2007年,国内著名游戏厂商联众世界遭受了一次有组织的大型分布式拒绝服务(DDoS)攻击,经济损失惨重;2009年5月19日,“暴风影音”服务器遭受DDoS攻击引发了多省大规模网络故障事件;7月,美、韩两国政府诸多商务网站和军事网站频频遭受DDoS攻击,造成近30个网站访问延迟甚至崩溃……
这些案例表明,近年来,大规模的DDoS攻击呈上升趋势,其影响也越来越恶劣。有数据表明,2008年,中国DDoS攻击的峰值流量甚至达到了40Gps,这是一个省级运营商40%的带宽,客户访问失败、服务质量受损,网络服务商从信誉到金钱都遭受到了巨大损失。那么,有没有技术方案可以彻底解决这一难题呢?
2009年7月的一个下午,在“绿色网吧”门口,有大批的游戏玩家骂骂咧咧地从网吧走出来,网管随即在门口挂出了“停止营业”的牌子。“又是这样,玩着玩着突然掉线,重新登录服务器完全没反应。一个月内这样的情况已经发生第三次了,解决不了就别做了,关门得了。”一个刚从网吧走出来的男生嘴里絮叨着,他把手里的烟顺手丢在了地上,狠狠地踩了两脚。
“没办法啊,我们已经装了防火墙,也做了专门的网络维护,该做的我们都尽可能做了,黑客的攻击防不胜防,我们对这些攻击真是束手无策了。”网吧老板显得很无奈。
其实,“绿色网吧”是遭受到了一轮DDoS攻击,网速变得极慢,玩家根本无法正常上网。虽然最后并没能查到究竟是谁组织的这次攻击,但网吧老板怀疑是相距不远的另一家网吧采取的一种恶性竞争手段。
“低投高收”的“洪水式攻击”
最近几年,随着互联网的快速发展,上网人群日益增多,DDoS攻击似乎又开始呈现出大规模爆发的趋势。东软网络安全产品营销中心产品经理姚伟栋给出了这样一组数据:在2006年,国内DDoS攻击峰值流量只有2.5Gps,2007年达到了24Gps,2008年则达到了40Gps,每年在以两倍以上的速度增长。“国内一个省级电信运营商的出口带宽是100Gps,DDoS攻击流量占据了整体流量的40%,这相当惊人。”他说。2009年8月,Twitter、Facebook和YouTube账户也遭到阻断服务攻击。有报告指出,目前数百万企业应用正面临DDoS攻击的威胁。
那么,发动DDoS攻击的人究竟是什么目的?他们是如何发动的?真的如某些人所说,DDoS攻击是互联网上的顽疾,很难防御吗?为了弄清楚这些问题,记者走访了几家业内知名的信息安全厂商。
“发起DDoS攻击,大多数是为了恶性竞争。比如,网吧为了争夺顾客资源,有时会采取一些恶意攻击方法,造成被攻击网吧网络瘫痪而无法正常运营,并对网吧经营主造成直接经济损失。”北京神州绿盟科技有限公司产品市场经理崔云鹏告诉记者。“最开始是黑客对某个企业发动攻击,然后进行敲诈勒索;后来演变成了某些企业花钱聘用这些黑客向另一个竞争对手发起攻击,窃取商业机密或是使得对方网络瘫痪无法正常工作。”
记者了解到,黑客们发动DDoS攻击时需要找很多的“肉鸡”组成一个僵尸网络,通过操纵僵尸网络,让所有的“肉鸡”一起向目标发起攻击,并向受害主机发送大量看似合法的网络包,从而造成网络阻塞或服务器资源耗尽而导致拒绝服务,分布式拒绝服务攻击一旦被实施,攻击网络包就会犹如洪水般涌向受害主机,从而把合法用户的网络包淹没,导致合法用户无法正常访问服务器的网络资源。因此,拒绝服务攻击又被称之为“洪水式攻击”。
姚伟栋认为,除了商业恶意竞争催生DDoS攻击的快速发展外,另一个刺激因素是攻击的成本越来越低,而收益却越来越高。以每台“肉鸡”贡献1Mps流量计算,1000台“肉鸡”就可以达到1Gps,一次流量1Gps、时间一小时的攻击目前圈内可以接受的最低行内价只需要2000元到3000元,实际攻击成本比这个市价要低得多,只有一些高级攻击费用相对高些,但与收益比起来还是显得微不足道。
“比如,在网络上,买一个‘肉鸡’只需要0.8元人民币,一个1万台‘肉鸡’组成的僵尸网络,只需要8000元钱,形成的DDoS攻击流量可达10Gps,而据此获得的商业收益,却可能达到上亿元。”姚伟栋介绍说。据了解,现在有些黑客利用漏洞入侵大型知名游戏网络来刷数据库、盗刷账号等级和道具,一次便可获利上百万元。
防御追查困难重重
DDoS攻击发动起来简单,预防起来却是非常困难,这也是DDoS攻击被称为互联网“肿瘤”的一个重要原因。
到目前为止,对DDoS攻击的防御还是非常困难的。“最重要的原因是,这种攻击的特点是利用了TCP/IP协议的漏洞,除非你不用TCP/IP协议,才有可能完全抵御住DDoS攻击。”安徽中新软件有限公司企业发展部总监徐航解释了DDoS攻击的防御难题。
“黑客们很巧妙地利用了TCP协议的三次握手,DDoS攻击让TCP三次握手中的第三步不能完成,也就是说,不发送确认连接信息给服务器。”姚伟栋说。这样,服务器就无法完成第三次握手,但服务器不会立即放弃,而是会不停地重试并等待一定时间后才放弃这个未完成的连接,这段时间一般会持续大约30秒到两分钟。如果一个用户在连接时出现问题导致服务器的一个线程等待一两分钟并不是什么大不了的问题,但是如果有人用特殊的软件大量模拟这种情况,那后果就可想而知了。如果服务器一直在处理这些大量的半连接信息而消耗了大量的系统资源和网络带宽,其就不可能再有空去处理普通用户的正常请求了,这时服务器也就无法正常工作了。
一般来说,常见的防火墙、入侵检测设备、路由器等网络设备,对于DDoS攻击虽然有一定的防范作用,但一旦遭遇到有组织的大规模攻击,往往都无能为力。而且由于在设计上的缺陷,在面临大量攻击的情况下,这些设备反而很容易最先瘫痪。至于退让策略或是系统优化等方法也只能应付小规模DDoS攻击,对大规模DDoS攻击还是无法提供有效防护。
此外,黑客虽然也知道发动DDoS攻击是犯法行为,但因为追查的困难性,让黑客们来势汹汹。崔云鹏介绍,在网站遭受袭击过后,通过网络溯源查找幕后黑手是一大难题。通常,黑客们会建立很多个僵尸网络,很可能在国内有几个,在国外有几个,这是一种跳跃式的分布,一下子从国内跳到国外,然后又再跳回来。即使一层一层查下去,想要查到最上一层的僵尸主机也很难。此外,黑客还会把一个个庞大的“肉鸡”系统分割成很多部分,就算你查到了一个部分,他们也可以很简单地舍弃掉这部分,其他的部分仍然可以继续工作。如此查找,即使最终能查到幕后黑手,但需要花费巨额的人力和财力成本,只有关系到国家重大声誉或经济损失时才可能彻底追查,一般情况也就不了了之了。
厂商方案各有不同
目前,业界普遍认为,对于DDoS攻击并没有100%有效的防御手段。但是,由于攻击者必须付出比防御者大得多的资源和努力才能拥有这样的“动力”,所以积极部署防御措施,还是能够在很大程度上缓解和抵御这类安全威胁的。那么,到底可以采取哪些技术措施进行防范呢?目前,东软、华为赛门铁克、思科、绿盟、中新软件等公司都推出了不同特色的解决方案。
东软提出了通过流量变化来检测是否受到DDoS攻击的方法。据姚伟栋介绍,东软的反DDoS攻击方法与其他厂商的方案有所不同,一般厂商是通过特征码来判断是否受到DDoS攻击,而东软则是通过流量异常来判断是否受到DDoS攻击。这两者之间最大的差别是:前者只能判断已知的DDoS攻击,如果攻击库里没有则无法判断;而后者可以判断并抵御未知的DDoS攻击。