DDoS攻擊對電子商務網站的危害及其防范

[摘 要] 本文首先介紹了分布式拒絕服務攻擊（DDoS）對電子商務網站的巨大危害，進而分析了分布式拒絕服務攻擊的產生原理和實施步驟，最后提出了幾種防范分布式拒絕服務攻擊措施。

[關鍵詞] 電子商務 DdoS 網絡安全 分布式拒絕服務攻擊

電子商務指的是利用簡單、快捷、低成本的電子通訊方式，買賣雙方不謀面地進行各種商貿活動。隨著網絡技術的發展，電子商務和電子政務等信息化工程也日益完善，然而從安全的角度來看，電子商務網絡所面臨的網絡安全問題卻始終如揮之不去的夢魘。DDoS（Distributed Deny of Service-分布式拒絕服務攻擊）攻擊是一種很難被徹底解決的電子商務網站安全問題，其危害較大，往往可造成網站訪問延時甚至癱瘓。

一、DDoS攻擊的產生機理

DoS的攻擊方式有很多種，最基本的DoS攻擊就是利用合理的服務請求來占用過多的服務資源，從而使合法用戶無法得到服務的響應，DoS（Deny of Service-拒絕服務）因此得名。DDoS攻擊是在傳統的DoS攻擊基礎之上發展而來的。DDoS 原理很簡單，就是利用網絡掌控并集結盡量多的傀儡機來攻擊目標機以期達到比單機大得多殺傷力，其危害極大且難以防御。自從1999 年第一次有報道的大規模DDoS 攻擊在美國明尼蘇達大學出現以來，相當多的電子商務網站已經遭受到其暗算并且損失慘重。2009年5月19日晚，受暴風影音軟件存在的設計缺陷，以及免費智能DNS軟件DNSPod的不健壯性影響，黑客通過僵尸網絡控制下的DDoS攻擊，致使我國江蘇、安徽、廣西、海南、甘肅、浙江等省在內的23個省出現罕見的斷網故障，即“5 19 斷網事件”。常見的DDoS攻擊包括：

1．數據包洪流（Flood）攻擊

這種攻擊稱為請求數據包攻擊或者直接攻擊。 攻擊者通過黑客手段控制多臺傀儡機，然后通過它們向受害目標機發送巨量數據包，并使用隨機產生的IP 地址替換掉自身或傀儡機中數據包頭部的真實源地址隱藏自身位置。比較流行的SYN 洪泛， ICMP洪泛，UDP洪泛和IP包分片洪泛都屬于此類。

2．反彈（reflector）DDoS攻擊

此類DDoS攻擊因使用到稱為反彈服務器的主機使得追蹤攻擊方的行蹤變得更加困難，其攻擊的實現方法比第一種要復雜很多。所謂反彈服務器即收到請求數據包后將會返回數據包的主機。比如一臺DNS服務器可以被當作反彈服務器，因為它在接收到DNS請求后會返回DNS響應數據包。攻擊者通過向反彈服務器主機發送請求數據包并將源地址的IP偽裝替換成受害機的IP，這樣反彈服務器返回數據包將指向受害機。由于響應數據包一般比請求數據包要大很多，故攻擊的強度會增加很多倍。如10MB/s的攻擊流量經過DNS服務器的反射后，其攻擊流量最大可達750MB/s。

二、DDoS攻擊的防范

DDoS攻擊的解決方案可歸納為解決兩方面的問題:

1.區分正常和攻擊流量

我們可根據正常流量和攻擊流量的不同行為、統計特征等進行區別，也可通過認證的方式讓所有用戶付出一定的代價，如計算、人工參與輸入認證碼等來區別。如Google網站在發現訪問流量異常時，會要求每個用戶在每個搜索前先輸入驗證碼。此類防御方法的優點是實施成本簡單，但會影響用戶的體驗滿意度，而且無法防御非頁面訪問的流量攻擊。

2.控制流量到達受害者，即解決帶寬占用問題

解決帶寬占用有三種思路:(1) 不改變現有網絡核心的前提下，盡量少的對邊緣路由器進行改動，利用ISP及其聯合來過濾攻擊流量。(2) 從整個Internet設計的角度考慮DDoS攻擊，即重新設計Internet ，如在核心路由器中增加認證丟包等機制。(3) 采用CDN 或者重疊網絡來吸收流量。第一和第二種解決思路雖然可以從根本上一勞永逸的解決DDoS 攻擊問題，但由于要同ISP（因特網服務提供商）協同作戰，且需要對整個Internet體系進行重新設計，故目前實施起來難度較大。第三種解決方案采用了軟硬件結合的方式來解決帶寬占用問題。CDN 即內容分發網絡，用于加快網絡訪問速率和質量，一般會在不同ISP內部署節點，形成很大的分布式網絡，將用戶請求自動指向到健康可用且距離用戶最近CDN節點上。由于具有很大的帶寬，CDN具有防御DDoS帶寬消耗攻擊的能力，尤其對靜態和動態可緩存的頁面非常適合，但對于動態不可緩存的頁面，CDN節點也需要從原始的服務器實時訪問獲取信息，然后提供給用戶，如果攻擊者大量的請求此類頁面，也可能造成DDoS攻擊。如2011年12月剛剛上線的中國鐵路訂票系統（www.12306.cn）就采用了CDN系統架構。作為全國惟一的鐵路訂票系統，12306網站的同時在線訪問人數高達500多萬。用戶可以流暢地訪問該網站的靜態頁面，但大量用戶會碰上的無法登錄的情況；還有不少用戶登錄之后，卻無法打開二級、三級頁面，只能不停地刷新；一些幸運的用戶登錄后成功付款，但卻功虧一簣，無法買到票了。此類現象也反映出CDN對于大量的動態不可緩存頁面需求也是力不從心。

三、結束語

作為一種新穎的商務活動過程，電子商務將帶來一場史無前例的革命，而電子商務的安全性問題也越來越受到人們的重視。分布式拒絕服務攻擊（DDoS）嚴重威脅了電子商務網站的正常運作。雖然目前為止網絡業界并沒有可以徹底消除DDoS攻擊的措施，并且硬件設施也只是做到了降低攻擊程度的級別，但如果按照本文的方法和思路去防范DDoS，可以把攻擊帶來的損失降低到最小，從而提高了電子商務活動的安全性。

參考文獻：

[1] 謝逸等.新網絡環境下應用層DDoS攻擊的剖析與防御．電信科學，2007年01期，89-93頁

[2] 李目海.基于流量的分布式拒絕服務攻擊檢測．華東師范大學，2010年博士論文