蔣靜 葉晰

[摘要]本文首先介紹了分布式拒絕服務(wù)攻擊（DDoS）的實(shí)施原理，進(jìn)而分析了DDoS攻擊對電子商務(wù)網(wǎng)站的巨大危害，最后提出了防范分布式拒絕服務(wù)攻擊的措施。

[關(guān)鍵詞]電子商務(wù) DDoS 網(wǎng)絡(luò)安全 分布式拒絕服務(wù)攻擊

電子商務(wù)指的是利用簡單、快捷、低成本的電子通訊方式，買賣雙方不謀面地進(jìn)行各種商貿(mào)活動。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，電子商務(wù)和電子政務(wù)等信息化工程也日益完善，然而從安全的角度來看，拒絕服務(wù)攻擊是電子商務(wù)網(wǎng)站始終如揮之不去的夢魘。

一、分布式拒絕服務(wù)攻擊的實(shí)施原理

拒絕服務(wù)攻擊（Deny of Service-DoS）的攻擊方式有很多種，最基本的DoS攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)的響應(yīng)。DDoS（Distributed Deny of Service-分布式拒絕服務(wù)攻擊）攻擊是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上發(fā)展而來的。DDoS 原理很簡單，就是利用網(wǎng)絡(luò)掌控并集結(jié)盡量多的傀儡機(jī)來攻擊目標(biāo)機(jī)，以期達(dá)到比單機(jī)大得多的殺傷力，其危害極大且難以防御。

二、分布式拒絕服務(wù)攻擊的危害性

DDoS攻擊是一種很難被徹底解決的電子商務(wù)網(wǎng)站安全問題，其危害較大，往往可造成網(wǎng)站訪問延時(shí)甚至癱瘓。自1999年下半年以來，拒絕服務(wù)攻擊事件不斷發(fā)生，攻擊發(fā)生的頻率也越來越密集。據(jù)美國加州大學(xué)圣地亞哥超級計(jì)算機(jī)中心報(bào)道，在2001年2月的3周內(nèi)，共檢測到12805次拒絕服務(wù)攻擊。2002年10月21日，一波分布式拒絕服務(wù)攻擊襲擊了Internet DNS根服務(wù)器，直接導(dǎo)致了13臺根服務(wù)器中的9臺癱瘓，這些服務(wù)器是由多個(gè)機(jī)構(gòu)根據(jù)合同為美國商務(wù)部運(yùn)行維護(hù)的。而對電子商務(wù)網(wǎng)站進(jìn)行直接攻擊最著名例子包括2002年黑客對Yahoo和EBay等網(wǎng)站發(fā)起的分布式拒絕服務(wù)攻擊，攻擊使這些網(wǎng)站的服務(wù)一度關(guān)閉。在國內(nèi)最近一次大規(guī)模的攻擊發(fā)生在2009年5月19日晚，當(dāng)時(shí)受暴風(fēng)影音軟件存在的設(shè)計(jì)缺陷以及免費(fèi)智能DNS軟件DNSPod的不健壯性影響，黑客通過僵尸網(wǎng)絡(luò)控制下的DDoS攻擊，致使我國江蘇、安徽、廣西、海南、甘肅、浙江等省在內(nèi)的23個(gè)省出現(xiàn)罕見的斷網(wǎng)故障，即“5-19斷網(wǎng)事件”。

三、分布式拒絕服務(wù)攻擊（DDoS）防御措施的研究

常見的DDoS攻擊包括數(shù)據(jù)包洪流（Flood）攻擊和反彈（reflector）DDoS攻擊。到目前為止，完全杜絕或抵御DDoS攻擊還是比較困難的，主要由于這種攻擊的特點(diǎn)是它利用了TCP/IP協(xié)議的漏洞，除非你不用TCP/IP協(xié)議，才有可能完全抵御住DDoS攻擊。不過這不等于我們就沒有辦法阻擋或減輕DDoS攻擊。

首先，我們要加強(qiáng)每個(gè)網(wǎng)絡(luò)用戶的安全意識，安裝殺毒軟件，安裝軟件或者硬件防火墻，不從匿名網(wǎng)站下載軟件，不訪問不明網(wǎng)站，不打開不明郵件，盡量避免木馬的種植。

其次就是從源頭遏制DDoS的攻擊。比如對于SYN Flood攻擊雖然目前沒有非常有效的檢測和防御方法，但通過對系統(tǒng)架構(gòu)的設(shè)定，能降低被攻擊系統(tǒng)的負(fù)荷，減輕負(fù)面的影響。通常防御方法有：1.縮短SYN Timeout時(shí)間；2.設(shè)置SYN Cookie；3.負(fù)反饋策略；4.分布式DNS負(fù)載均衡退讓策略；5防火墻QoS。SYN Flood攻擊的效果取決于在服務(wù)器上保持的SYN半連接數(shù)，所以通過縮短從接收到SYN報(bào)文到確定這個(gè)報(bào)文無效并丟棄的時(shí)間，可以成倍地降低服務(wù)器的負(fù)荷。我們還可以設(shè)置SYN Cookie，給每一個(gè)請求連接的IP地址分配一個(gè)Cookie，如果短時(shí)間內(nèi)收到某個(gè)IP的重復(fù)SYN報(bào)文，就認(rèn)定是受到了攻擊，以后從這個(gè)IP地址來的包會被丟棄。當(dāng)然這樣的方法不能根本的杜絕這樣的DDoS的攻擊，對于多個(gè)主機(jī)不同IP 的不斷攻擊也就束手無策，所以還需要尋求更優(yōu)質(zhì)的策略去解決這種攻擊。

對于很多有關(guān)涉及到ICMP報(bào)文的攻擊，我們可以從根本出發(fā)，可以關(guān)閉服務(wù)器ping服務(wù)功能，或者在防火墻里設(shè)置過濾ICMP報(bào)文。有需要的時(shí)候再手動開啟ping服務(wù)。

我們還可以對于一些特定的、容易被攻擊利用的協(xié)議如ICMP實(shí)施流量控制，這樣，即使某協(xié)議被攻擊者利用，它只能占用有限的帶寬，從而不會對其他的網(wǎng)絡(luò)應(yīng)用帶來太大的威脅。對于一些需要高網(wǎng)絡(luò)帶寬的服務(wù)，要有足夠的冗余，使得系統(tǒng)運(yùn)行需求遠(yuǎn)低于可用的極限資源。如果系統(tǒng)在接近極限狀態(tài)下運(yùn)行，則很小的拒絕服務(wù)攻擊就可能耗盡剩余資源，使得系統(tǒng)不能正常提供服務(wù)。對于與Internet連接的系統(tǒng)，要及時(shí)關(guān)閉不需要的服務(wù)和端口，服務(wù)越多，漏洞越多，需要提供的保護(hù)越多，受到外界的安全威脅也越大。堅(jiān)持打好最新的補(bǔ)丁，密切關(guān)注安全漏洞和安全補(bǔ)丁的發(fā)布。經(jīng)常對自己的系統(tǒng)進(jìn)行端口掃描，找出可能的系統(tǒng)漏洞。定期用新型的拒絕服務(wù)攻擊方法或工具對自己的網(wǎng)絡(luò)進(jìn)行抗拒絕服務(wù)攻擊測試，針對相應(yīng)的攻擊手段做出相應(yīng)的調(diào)整。

四、結(jié)束語

作為一種新穎的商務(wù)活動過程，電子商務(wù)將帶來一場史無前例的革命，而電子商務(wù)的安全性問題也越來越受到人們的重視。分布式拒絕服務(wù)攻擊（DDoS）嚴(yán)重威脅了電子商務(wù)網(wǎng)站的正常運(yùn)作。雖然目前為止網(wǎng)絡(luò)業(yè)界并沒有可以徹底消除DDoS攻擊的措施，并且硬件設(shè)施也只是做到了降低攻擊程度的級別，但如果按照本文的方法和思路去防范DDoS，可以把攻擊帶來的損失降低到最小，從而提高了電子商務(wù)活動的安全性。

參考文獻(xiàn)：

[1]謝逸等.新網(wǎng)絡(luò)環(huán)境下應(yīng)用層DDoS攻擊的剖析與防御.電信科學(xué)，2007年01期，89-93頁

[2]李目海.基于流量的分布式拒絕服務(wù)攻擊檢測.華東師范大學(xué)，2010年博士論文