易觀國際: 中國招商網受DDoS攻擊凸現網絡安全隱患

    北京 2007-01-22(中國商業電訊)－－中國招商網從2006年12月10日開始，一個多月以來，每天都在遭受不明攻擊，中國招商網也在不停地采取各種措施應對。一個多月來服務器先后換了4個機房，并且4次更換IP地址，但是攻擊沒有停止過。2006年12月26日的一次攻擊，使機房的數百個服務器機柜短時癱瘓。此后，該網站被迫關閉了數日。

    這種網絡攻擊方式屬于DDoS攻擊，即“分布式拒絕服務”，攻擊者通過將惡意代碼嵌入公開的網站，造成大量網站訪問者的電腦感染病毒并被攻擊者控制，用于發動針對某一網站的攻擊，并對網絡安全造成嚴重威脅。

    由于DDoS攻擊往往采取合法的數據請求技術，再加上一些傀儡機器，造成DDoS攻擊是目前最難防御的互聯網攻擊之一，如何有效的抵御這種威脅是網絡安全領域亟待解決的重要問題。

    現在流行的DDoS防御手段——例如黑洞技術和路由器過濾限速均無法處理復雜性日益增加的攻擊。這些防御手段不僅慢，消耗大，而且也會阻斷有效業務。傳統的網絡安全設備IDSs可以提供入侵檢測但并不能緩解DDoS，基于簽名的IDS解決方案無法檢測以合法數據包作為途徑的DDoS攻擊。防火墻提供的保護也受到其技術弱點的限制，對反常事件檢測不夠全面，缺乏反欺騙能力和惡意數據包的甄別能力。還有其它策略，例如大量部署服務器，冗余設備，保證足夠的響應能力來提供攻擊防護，但這樣作為阻止DDoS攻擊的手段代價過于高昂，沒有從根本上解決DDoS攻擊。由于這種安全威脅近來日益呈現上升趨勢，用戶迫切需要廠商提供針對DDoS的完整解決方案。

    對于網站和行業用戶：

    （1）定期掃描。定期掃描現有的網絡主節點，清查可能存在的安全漏洞，對新出現的漏洞及時進行處理。

    （2）盡量用足夠的機器和帶寬來應對。在發現受到攻擊時，將攻擊導向一些不重要的主機，可以暫時保護真正的主機維持正常工作。這是一個能夠暫時緩解攻擊威脅的辦法，但是治標不治本。

    （3）充分利用網絡設備保護網絡資源。路由器、防火墻等網絡設備可將網絡先保護一層。當網絡被攻擊時路由器最先受影響，死掉的路由器經重啟后會快速恢復正常。比起服務器死掉和重啟來說，情況要好很多。采用備份網絡也會有助于在遭受攻擊時均衡負載。

    （4）與網絡安全廠商合作，對自身網絡進行安全檢查和升級。盡量應對DDoS的威脅，降低受到攻擊時的損失。

    對網絡安全廠商：

    建立基于檢測、驗證和轉發的基礎上的完整DDoS保護解決方案，應包括以下功能：

    1. 實時監測DDoS攻擊；

    2. 對數據包進行分辨，能辨識正常的數據包和惡意攻擊的數據包；

    3. 對攻擊進行處理，比如轉移數據到防護設備；

    4. 轉發和響應正常數據包，維持正常業務。

    未來DDoS事件還會頻繁發生。因此，對于DDoS的完整解決方案擁有較大的商業潛力。