近期国内的DDoS(分布式拒绝服务)攻击行为再度猖獗,许多站点不同程度受到牵连,包括知名的新闻站点、商业网站、大型学术论坛等等,致使很多网站长时间响应速度极慢,甚至无法访问。DDoS攻击影响到的相关网段内的所有服务器,成千上万个放置其上的站点都在劫难逃。应对用户投诉、购买硬件配置、系统升级强化、防护和抵御攻击……虚拟主机服务提供商不堪重负,叫苦连天。
国内以虚拟主机性价比享誉的商务中国(bizcn.com ),今年7月以来一连遭遇了几波极其猛烈的DDoS黑客攻击。在攻击过程中,商务中国托管在某地电信级IDC机房的所有服务器无一幸免于难。此间,又由于IDC处理不力,以近乎野蛮的所谓“解决方法”当即拔掉所有网线来逃避攻击,致使数千个站点、邮局发生了长达数小时之久的中断服务。许多用户纷纷致电询问,甚至激奋投诉——为什么昔日稳定无比、几无瑕疵的商务中国主机,现在变得如此脆弱?
作为国内网络应用服务的知名商家,商务中国对近日的DDoS攻击行为非常震惊,却丝毫没有妥协,他们组织了公司最精壮的科研力量赶赴救火。商务中国资深网管针对攻击手段,提出了切实可行的解决方法,并获得采用,尽可能在最短时间内排查攻击,把危害降至最低,全面恢复服务器正常运作。商务中国认为需提请关注的是,几次攻击均属同一手法不同形式的DDOS攻击,对服务器轮批进攻,初步认定为蓄意的攻击行为,目的是破坏大量站点的稳定状态,给服务器提供商和托管商带来压力。
目前所有的牵连站点均已恢复正常访问,商务中国采取了绿色攻略对此攻击行为进行追堵,获得用户广泛认可。商务中国表示已经在技术上从底层软件到透明防火墙做到逐一防范,将全力维护所有站点的稳定和安全。除去例行维护和升级,任何一次无常暂停,哪怕是短短几分钟都是不被允许的。商务中国已经配合公安部门、电信IDC的追踪掌握了大量攻击证据,终将攻击者绳之法办。同时,他们呼吁业界团结一致,共同打击黑客团体的攻击行为,营造中国互联网络的健康环境。以下是关于DDOS攻击的一些常识性介绍与大家分享。
DDoS攻击
要理解DDoS的概念,必须先知道DoS。DoS:Denial of Service,也就是“拒绝服务”的意思。从网络攻击的各种方法和所产生的破坏情况来看,DoS算是很简单又很有效的进攻方式。它的目的就是拒绝你的服务访问,破坏正常运行,最终使你部分连接和网络系统失效。
DDoS:Distributed Denial of Service,也就是“分布式拒绝服务”,它是一种基于DoS的特殊形式的拒绝服务攻击,主要瞄准比较大的站点,象商业公司,搜索引擎和政府部门的站点。它利用网络协议与生俱来的缺陷或者操作系统漏洞,伪造大量畸形的数据包涌向服务器提供服务的端口,服务器疲于处理大量的“垃圾信息”而无法提供正常的服务。以往这是一种难以掌握的攻击方法,目前网络上却流行大量的工具可以进行,如果攻击者采取一个有组织、有计划的大规模行动,往往会给服务器带来灾难性的后果。通常攻击者都掌握着数十台、上百台的服务器,形成相当大的网络带宽同时发起攻击,很难防范。
“DDOS拒绝式服务”是非常典型的黑客攻击行为,它能致使任何一家大型网站长时间无法访问,国内外不乏这类攻击事例,Yahoo、eBay、Amazon、CNN等所遭遇的DDOS攻击,曾被记入国际重大安全事件,中国新浪、博客中国网站也都遭受过DDOS攻击。这种针对特定IP的攻击,很多情况下还是依赖于用户自己的防护手段,比如购置硬件防火墙,或在攻击时马上更改IP地址等等。
针对近期的DDOS攻击,商务中国采取了有效保护用户站点的绿色攻略进行抵御:
1、针对服务器所托管的IDC机房的不力抵御,商务中国已经第一时间内向其上级主管部门
发出抗议书,并限期将服务器搬迁至符合条件的IDC机房。商务中国一贯严格监控IDC机房的软硬件设施及服务标准,一旦发现违规操作或条件不当,将于第一时间内重新选择符合标准的IDC机房。
2、全面检测硬件。更新服务器的关键部件(如硬盘、电源、风扇、机箱等),以让所有服
务器以最佳“精神状态”投入使用。
3、负载均衡。将多台web服务器或者邮件服务器作为一个群集,对外使用公用IP,由程序根据各台服务器负载压力实时做出访问均衡,将群集中每台服务器充分发挥性能,并且,最突出的效果是,群集中如果有一台或者若干服务器停止服务,客户仍然还能保持对站点的正常访问。
4、大部分服务器都已经装上商务中国自主开发的防火墙,将可以有效的抵御DDoS攻击,即使每秒钟40万个数据包同时攻击也能予以防范。该防火墙使用了目前最先进的数据流指纹检测技术,可以轻松防护各种DOS攻击,例如其中的SYN DOS拒绝服务攻击。它甚至是目前绝大多数防火墙无法防护的,因为要防护这种攻击必须要求防火墙具有数据流指纹检测技术,由于技术含量非常高,大多数宣称使用类似技术的防火墙大都只是局部的应用,所以无法防护大规模的SYN DDOS攻击。而商务中国防火墙,使用完全自主研发的数据流指纹检测核心技术,无论从效率、稳定性、安全性和透明性等方面都领先于同类产品,可以完全防护各种已知未知的拒绝服务攻击!