问:您能解释一下分布式拒绝服务(DDOS)攻击开始之后如何阻止吗?解除威胁的较好方法是什么,如果可能的话,找到攻击发起者的较好办法是什么?有哪些好的方法可以确保这种事情不会再发生?
答:如何阻止已经开始的DDoS攻击,取决于你所受到的DDoS攻击的类型。DDoS攻击至少有两种类型:低级IP攻击和应用层攻击。低级IP攻击是一种典型的smurf攻击,它使用ICMP以及虚假的源地址。由于现在许多公司都采用各种各样的出口和入口过滤技术,这种攻击不像以前那么有效了。使用多种不同攻击引起DDOS的僵尸病毒可能是较常见的DDoS攻击例子。与此相反,应用层攻击则是通过给一个应用程序发送大量的网络数据或者发送需要做大量处理的请求,试图让该应用程序过载。IP攻击和应用层攻击的不同在于两者攻击的系统对象不一样。IP攻击是典型的低级攻击,它对操作系统或者网络资源进行攻击;而应用层攻击则是攻击应用程序。
如果你的网络被大量(多于一百或一千个)分布在世界各地的动态主机通过许多不同的ISP进行攻击,那么显然阻止这种DDoS攻击是常困难的。你可以从改变服务器(或者网络)使用的IP或者改变服务器的DNS名称和IP开始。如果攻击你的主机数目不是那么多,而且很少发生变化,你可以自己联系ISP(网络服务提供商)、CERT或者信息共享和分析中心(ISAC),然后把机器关掉。
不管是何种类型的DDoS攻击,解决威胁的较好办法就是打电话给你的ISP,请他们阻断攻击源头或者更改网络流量传输路径。根据DDoS攻击的严重程度、时间长短及其性质,你可能还需要报告给执法部门或者相关的行业组织,比如CERT。你应该与你的ISP讨论安全事件的应对过程,确保你知道他们能够做什么,以及你联系他们时需要提供的内容(这是基本的事件应对计划)。如果你的ISP不能帮助你解决威胁,你可以尝试使用网络设备来阻止DDoS攻击。
如果一个攻击事件解决后,你可能还会再次遇到这种事情,那么你可以考虑使用内容分布网络(CDN),把内容分布在离你客户端计算机较近的多个不同位置。DDoS攻击很难感染这些内容分布网络,而且CDN也知道如何阻止DDoS攻击。当然,你也可以求助于能够提供这种服务的ISP公司或者托管公司。
