據(jù)國外媒體報道，一組來自格勒諾布爾理工學院和CTP 法國紙業(yè)技術中心的科學研究人員已經成功研發(fā)出一種新型的抗WiFi 墻紙，該種墻紙將于2013年上市發(fā)售。這種新型的抗WiFi 墻紙看起來和像普通的墻

據(jù)國外媒體報道，一組來自格勒諾布爾理工學院和CTP 法國紙業(yè)技術中心的科學研究人員已經成功研發(fā)出一種新型的抗WiFi 墻紙，該種墻紙將于2013年上市發(fā)售。這種新型的抗WiFi 墻紙看起來和像普通的墻紙區(qū)別不大，但是它內部包涵的是銀納米粒子，該粒子使得墻紙可以同時濾出高達3種不同的頻率。

不過，這種技術并不是首次面世的，2004年的時候，BAE Systems公司曾經受命英國通信辦公室推出過類似的解決方案，當時的墻紙采用的是銅納米粒子，在隔絕WiFi 信號的同時，允許GSM ，4G 信號穿過墻紙，可惜售價很高，一平方米大約500英鎊。

相比之下，法國科學家最新研發(fā)的WiFi 墻紙的售價要合理許多，格勒諾布爾理工學院的一名科研人員稱，抗WiFi 墻紙的售價將只會比市場上中端普通墻紙貴一點。而且抗WiFi 墻紙除了可以用在四周的墻壁之外，還可以用于地板以及天花板，進一步防止WiFi 信號泄露，提高網絡安全性。

消息還報道稱，這種墻紙除了能夠有效阻止黑客監(jiān)測網絡，提升安全性之外，其實還可以在醫(yī)院或者其他將WiFi 視為有害物質的地方使用。

隨著計算機與網絡技術的發(fā)展，對惡意攻擊包的消化處理能力增強，一對一的Dos 攻擊基本失效；高速廣泛連接的網絡，也使得傀儡機的選擇范圍更大更靈活。分布式拒絕服務攻擊手段DDos 利用更多的傀儡機發(fā)起更大規(guī)模的進攻，通過向服務器提交大量請求，使其過載，干擾甚至阻斷正常的網絡通信。

清理攻擊機上的日志是個龐大的工程，如果弄不干凈，容易揪出黑客；如果控制用的是傀儡機，從控制機找到黑客的可能性大大降低，清理日志也輕松得多。

攻擊目標時，黑客需要了解的有被攻擊目標主機的數(shù)目、地址、配置、性能和帶寬。一個大的網站很可能有多臺主機利用負載均衡技術提供一個網站的www 服務，舉個例子，66.218.71.89/88/81/83/84/86都提供服務，如果進行DDos 攻擊，應該攻擊哪個地址？如果使87癱掉，其他主機還能提供服務，如果要使訪問不到該網站，就必須是這些IP 地址的機器都癱掉。而每個IP 地址往往代表數(shù)臺機器，使用了4層或者7層交換機來做均衡負載。所以事先搜集情報對DDos 攻擊者是至關重要的，判斷使用多少傀儡機才能生效；但實際中黑客多半不進行情報搜集直接進行DDos 攻擊。

攻擊發(fā)生后，網站上不去了，但可以訪問到管理界面，執(zhí)行命令：

netstat-antp

看到有大量的鏈接存在著，并且都是ESTABLISHED 狀態(tài)，正常狀態(tài)下我們的網站訪問量沒有這么高，這樣的情況處理比較簡單，這是一次四層的攻擊，也就是所有ip 都是真實的，由于目前為止只是消耗了webserver 的網絡連接資源，所以只需要簡單的將這些ip 在網絡層封禁就可以

然后一分鐘執(zhí)行一次即可，很快，iptables 的封禁列表就充斥了大量的封禁ip ，為了保證系統(tǒng)的性能，調大系統(tǒng)的可接受的連接數(shù)以及對Nginx 進行了每個連接能夠進行的請求速率，系統(tǒng)恢復正常的運行。

正常狀態(tài)一直持續(xù)到第二天，但是到中午之后發(fā)現(xiàn)網絡很慢，使用ping 發(fā)現(xiàn)大概出現(xiàn)了70左右的丟包，在艱難的登陸到系統(tǒng)上之后，發(fā)現(xiàn)系統(tǒng)已經很少有TCP 的正常連接，為了查明原因，我們對系統(tǒng)進行了抓包：

tcpdump -w tmp.pcap port not 22

tcpdump -r tmp.pcap -nnA

我們發(fā)現(xiàn)攻擊已經從應用層的攻擊調整到了網絡層的攻擊，大量的目標端口是80的udp 和icmp 包以極快的速度充滿了網絡，一個包大小大概在1k 左右，這次占據(jù)的資源純粹是帶寬資源了，即使在系統(tǒng)上做限制也解決不了這個問題，不過也沒有關系，對于網絡層的問題我們可以在網絡層上做限制，我們只需要在網絡上把到達我們ip 的非TCP 的所有包如UDP 和ICMP 等協(xié)議都禁止掉即可，但是我們沒有自己的服務器也缺乏對網絡設備的控制權，目前是由工信部CERT 提供支持的，由于臨時無法協(xié)調進行相應的操作，后果如大家看到，我們的服務很慢，基本上停止了服務，在一段時間之后攻擊者停止了攻擊，服務才進行了恢復，

很憋屈是么？但是同時我們得到了很多熱心朋友的幫助，得到了更好的網絡和服務器資源，在網絡資源方面的能力得到了很大的提升，緩解了這方面的問題，這里對他們表示感謝。

三常見ddos 攻擊及防御

繼續(xù)秉承80sec 的”Know it then hack it”，這里簡單談一下ddos 攻擊和防御方面的問題。ddos 的全稱是分布式拒絕服務攻擊，既然是拒絕服務一定是因為某些原因而停止服務的，其中最重要的也是最常用的原因就是利用服務端方面資源的有限性，這種服務端的資源范圍很廣，可以簡單的梳理一個請求正常完成的過程：

1用戶在客戶端瀏覽器輸入請求的地址

2瀏覽器解析該請求，包括分析其中的dns 以明確需要到達的遠程服務器地址

3明確地址后瀏覽器和服務器的服務嘗試建立連接，嘗試建立連接的數(shù)據(jù)包通過本地網絡，中間路由最終艱苦到達目標網絡再到達目標服務器

4網絡連接建立完成之后瀏覽器根據(jù)請求建立不同的數(shù)據(jù)包并且將數(shù)據(jù)包發(fā)送到服務器某個端口 5端口映射到進程，進程接受到數(shù)據(jù)包之后進行內部的解析

6請求服務器內部的各種不同的資源，包括后端的API 以及一些數(shù)據(jù)庫或者文件等

7在邏輯處理完成之后數(shù)據(jù)包按照之前建立的通道返回到用戶瀏覽器，瀏覽器完成解析，請求完成。 上面各個點都可以被用來進行ddos 攻擊，包括：

1某些著名的客戶端劫持病毒，還記得訪問百度跳搜狗的事情么?

2某個大型互聯(lián)網公司發(fā)生的dns 劫持事件，或者直接大量的dns 請求直接攻擊dns 服務器，這里可以使用一些專業(yè)的第三方dns 服務來緩解這個問題，如Dnspod

3利用建立網絡連接需要的網絡資源攻擊服務器帶寬使得正常數(shù)據(jù)包無法到達如udp 的洪水攻擊，消耗前端設備的cpu 資源以使得數(shù)據(jù)包不能有效轉發(fā)如icmp 和一些碎片包的洪水攻擊，消耗服務器方建立正常連接需要的資源如synflood 或者就是占用大量的連接使得正常的連接無法發(fā)起，譬如這次的TCPflood 4利用web server的一些特點進行攻擊，相比nginx 來說，apache 處理一個請求的過程就比較笨重。 5利用應用程序內部的一些特性攻擊程序內部的資源如mysql ，后端消耗資源大的接口等等，這也就是傳統(tǒng)意義上的CC 攻擊。

這里涉及到攻防的概念，但是實際上如果了解對方的攻擊點和攻擊手法，防御會變成簡單的一個拼資源的過程，不要用你最弱的地方去抗人家最強的地方，應該從最合適的地方入手把問題解決掉，譬如在路由器等設備上解決應用層攻擊就不是一個好的辦法，同理，在應用層嘗試解決網絡層的問題也是不可能的，簡單來說，目標是只讓正常的數(shù)據(jù)和請求進入到我們的服務，一個完善的防御體系應該考慮如下幾個層面：

1作為用戶請求的入口，必須有良好的dns 防御

2與你的價值相匹配的帶寬資源，并且在核心節(jié)點上布置好應用層的防御策略，只允許你的正常應用的網絡數(shù)據(jù)包能夠進入，譬如封殺除了80以外的所有數(shù)據(jù)包

3有支持你的服務價值的機器集群來抵抗應用層的壓力，有必要的話需要將一個http 請求繼續(xù)分解，將連接建立的過程壓力分解到其他的集群里，這里似乎已經有一般的硬件防火墻能做這個事情，甚至將正常的http 請求解析過程都進行分解，保證到達后端的是正常的請求，剔除掉畸形的請求，將正常的請求的請求頻度等行為進行記錄和監(jiān)控，一旦發(fā)生異常就在這里進行應用層的封殺

每個公司都有自己對自己價值的評估從而決定安全投入上的大小，每一次攻擊也會涉及到利益的存在，正如防御因為種種原因譬如投入上的不足和實施過程中的不完美，有著天生的弱點一樣，攻擊也是有著天生的弱點的，因為每一次攻擊涉及到不同的環(huán)節(jié)，每個環(huán)節(jié)都可能由不同水平的人完成，他所擁有的資源，他使用的工具和技術都不會是完美的，所以才有可能進行防御，另外，我相信進行DDOS 攻擊的人是一個固定的行業(yè)，會有一些固定的人群，對于其中使用的技術，工具，資源和利益鏈都是比較固定的，與之相對的是各個企業(yè)卻缺乏相應的溝通，以個人企業(yè)對抗一個產業(yè)自然是比較困難，而如果每一個企業(yè)都能將自己遭受攻擊時的經驗分享出來，包括僵尸網絡的大小及IP 分布，攻擊工具的特征，甚至有能力的可以去分析背后的利益點及操作者，那么每一次攻擊都能讓大家的整體防御能力上升，讓攻擊者的攻擊能力有損失，我們很愿意來做這個事情。

四根源及反擊

我困惑的是一點，攻擊我們并不能得到實際的好處為什么還是有人來攻擊，而且聽說其他公司都有被攻擊的情況，我覺得有一點原因就是攻擊我們的確得不到什么好處，但是實際上攻擊者也并不損失什么，無論是資源上還是法律風險上，他不會因為一次攻擊而損失太多，而相比之下，服務提供者損失的東西卻太多了，這從經濟學角度來講就是不平衡的，我們處于弱勢。

一般而言，的確對于作惡者是沒有什么懲罰措施，但是這次，我們覺得我們是可以做一些事情的，我們嘗試挖掘背后的攻擊者，甚至清除這個僵尸網絡。

首先這次攻擊起源于應用層的攻擊，所以所有的ip 都是真實的，經過與CERT 溝通，也發(fā)現(xiàn)這些ip 都是韓國的，并且控制端不在國內，因為期間沒有與國內有過通訊，即使在后面換成了udp icmp的flood ，但是依然是那些韓國的ip ，這很有意思，正常情況下udp icmp的數(shù)據(jù)包是可以偽造的，但是這里居然沒有偽造，這在后面大概被我們證實了原因。

這些ip 是真實存在的ip ，而且這些ip 肯定在攻擊完我們之后一定依然跟攻擊者保持著聯(lián)系，而一般的聯(lián)系方式因為需要控制的方便都是dns 域名，既然如此，如果我們能挖掘到這個dns 域名我們就可能間接的挖掘出真正幕后黑手在哪里。首先，我們迅速的找出了這次攻擊ip 中開放了80端口的機器，因為我們對80端口上的安全問題比較自信，應該很快可以獲知這些ip 背后的細節(jié)（80sec 名稱由來），我們發(fā)現(xiàn)大部分是一些路由器和一些web 的vpn 設備，我們猜測這次攻擊的主要是韓國的個人用戶，而個人用戶的機器操作系統(tǒng)一般是windows 所以在較高版本上發(fā)送數(shù)據(jù)包方面可能有著比較大的限制，這也解釋了為什么即使是udp icmp的攻擊我們看到的大都是真實ip 。發(fā)現(xiàn)這些路由設備之后我們嘗試深入得更多，很快用一些弱口令譬如admin/admin登陸進去，果然全世界的網民都一樣，admin/admin是天生的入口。

登陸進去一些路由之后我們發(fā)現(xiàn)這些路由器里面存在一個功能是設置自己的dns ，這意味著這下面的所有dns 請求都可以被定向到我們自己設置的dns 服務器，這對于我們去了解內部網絡的細節(jié)會很有用，于是我們建立了一個自己的dns 服務器，并且開啟了dns 請求的日志功能以記錄所有請求的細節(jié)。我們大約控制了20臺路由器的dns 指向，并且都成功重定向到我們自己的服務器。

剩下的就是簡單的數(shù)據(jù)分析，在這之前我們可以對僵尸網絡的控制域名做如下的猜測：

1這個dns 應該為了靈活的控制域名的緩存時間TTL 一般不會特別長

2這個dns 應該是定期的被請求，所以會在dns 請求里有較大的出現(xiàn)比例

3這個dns 應該是為了控制而存在的，所以域名不應該在搜索引擎以及其他地方獲得較高的訪問指數(shù)，這與2中的規(guī)則配合起來會比較好確定，是一個天生的矛盾。

4這個dns 應該在各個路由下面都會被請求

這些通過簡單的統(tǒng)計就很容易得出答案，我們發(fā)現(xiàn)了一些3322的通用惡意軟件域名但是發(fā)現(xiàn)它并不是我們需要的，因為只有少數(shù)機器去訪問到，經過一些時間之后最后我們發(fā)現(xiàn)一個域名訪問量與naver （韓國的一個門戶）的訪問量持平，workgroup001.snow****.net，看起來似乎對自己的僵尸網絡管理很好嘛，大概有18臺機器訪問過這個域名，這個域名的主機托管在新加坡，生存時間TTL 在1800也就是半小時，這個域名在所有的搜索引擎中都不存在記錄，是一個韓國人在godady 一年前才注冊的，同時我們訪問這個域名指向主機的3389，簡單的通過5下shift 就判斷出它上面存在著一個典型的windows 后門，似乎我們找到它了，不是么？經過后續(xù)的觀察，一段時間后這個域名指向到了127.0.0.1，我們確信了我們的答案,workgroup001.snow****.net，看起來似乎對自己的僵尸網絡管理很好嘛：）

這是一次典型的ddos 攻擊，攻擊之后我們獲得了參與攻擊的主機列表和控制端的域名及ip ，相信中國和韓國的cert 對于清理這次的攻擊源很有興趣，我們是有一些損失，但是攻擊者也有損失了（大概包括一個僵尸網絡及一個控制端域名，甚至可能包括一次內部的法律調查），我們不再是不平等的了，不是么？ 五總結

正如一個朋友所講的，所有的防御是不完美的正如攻擊是不完美的一樣，好的防御者在提升自己的防御能力趨于完美的同時也要善于尋找攻擊者的不完美，尋找一次攻擊中的漏洞，不要對攻擊心生恐懼，對于Ddos 攻擊而言，發(fā)起一次攻擊一樣是存在漏洞的，如果我們都能夠擅長利用其中的漏洞并且抓住后面的攻擊者那么相信以后的ddos 攻擊案例將會減少很多，在針對目標發(fā)起攻擊之前攻擊者也會做更多的權衡，損失，利益和法律。

在DDoS 攻擊下保護DNS

2012-03-14 11:08 佚名 ZDNet 攻擊防范 我要評論(2) 字號： |

如果你的服務器主機中運行了DNS 服務，那么一定要小心DdoS 這個很現(xiàn)實的攻擊行為。而如果你的DNS 服務遭受到了DdoS 攻擊，那么可以想象，最低的損失也是丟失電子郵件和暫停Web 服務。

AD ：

51CTO 云計算架構師峰會 搶票進行中！

如果你的服務器主機中運行了DNS 服務，那么一定要小心DdoS 這個很現(xiàn)實的攻擊行為。而如果你的DNS 服務遭受到了DdoS 攻擊，那么可以想象，最低的損失也是丟失電子郵件和暫停Web 服務。而如果你的DNS 服務主機位于企業(yè)內部，并且與企業(yè)用戶的網絡瀏覽等服務共用網絡連接，那么一旦遭受DdoS 攻擊，就意味著整個企業(yè)的網絡服務暫停了。就算你的DNS 服務只是用于測試或其它有限的目的，一旦被攻擊，所波及的范圍也會很廣。

其它會威脅到DNS 的情況還包括對外網開啟FTP 服務，這個服務本來不應該從企業(yè)內部對外開放的。因為管理員都明白，一旦你這樣做了，黑客和各種機器人程序會通過各種手段，包括暴力破解方式，來取得FTP 的賬戶和密碼。就算你采用了很復雜的密碼，當多個暴力破解程序運行時，由此產生的失敗的FTP 訪問流量就足以耗光網絡資源。

總之，企業(yè)自己搭建和管理DNS 總會存在一定程度的安全風險。換句話說，目前公認的較好的解決方案就是DNS 服務托管。對于那些還沒有為自己管理DNS 服務做好萬全準備的企業(yè)來說，唯一的建議就是找個信任ISP 或其它專業(yè)的托管機構，將這個事兒交給他們去做。

DDoS 攻擊親身體驗

之所以撰寫這篇文章，也是因為我經歷了一場真實的DdoS 攻擊。當時的受害者是位于北美的一個小辦公室，擁有一個DSL 路由器和一個靜態(tài)IP 地址。辦公室的服務器對外開啟了DNS 。被攻擊的早期征兆有兩點，一是接收到的電子郵件數(shù)量比平時有所下降，二是Web 瀏覽速度下降。在經過幾天的不良癥狀后，該辦公室再也收不到來自外界的電子郵件了，同時也無法進行網絡瀏覽了。使用最簡單的ping 命令到互聯(lián)網大型網站地址，得到的結果要么是失敗，要么就是超過1000ms 的響應時間，這也基本算是無法連接了。

很明顯此時有某個網絡進程充斥在DSL 連接中。辦公室中的每臺電腦都關機重啟了，并沒有解決問題。重啟DSL 也沒有解決問題。但是在重啟DNS 服務器后，會有短暫的時間恢復到正常的互聯(lián)網連接狀態(tài)，幾分鐘后，這種正常的連接速度再次變得不正常，并很快無法連接任何網站?？紤]到可能是電子郵件系統(tǒng)或基于Web 的進程出現(xiàn)故障，便先后將服務器中的Exchange 服務和Web 服務關停，但是沒有效果。在接下來的逐項嘗試中，我們發(fā)現(xiàn)關閉DNS 服務會產生明顯的效果，于是我們最終將問題鎖定在DNS 服務上。

但是DNS 服務的日志中并沒有任何警告事件，而且服務器本身也安裝了最新的補丁，包括DNS 服務補丁和DoS 溢出補丁。另一個找尋線索的位置就是防火墻的日志文件。雖然這個辦公室的防火墻沒有歷史日志文件，但是我們可以查看選定網絡協(xié)議的實時日志。從實時的防火墻日志可以觀察到，有兩個互聯(lián)網上的IP 地址在不斷向辦公室的服務器發(fā)送DNS 請求數(shù)據(jù)。這兩個IP 地址所代表的服務器都位于歐洲，分別屬于兩個不同的國家，但是它們都在向這個相同的DNS 服務地址發(fā)送大量的數(shù)據(jù)。如果有兩個或兩個以上的遠程地址在進行DoS 攻擊，就可以將其歸類為DDoS 攻擊，即分布式DoS 攻擊。。

在DDoS 攻擊下保護DNS

一旦你知道了攻擊方的IP 地址，就可以簡單在防火墻中設置一個IP 規(guī)則，阻止來自該IP 地址的任何數(shù)據(jù)通過防火墻。在我們阻止了一個IP 地址后，ping 主流網站的結果已經達到300ms 了。當我們將第二個IP 地址阻擋后，ping 主流網站的結果已經恢復到正常水平，大概30ms ，并且所有網絡功能恢復了正常。這個辦公室很幸運，所遭受的DDoS 攻擊只有兩個攻擊源，兩個固定IP 地址。如果攻擊源有幾十甚至上百個(或者攻擊源IP 地址是變化的) ，該辦公室的處境就艱難的多了，同時對日常業(yè)務的沖擊也會更大。

正如我前面提到的，防止DNS 服務器遭遇DDoS 攻擊的最佳方案是將DNS 服務交給DNS 服務供應商去實現(xiàn)，比如你的ISP 或知名的DNS 注冊機構，或者可靠的托管機構。雖然這種做法無法從根本上杜絕黑客對于供應商展開DoS 攻擊的威脅，但是起碼能夠防止在發(fā)生DoS 攻擊時，你企業(yè)的各種網絡功能會不受影響。 如果出于某種原因，你必須要在企業(yè)內部建立DNS 服務，那么一定要制定一個針對DNSDoS 攻擊的應對策略。比如在不同地點建立多個DNS 服務器, 使用強化或專用的DNS 服務器或應用程序并采用獨立的互聯(lián)網連接線路。Verisign 在2011年5月發(fā)布了一份DNS 可用性狀態(tài)報告，確認就算是最頂級的電子商務網站，其DNS 的可用性也面臨潛在風險，尤其是那些自己建立和管理DNS 服務的企業(yè)。

Arbor Networks APS防黑客層出不窮的DDoS 問題

2012-07-18 13:38 曉憶 51CTO.com 字號： |

近些年來，DDoS 攻擊已變的更加尖端。黑客在其攻擊中使用的攻擊手段更加復雜。黑客現(xiàn)在組合使用大流量攻擊和應用層DDoS 攻擊，因為他們知道這會增加中斷可用性的幾率。

AD ：

51CTO 云計算架構師峰會 搶票進行中！

近些年來，DDoS 攻擊已變的更加尖端。黑客在其攻擊中使用的攻擊手段更加復雜。黑客現(xiàn)在組合使用大流量攻擊和應用層DDoS 攻擊，因為他們知道這會增加中斷可用性的幾率。

此外，大流量攻擊也日益壯大，它們使用數(shù)目更加龐大的惡意軟件感染的機器或自愿主機來發(fā)起此類攻擊。 在由Arbor Networks進行的調查中，DDoS 攻擊的規(guī)模已穩(wěn)步增長。但在2010年，已報告有100Gbps 級攻擊。這超過2009年發(fā)生的最大攻擊的規(guī)模的兩倍。驚人的數(shù)據(jù)顯示了黑客攻擊網絡或服務時能夠使用的資源。由于結構面臨這些新挑戰(zhàn)，網絡管理員不得不尋求以轉移和緩解這些新黑客戰(zhàn)術為單一目的的解決方案。

黑客行為主義的出現(xiàn)改變了對安全社區(qū)中的DDoS 的觀點。攻擊動機以前主要被視為博取名譽或財務，但現(xiàn)在已發(fā)生變化。盡管出于勒索等目的攻擊仍然存在，但DDoS 攻擊目前正被用作黑客行動主義的一種手段或用于證明是多么不堪一擊。媒體機構、社交網絡、政府部門等已成為此類DDoS 攻擊的首要目標。

Anonymous 和LulzSec 是兩個引起人們關注的知名黑客組織。Anonymous 的目標是攻擊它認為以不公平的方式妨礙互聯(lián)網自由和言論自由的機構。另一方面，LulzSec 因為暴露網絡和網站中的安全漏洞而聞名于世。 盡管LulzSec 的目的是暴露網絡漏洞，除了揭示網絡漏洞以外沒有其他的動機，但已有其他實例表明，攻擊背后的理由已變的模糊。根據(jù)2011年第2季度出版的Kapersky 的DDoS 攻擊報告，社交網絡正成為目標，因為它們允許在數(shù)以萬計的用戶之間及時交換信息。在2011年，名為LiveJournal 的俄羅斯虛擬網絡遭遇了一系列攻擊。隱藏在攻擊后的僵尸網絡名為Optima 。迄今為止，沒有任何人聲稱為這些攻擊負責。

Arbor Networks的Pravail 可用性保護系統(tǒng)（APS ）專注于保障網絡邊界的安全，使其免遭針對可用性的威脅，尤其可以提供針對應用層DDoS 攻擊的保護。該系統(tǒng)是為企業(yè)專門設計的，它提供開包即可使用、經過實踐檢驗的DDoS 攻擊識別的緩解功能，此類功能可藉使用極少的配置快速部署，甚至可以在攻擊發(fā)生的過程中部署。

為客戶提供的一項附加好處是Arbor 獨一無二的對DDoS 僵尸網絡的洞察能力，這得益于其ATLAS 基礎設施，它將暗網監(jiān)測系統(tǒng)與來自全球100多家服務提供商客戶的流量數(shù)據(jù)有機地結合起來。ATLAS 智能預警系統(tǒng)實時提供DDoS 簽名，藉此保護企業(yè)數(shù)據(jù)中心邊緣免受數(shù)以百計的僵尸網絡支持的DDoS 攻擊工具及其變種的威脅。

總而言之，Arbor Networks APS 提供其他基于邊界的安全設備無法提供的功能，這就是主動檢測和緩解DDoS 攻擊的功能。

Arbor 詳解目前DDoS 三大攻擊手段 2012-07-26 14:06 佚名 51CTO.COM 字號： |

Arbor Networks的Pravail 可用性保護系統(tǒng)(APS)是為企業(yè)專門設計的，它提供開包即可使用、經過實踐檢驗的DDoS 攻擊識別和緩解功能，此類功能可使用極少的配置快速部署，甚至可以在攻擊發(fā)生的過程中部署。

AD ：

51CTO 云計算架構師峰會 搶票進行中！

什么是DDoS?

DDoS 攻擊就是攻擊者發(fā)起的一個嘗試，目的是耗盡可用于網絡、應用程序或服務的資源，以致于真正的用戶無法訪問這些資源。它是由一組惡意軟件感染的計算機或自愿的客戶端計算機產生的攻擊，這些計算機企圖耗盡特定的網絡、網站或服務的資源。不過，并非所有DDoS 攻擊均按照相同的方式來操作。

DDoS 攻擊可分為多種不同的形式。這些形式包括洪水攻擊和更加尖端的應用層攻擊手段/工具。洪水攻擊依賴大量流量/會話來耗盡一個目標，例如TCP SYN、ICMP 和UDP 洪水; 尖端的應用層攻擊手段/工具包括Slowloris 、KillApache 等。

DDoS 攻擊可分為大流量攻擊、TCP 狀態(tài)耗盡攻擊或應用層攻擊。在2011年第2季度出版的Kapersky 的DDoS 攻擊報告中，HTTP 洪水攻擊是最常見的DDoS 手段，它就是應用層攻擊的一個實例。應用層攻擊占據(jù)主導地位反映了快速演變的DDoS 已脫離傳統(tǒng)的大流量攻擊方向。

大流量攻擊

大流量攻擊通過海量流量使得網絡的帶寬和基礎設施達到飽和，將其消耗殆盡，從而實現(xiàn)淹沒網絡的目的。一旦流量超過網絡的容量，或網絡與互聯(lián)網其他部分的連接能力，網絡將無法訪問，如上圖所示。大流量攻擊實例包括ICMP 、碎片和UDP 洪水。

TCP 狀態(tài)耗盡攻擊

TCP 狀態(tài)耗盡攻擊試圖消耗許多基礎設施組件(例如負載均衡器、防火墻和應用服務器本身) 中存在的連接狀態(tài)表。例如，防火墻必須分析每個數(shù)據(jù)包來確定數(shù)據(jù)包是離散連接，現(xiàn)有連接的存續(xù)，還是現(xiàn)有連接的完結。同樣，入侵防御系統(tǒng)必須跟蹤狀態(tài)以實施基于簽名的數(shù)據(jù)包檢測和有狀態(tài)的協(xié)議分析。這些設備和其他有狀態(tài)的設備—包括負責均衡器—被會話洪水或連接攻擊頻繁攻陷。例如，Sockstress 攻擊可通過打開套接字來填充連接表以便快速淹沒防火墻的狀態(tài)表。

應用層攻擊

應用層攻擊使用更加尖端的機制來實現(xiàn)黑客的目標。應用層攻擊并非使用流量或會話來淹沒網絡，它針對特定的應用/服務緩慢地耗盡應用層上的資源。應用層攻擊在低流量速率下十分有效，從協(xié)議角度看，攻擊中涉及的流量可能是合法的。這使得應用層攻擊比其他類型的DDoS 攻擊更加難以檢測。HTTP 洪水、DNS 詞典、Slowloris 等都是應用層攻擊的實例。

Arbor Networks的Pravail 可用性保護系統(tǒng)(APS)

Arbor Networks的Pravail 可用性保護系統(tǒng)(APS)是為企業(yè)專門設計的，它提供開包即可使用、經過實踐檢驗的DDoS 攻擊識別和緩解功能，此類功能可使用極少的配置快速部署，甚至可以在攻擊發(fā)生的過程中部署。Pravail APS 專注于保障網絡邊界的安全，使其免遭針對可用性的威脅，尤其可以提供針對應用層DDoS 攻擊的保護，可以應對管理人員處于DDoS 攻擊時所面對的日益嚴峻的挑戰(zhàn)。通過使用一系列反制措施，Pravail APS 檢測和阻斷DDoS 攻擊，尤其是在云環(huán)境下難以檢測攻擊。

【責任編輯：Oo 小孩兒 TEL ：（010）68476606】