本站原创基金项目:温州市科技计划项目(Y20100301)
[摘 要]本文首先介绍了典型的服务器模型,描述了分布式拒绝服务攻击(DDoS)对电子商务网站的巨大危害,最后从管理和技术两个方面提出了几种防范分布式拒绝服务攻击措施.
[关 键 词]电子商务DDoS网络安全分布式拒绝服务攻击
随着网络技术的发展,电子商务和电子政务等信息化工程也日益完善,然而从安全的角度来看,电子商务网络所面临的网络安全问题却始终如挥之不去的梦魇.DDoS(DistributedDenyofService-分布式拒绝服务攻击)攻击的目的就是使服务器某一层的资源利用率达到极限,致使网站访问延时甚至瘫痪,进而严重影响正常用户的电子商务活动.
一、典型的服务器模型
如图所示,服务器模型是由多个服务器组成的有层次的结构.每一层诸如:处理器计算能力,存储空间和网络带宽等资源都是有限的.一般来说如果服务器出现以下几种情况:资源被迅速消耗、系统吞吐量降低且响应时间不断增大,则我们可判定服务器受到了DDoS攻击.正如前面所说DDoS攻击的目的就是使某一层的资源利用率达到极限,从而导致利用服务器资源的正常用户数量减少.
二、DDoS攻击的产生机理
拒绝服务DoS攻击顾名思义就是使Inter中的受攻击对象(主机、服务器、路由器等网络设备)无法提供或者接受正常服务的一种攻击,典型的DoS攻击中,攻击者向受害者发送大量的数据从而消耗其资源(网络带宽,路由器上的包缓冲区,目标机器的CPU和内存),从而使用户无法访问所需信息.因此可以说DoS是一种损人不利已的攻击行为,而分布式DoS(DDoS,distributedDoS)攻击破坏性更大,往往借助僵尸网络.
从拒绝服务攻击的原理可以看出,不管是拒绝服务攻击阶段还是分布式拒绝服务攻击的攻击阶段,都需要很高的网络带宽.特别是校园网络的宽带和大量主机资源,以及学生的好奇,想在教育网络中进行入侵实验的诸多特点,正好满足拒绝服务攻击的要求.在比较严重的网络攻击事件中,以校园网为“基地”发起的拒绝服务攻击事件令人印象深刻.最著名的是2002年对Yahoo和EBay等网站发起的拒绝服务攻击,使这些网站的服务一度关闭,据调查,这些攻击就是从校园网络中发起的.事后分析得知这些攻击都是采用了分布式拒绝服务攻击.类似的攻击在中国也是屡见不鲜.中国国防部网站总编辑季桂林指出:“国防部网站从上线试运行第一天开始,就受到大量的、不间断的DDoS攻击.第一个月受到的攻击达230多万次,攻击方式包括侵入式攻击和阻塞式攻击,第一周的攻击最为密集”.
三、DDoS攻击的防范
到目前为止,完全抵御DDoS攻击还是比较困难的,但我们可以从管理和技术两个方面减少DDoS的攻击.首先在管理方面我们要加强每个网络用户的安全意识,安装杀毒软件,安装软件或者硬件防火墙,不从不明网站下载软件,不访问一些不明网站,不打开不明邮件,尽量避免木马的种植.其次在技术的手段上,我们还应加强以下几点:
1.区分正常流量和攻击流量.我们可根据正常流量和攻击流量的不同行为、统计特征等进行区别,也可通过认证的方式让所有用户付出一定的代价,比如计算、人工参与输入认证码等来区别.一个典型的例子是Google网站在发现访问流量异常时,会要求每个用户在每个搜索前先输入验证码.此类防御方法的优点是实施成本简单,但会影响用户的体验满意度,而且无法防御非页面访问的流量攻击.
2.确保服务器的系统文件是最新的版本,并及时更新系统补丁.
3.关闭不必要的服务.
4.正确设置防火墙.
5.禁止对主机的非开放服务的访问,限制特定IP地址的访问.
6.启用防火墙的防DDoS的属性,或者使用专用的抗DDoS设备.严格限制对外开放的服务器的向外访问,运行端口映射程序祸端口扫描程序,要认真检查特权端口和非特权端口.
7.认真检查网络设备和主机/服务器系统的日志.只要日志出现漏洞或是时间变更,那这台机器就可能遭到了攻击.
8.限制在防火墙外与网络文件共享.这样会给截取系统文件的机会,主机的信息暴露给,无疑是给了对方入侵的机会.
四、结束语
作为一种新颖的商务活动过程,电子商务将带来一场史无前例的革命,而电子商务的安全性问题也越来越受到人们的重视.分布式拒绝服务攻击(DDoS)严重威胁了电子商务网站的正常运作.对DDoS的原理与应付方法的研究一直在进行中,找到一个既有效又切实可行的方案不是一朝一夕的事情,因此此时要求我们的机关,运营商和网络安全厂商和网络的用户,在意识到网络攻击问题的严重性前提下,多方配合,共同加强网络平台安全性的建设性.这样一来可以把攻击带来的损失降低到最小,从而提高了电子商务活动的安全性,为我国的经济建设提供坚固安全的网络信息化平台.