易观国际: 中国招商网受DDoS攻击凸现网络安全隐患

    北京 2007-01-22(中国商业电讯)－－中国招商网从2006年12月10日开始，一个多月以来，每天都在遭受不明攻击，中国招商网也在不停地采取各种措施应对。一个多月来服务器先后换了4个机房，并且4次更换IP地址，但是攻击没有停止过。2006年12月26日的一次攻击，使机房的数百个服务器机柜短时瘫痪。此后，该网站被迫关闭了数日。

    这种网络攻击方式属于DDoS攻击，即“分布式拒绝服务”，攻击者通过将恶意代码嵌入公开的网站，造成大量网站访问者的电脑感染病毒并被攻击者控制，用于发动针对某一网站的攻击，并对网络安全造成严重威胁。

    由于DDoS攻击往往采取合法的数据请求技术，再加上一些傀儡机器，造成DDoS攻击是目前最难防御的互联网攻击之一，如何有效的抵御这种威胁是网络安全领域亟待解决的重要问题。

    现在流行的DDoS防御手段——例如黑洞技术和路由器过滤限速均无法处理复杂性日益增加的攻击。这些防御手段不仅慢，消耗大，而且也会阻断有效业务。传统的网络安全设备IDSs可以提供入侵检测但并不能缓解DDoS，基于签名的IDS解决方案无法检测以合法数据包作为途径的DDoS攻击。防火墙提供的保护也受到其技术弱点的限制，对反常事件检测不够全面，缺乏反欺骗能力和恶意数据包的甄别能力。还有其它策略，例如大量部署服务器，冗余设备，保证足够的响应能力来提供攻击防护，但这样作为阻止DDoS攻击的手段代价过于高昂，没有从根本上解决DDoS攻击。由于这种安全威胁近来日益呈现上升趋势，用户迫切需要厂商提供针对DDoS的完整解决方案。

    对于网站和行业用户：

    （1）定期扫描。定期扫描现有的网络主节点，清查可能存在的安全漏洞，对新出现的漏洞及时进行处理。

    （2）尽量用足够的机器和带宽来应对。在发现受到攻击时，将攻击导向一些不重要的主机，可以暂时保护真正的主机维持正常工作。这是一个能够暂时缓解攻击威胁的办法，但是治标不治本。

    （3）充分利用网络设备保护网络资源。路由器、防火墙等网络设备可将网络先保护一层。当网络被攻击时路由器最先受影响，死掉的路由器经重启后会快速恢复正常。比起服务器死掉和重启来说，情况要好很多。采用备份网络也会有助于在遭受攻击时均衡负载。

    （4）与网络安全厂商合作，对自身网络进行安全检查和升级。尽量应对DDoS的威胁，降低受到攻击时的损失。

    对网络安全厂商：

    建立基于检测、验证和转发的基础上的完整DDoS保护解决方案，应包括以下功能：

    1. 实时监测DDoS攻击；

    2. 对数据包进行分辨，能辨识正常的数据包和恶意攻击的数据包；

    3. 对攻击进行处理，比如转移数据到防护设备；

    4. 转发和响应正常数据包，维持正常业务。

    未来DDoS事件还会频繁发生。因此，对于DDoS的完整解决方案拥有较大的商业潜力。