解决DDoS攻击的趋势与防御(在线黑客服务)

　　I .分布式拒绝服务

　　DDoS是DoS的一个特例。黑客使用多台机器同时攻击，阻止正常用户使用服务。黑客提前入侵大量主机后，在受害主机上安装DDoS攻击程序控制，攻击目标;有些DDoS工具采用多级架构，甚至可以一次控制多达数千台电脑发起攻击。这样就可以有效地产生巨大的网络流量，使攻击目标瘫痪。早在2000年，针对雅虎、Buy.com、易贝和美国有线电视新闻网等知名网站的DDoS攻击就曾使合法网络流量停止数小时。

　　DDoS攻击程序的分类可以分为几种方式，根据自动化程度可以分为手动、半自动和自动攻击。早期对小橙下载程序的DDoS攻击大多是手动攻击。黑客手动搜索可入侵计算机并植入攻击程序，然后下达攻击目标的指令。大多数半自动攻击程序都有handler用来控制攻击的代理程序。黑客分发自动入侵工具并植入代理程序，然后使用handler控制所有代理对目标发起DDoS攻击。自动攻击进一步将整个攻击程序自动化，将攻击的目标、时间、方法提前写在攻击程序中。黑客传播攻击程序后，会自动扫描可入侵主机嵌入式代理，在预定时间攻击指定目标，比如最近的W32/Blaster networm就属于这一类。

　　根据windows7终极攻击的漏洞分类，可以分为协议攻击和暴力攻击。协议攻击是指黑客利用某个网络协议在设计上的弱点或实现上的bug消耗大量资源，如TCP SYN攻击、对认证服务器的攻击等。暴力攻击是指黑客使用大量正常在线资源消耗受害者目标。因为黑客会准备多台主机发起DDoS攻击目标，只要攻击者发送的网络流量高于目标单位时间的处理速度，就会消耗目标的处理能力，使正常用户无法使用服务。

　　按攻击频率可分为持续攻击和变频攻击两种。持续攻击是指攻击命令发出后，攻击主机会继续全力攻击，因此会瞬间产生大量流量阻断目标的服务，也因此容易被检测到。变频攻击更为谨慎，攻击频率可能由慢变快或由高变低，以延缓攻击的检测时间。

　　二、拒绝服务(Denial of Service)

　　在讨论DDoS之前，我们需要了解一下DoS。DoS一般是指黑客试图阻止正常用户使用网络上的服务，比如切断大楼的电话线，让用户无法通话。对于网络而言，由于网络设备和服务器主机的带宽、处理能力的限制，当黑客产生过多的网络数据包使设备无法处理时，正常用户无法正常使用服务。比如黑客试图用大量数据包攻击带宽相对较小的拨号或ADSL用户，受害者会发现自己想连接的网站无法连接或者响应非常慢。

　　DoS攻击不入侵主机或窃取机器数据，但也会对目标造成伤害。如果目标是电子商务网站，客户将无法在该网站购物。

　　第三，防止DDoS攻击

　　DDoS必须通过网络上各种团体和用户的合作来解决，应该制定更严格的网络标准。每个网络设备或主机都需要随时更新自己的系统漏洞，关闭不必要的服务，安装必要的杀毒和防火墙软件，随时注意系统安全，避免被黑客和自动化DDoS程序植入攻击程序，以免成为黑客攻击的帮凶。

　　有些DDoS会伪装攻击源，伪造数据包的ip来源，难以追查。这部分可以通过设置路由器的过滤功能来防止。只要域内数据包的来源是其域外的ip，就应该直接丢弃该数据包，不应该再发送出去。如果网管设备支持该功能，网管人员就能正确设置并过滤掉假包，查处和跟踪的时间就能大大减少。

　　域间保持联系非常重要，这样才能有效预警和防范DDoS攻击。一些ISP会在一些网络节点上放置传感器，检测突然出现的巨大流量，从而预警和隔离DDoS的影响区域，降低客户受害程度。

　　第四，从DDoS攻击中幸存

　　那么当你受到DDoS攻击时，你是如何努力生存下去，继续提供正常服务的呢?从前面的介绍我们可以知道，如果黑客攻击的规模远远高于你的网络带宽、设备或者主机所能处理的容量，那么抵御攻击其实是非常困难的，但是还是有一些方法可以降低攻击的影响。

　　首先，调查攻击的来源。因为黑客是通过入侵的机器攻击的，你不一定能发现黑客是从哪里攻击的。我们必须从被攻击的目标一步步后退。先调查网络的哪些边界路由器在负责攻击，最后一步是哪个外部路由器，联系这些路由器的管理者(可能是ISP或者电信公司)请他们帮忙阻止或者找出攻击来源，在他们处理之前能做些什么?

　　如果攻击的目标只是单个ip，那么尝试改变ip和它的DNS映射或许可以避免攻击，这是最快最有效的方法。然而，攻击的目的是使普通用户无法使用该服务。虽然换ip的方式避开了攻击，但是从另一个角度来说，黑客也达到了他的目的。另外，如果攻击方式比较简单，可以从产生的流量中找出规则，那么就可能利用路由器的ACL(访问控制列表)或者防火墙规则来进行拦截。如果可以发现流量来自同一个源或者核心路由器，可以考虑暂时屏蔽那边的流量。当然，正常流量和异常流量都屏蔽还是可以的，但至少其他源可以得到正常的服务，这有时候也是不得已而为之。如果有备用容量，可以考虑增加机器或带宽作为被攻击的缓冲，但这只是治标不治本。最重要的是立即调查，协调相关单位解决。