 查看该用户更多文章>> |