暴風(fēng)影音遭到黑客拒接服務(wù)（Dos）攻擊是今年網(wǎng)絡(luò)安全領(lǐng)域最重大的新聞，這直接導(dǎo)致了5月19日的全國大范圍斷網(wǎng)事件了，相信和我一樣的大部分網(wǎng)民都也看到了這方面的消息。至于其中誰對誰錯(cuò)，大家肯定都有自己心中的答案了。

本來兩個(gè)商家來利用互聯(lián)網(wǎng)中無辜用戶的帶寬來攻擊對方的網(wǎng)站的這種手段就已經(jīng)很惡劣了，后來竟然發(fā)展到直接來攻擊提供域名解析的DNS服務(wù)器了，真是太不可思議了?。ㄗⅲ篋NS是域名系統(tǒng)(DomainNameServer)的縮寫，該系統(tǒng)用于命名組織到域?qū)哟谓Y(jié)構(gòu)中的計(jì)算機(jī)和網(wǎng)絡(luò)服務(wù)。在Internet上域名與IP地址之間是一對一（或者一對多）的，域名雖然便于人們記憶，但機(jī)器之間只能互相認(rèn)識IP地址，它們之間的轉(zhuǎn)換工作稱為域名解析，域名解析需要由專門的域名解析服務(wù)器來完成，DNS就是進(jìn)行域名解析的服務(wù)器。）DNS服務(wù)器都是針對大量的域名進(jìn)行解析的，一旦這些DNS服務(wù)器不能正常工作的話，就會(huì)造成用戶訪問網(wǎng)站不能解析的情況，如果恰好有些電子商務(wù)之類的網(wǎng)站也在該服務(wù)器上，而且現(xiàn)在很多網(wǎng)站都是靠廣告商投放廣告來賺錢的，DNS服務(wù)器長時(shí)間不能工作的話，不僅會(huì)給網(wǎng)民帶來瀏覽網(wǎng)站造成不便，也會(huì)給網(wǎng)站帶來不少損失的。所以如何保護(hù)這些DNS服務(wù)器的安全也是非常重要的.

在5.19事件中DNSPOD的域名服務(wù)器很可能遭受的是網(wǎng)上盛傳的DDOS攻擊，在網(wǎng)上找到了有關(guān)DDOS攻擊的資料：想了解DDOS攻擊的話，要先從DOS攻擊開始說起，DoS的攻擊方式有很多種，最基本的DoS攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)的響應(yīng)。
DDoS攻擊手段是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。單一的DoS攻擊一般是采用一對一方式的，當(dāng)攻擊目標(biāo)CPU速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項(xiàng)性能指標(biāo)不高它的效果是明顯的。隨著計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展，計(jì)算機(jī)的處理能力迅速增長，內(nèi)存大大增加，同時(shí)也出現(xiàn)了千兆級別的網(wǎng)絡(luò)，這使得DoS攻擊的困難程度加大了-目標(biāo)對惡意攻擊包的"消化能力"加強(qiáng)了不少，例如你的攻擊軟件每秒鐘可以發(fā)送3,000個(gè)攻擊包，但我的主機(jī)與網(wǎng)絡(luò)帶寬每秒鐘可以處理10,000個(gè)攻擊包，這樣一來攻擊就不會(huì)產(chǎn)生什么效果。
這時(shí)侯分布式的拒絕服務(wù)攻擊手段（DDoS）就應(yīng)運(yùn)而生了。你理解了DoS攻擊的話，它的原理就很簡單。如果說計(jì)算機(jī)與網(wǎng)絡(luò)的處理能力加大了10倍，用一臺攻擊機(jī)來攻擊不再能起作用的話，攻擊者使用10臺攻擊機(jī)同時(shí)攻擊呢？用100臺呢？DDoS就是利用更多的傀儡機(jī)來發(fā)起進(jìn)攻，以比從前更大的規(guī)模來進(jìn)攻受害者。

高速廣泛連接的網(wǎng)絡(luò)給大家?guī)砹朔奖悖矠镈DoS攻擊創(chuàng)造了極為有利的條件。在低速網(wǎng)絡(luò)時(shí)代時(shí)，黑客占領(lǐng)攻擊用的傀儡機(jī)時(shí)，總是會(huì)優(yōu)先考慮離目標(biāo)網(wǎng)絡(luò)距離近的機(jī)器，因?yàn)榻?jīng)過路由器的跳數(shù)少，效果好。而現(xiàn)在電信骨干節(jié)點(diǎn)之間的連接都是以G為級別的，大城市之間更可以達(dá)到2.5G的連接，這使得攻擊可以從更遠(yuǎn)的地方或者其他城市發(fā)起，攻擊者的傀儡機(jī)位置可以在分布在更大的范圍，選擇起來更靈活了。了解了DDOS的攻擊原理，接下來就要知道如何防御這種攻擊了。以下是節(jié)選著名網(wǎng)絡(luò)安全專家孤獨(dú)劍客接受專訪時(shí)談到該攻擊的防御方法：
對付DDOS是一個(gè)系統(tǒng)工程，想僅僅依靠某種系統(tǒng)或產(chǎn)品防住DDOS是不現(xiàn)實(shí)的，可以肯定的是，完全杜絕DDOS目前是不可能的，但通過適當(dāng)?shù)拇胧┑钟?0%的DDOS攻擊是可以做到的，基于攻擊和防御都有成本開銷的緣故，若通過適當(dāng)?shù)霓k法增強(qiáng)了抵御DDOS的能力，也就意味著加大了攻擊者的攻擊成本，那么絕大多數(shù)攻擊者將無法繼續(xù)下去而放棄，也就相當(dāng)于成功的抵御了DDOS攻擊。以下為筆者多年以來抵御DDOS的經(jīng)驗(yàn)和建議，和大家分享！

首先要保證網(wǎng)絡(luò)設(shè)備不能成為瓶頸，因此選擇路由器、交換機(jī)、硬件防火墻等設(shè)備的時(shí)候要盡量選用知名度高、口碑好的產(chǎn)品。再就是假如和網(wǎng)絡(luò)提供商有特殊關(guān)系或協(xié)議的話就更好了，當(dāng)大量攻擊發(fā)生的時(shí)候請他們在網(wǎng)絡(luò)接點(diǎn)處做一下流量限制來對抗某些種類的DDOS攻擊是非常有效的。

2、盡量避免NAT的使用

無論是路由器還是硬件防護(hù)墻設(shè)備要盡量避免采用網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的使用，因?yàn)椴捎么思夹g(shù)會(huì)較大降低網(wǎng)絡(luò)通信能力，其實(shí)原因很簡單，因?yàn)镹AT需要對地址來回轉(zhuǎn)換，轉(zhuǎn)換過程中需要對網(wǎng)絡(luò)包的校驗(yàn)和進(jìn)行計(jì)算，因此浪費(fèi)了很多CPU的時(shí)間，但有些時(shí)候必須使用NAT，那就沒有好辦法了。

3、充足的網(wǎng)絡(luò)帶寬保證

網(wǎng)絡(luò)帶寬直接決定了能抗受攻擊的能力，假若僅僅有10M帶寬的話，無論采取什么措施都很難對抗現(xiàn)在的SYNFlood攻擊，當(dāng)前至少要選擇100M的共享帶寬，最好的當(dāng)然是掛在1000M的主干上了。但需要注意的是，主機(jī)上的網(wǎng)卡是1000M的并不意味著它的網(wǎng)絡(luò)帶寬就是千兆的，若把它接在100M的交換機(jī)上，它的實(shí)際帶寬不會(huì)超過100M，再就是接在100M的帶寬上也不等于就有了百兆的帶寬，因?yàn)榫W(wǎng)絡(luò)服務(wù)商很可能會(huì)在交換機(jī)上限制實(shí)際帶寬為10M，這點(diǎn)一定要搞清楚。

4、升級主機(jī)服務(wù)器硬件

在有網(wǎng)絡(luò)帶寬保證的前提下，請盡量提升硬件配置，要有效對抗每秒10萬個(gè)SYN攻擊包，服務(wù)器的配置至少應(yīng)該為：起關(guān)鍵作用的主要是CPU和內(nèi)存，若有志強(qiáng)雙CPU的話就用它吧，內(nèi)存一定要選擇DDR的高速內(nèi)存，硬盤要盡量選擇SCSI的，別只貪IDE價(jià)格不貴量還足的便宜，否則會(huì)付出高昂的性能代價(jià)，再就是網(wǎng)卡一定要選用3COM或Intel等名牌的，若是Realtek的還是用在自己的PC上吧。

5、把網(wǎng)站做成靜態(tài)頁面2

大量事實(shí)證明，把網(wǎng)站盡可能做成靜態(tài)頁面，不僅能大大提高抗攻擊能力，而且還給黑客入侵帶來不少麻煩，至少到現(xiàn)在為止關(guān)于HTML的溢出還每出現(xiàn)，看看吧！新浪、搜狐、網(wǎng)易等門戶網(wǎng)站主要都是靜態(tài)頁面，若你非需要?jiǎng)討B(tài)腳本調(diào)用，那就把它弄到另外一臺單獨(dú)主機(jī)去，免的遭受攻擊時(shí)連累主服務(wù)器，當(dāng)然，適當(dāng)放一些不做數(shù)據(jù)庫調(diào)用腳本還是可以的，此外，最好在需要調(diào)用數(shù)據(jù)庫的腳本中拒絕使用代理的訪問，因?yàn)榻?jīng)驗(yàn)表明使用代理訪問你網(wǎng)站的80%屬于惡意行為。

6、增強(qiáng)操作系統(tǒng)的TCP/IP棧;

Win2000和Win2003作為服務(wù)器操作系統(tǒng)，本身就具備一定的抵抗DDOS攻擊的能力，只是默認(rèn)狀態(tài)下沒有開啟而已，若開啟的話可抵擋約10000個(gè)SYN攻擊包，若沒有開啟則僅能抵御數(shù)百個(gè)，具體怎么開啟，自己去看微軟的文章吧！《強(qiáng)化TCP/IP堆棧安全》-http://web.archive.org/web/20041...ance/secmod109.mspx。也許有的人會(huì)問，那我用的是Linux和FreeBSD怎么辦？很簡單，按照這篇文章去做吧！《SYNCookies》－h(huán)ttp://web.archive.org/web/20041....to/syncookies.html!

7、安裝專業(yè)抗DDOS防火墻

國內(nèi)有一款可全功能免費(fèi)試用的“冰盾防火墻”，是專門針對DDOS攻擊和黑客入侵而設(shè)計(jì)的專業(yè)級防火墻，據(jù)測試可有效對抗每秒數(shù)十萬的SYN/ACK攻擊、TCP全連接攻擊、刷腳本攻擊等DDOS攻擊，而且可識別2000多種黑客行為的入侵檢測模塊，能夠有效防范端口掃描、SQL注入、木馬上傳等攻擊。

8、其他防御措施%

以上的七條對抗DDOS建議，適合絕大多數(shù)擁有自己主機(jī)的用戶，對于第1-4條自己具有選擇權(quán)，第5條可以通過網(wǎng)站改版來實(shí)現(xiàn)，第6條是免費(fèi)的，第7條若購買的話需要一些費(fèi)用，但在所有建議中是最有效的，并且情況允許的話，完全可以一直使用試用版。但假如采取以上措施后仍然不能解決DDOS問題，就有些麻煩了，可能需要更多投資，增加服務(wù)器數(shù)量并采用DNS輪巡或負(fù)載均衡技術(shù)，甚至需要購買七層交換機(jī)設(shè)備，從而使得抗DDOS攻擊能力成倍提高，只要投資足夠深入，總有攻擊者會(huì)放棄的時(shí)候，那時(shí)候你就成功了！

我覺得以后DNS服務(wù)器提供商可以按照孤獨(dú)劍客先生說的這種方法來幫助DNS服務(wù)器防御DDOS攻擊，更好的為網(wǎng)民提供DNS解析服務(wù)！

【編輯推薦】

1. Radware發(fā)新版IPS 可化解高密度的DDoS攻擊
2. 詳解DDoS攻擊實(shí)施的六大方法
3. 探尋DDOS攻擊的原由
4. 獨(dú)裁者DDoS攻擊器實(shí)施攻擊詳解
5. 研究稱DDoS攻擊韓國網(wǎng)絡(luò)源頭位于英國