電子商務網站抵御分布式拒絕服務攻擊的措施研究

蔣靜 葉晰

[摘要]本文首先介紹了分布式拒絕服務攻擊（DDoS）的實施原理，進而分析了DDoS攻擊對電子商務網站的巨大危害，最后提出了防范分布式拒絕服務攻擊的措施。

[關鍵詞]電子商務 DDoS 網絡安全 分布式拒絕服務攻擊

電子商務指的是利用簡單、快捷、低成本的電子通訊方式，買賣雙方不謀面地進行各種商貿活動。隨著網絡技術的發展，電子商務和電子政務等信息化工程也日益完善，然而從安全的角度來看，拒絕服務攻擊是電子商務網站始終如揮之不去的夢魘。

一、分布式拒絕服務攻擊的實施原理

拒絕服務攻擊（Deny of Service-DoS）的攻擊方式有很多種，最基本的DoS攻擊就是利用合理的服務請求來占用過多的服務資源，從而使合法用戶無法得到服務的響應。DDoS（Distributed Deny of Service-分布式拒絕服務攻擊）攻擊是在傳統的DoS攻擊基礎之上發展而來的。DDoS 原理很簡單，就是利用網絡掌控并集結盡量多的傀儡機來攻擊目標機，以期達到比單機大得多的殺傷力，其危害極大且難以防御。

二、分布式拒絕服務攻擊的危害性

DDoS攻擊是一種很難被徹底解決的電子商務網站安全問題，其危害較大，往往可造成網站訪問延時甚至癱瘓。自1999年下半年以來，拒絕服務攻擊事件不斷發生，攻擊發生的頻率也越來越密集。據美國加州大學圣地亞哥超級計算機中心報道，在2001年2月的3周內，共檢測到12805次拒絕服務攻擊。2002年10月21日，一波分布式拒絕服務攻擊襲擊了Internet DNS根服務器，直接導致了13臺根服務器中的9臺癱瘓，這些服務器是由多個機構根據合同為美國商務部運行維護的。而對電子商務網站進行直接攻擊最著名例子包括2002年黑客對Yahoo和EBay等網站發起的分布式拒絕服務攻擊，攻擊使這些網站的服務一度關閉。在國內最近一次大規模的攻擊發生在2009年5月19日晚，當時受暴風影音軟件存在的設計缺陷以及免費智能DNS軟件DNSPod的不健壯性影響，黑客通過僵尸網絡控制下的DDoS攻擊，致使我國江蘇、安徽、廣西、海南、甘肅、浙江等省在內的23個省出現罕見的斷網故障，即“5-19斷網事件”。

三、分布式拒絕服務攻擊（DDoS）防御措施的研究

常見的DDoS攻擊包括數據包洪流（Flood）攻擊和反彈（reflector）DDoS攻擊。到目前為止，完全杜絕或抵御DDoS攻擊還是比較困難的，主要由于這種攻擊的特點是它利用了TCP/IP協議的漏洞，除非你不用TCP/IP協議，才有可能完全抵御住DDoS攻擊。不過這不等于我們就沒有辦法阻擋或減輕DDoS攻擊。

首先，我們要加強每個網絡用戶的安全意識，安裝殺毒軟件，安裝軟件或者硬件防火墻，不從匿名網站下載軟件，不訪問不明網站，不打開不明郵件，盡量避免木馬的種植。

其次就是從源頭遏制DDoS的攻擊。比如對于SYN Flood攻擊雖然目前沒有非常有效的檢測和防御方法，但通過對系統架構的設定，能降低被攻擊系統的負荷，減輕負面的影響。通常防御方法有：1.縮短SYN Timeout時間；2.設置SYN Cookie；3.負反饋策略；4.分布式DNS負載均衡退讓策略；5防火墻QoS。SYN Flood攻擊的效果取決于在服務器上保持的SYN半連接數，所以通過縮短從接收到SYN報文到確定這個報文無效并丟棄的時間，可以成倍地降低服務器的負荷。我們還可以設置SYN Cookie，給每一個請求連接的IP地址分配一個Cookie，如果短時間內收到某個IP的重復SYN報文，就認定是受到了攻擊，以后從這個IP地址來的包會被丟棄。當然這樣的方法不能根本的杜絕這樣的DDoS的攻擊，對于多個主機不同IP 的不斷攻擊也就束手無策，所以還需要尋求更優質的策略去解決這種攻擊。

對于很多有關涉及到ICMP報文的攻擊，我們可以從根本出發，可以關閉服務器ping服務功能，或者在防火墻里設置過濾ICMP報文。有需要的時候再手動開啟ping服務。

我們還可以對于一些特定的、容易被攻擊利用的協議如ICMP實施流量控制，這樣，即使某協議被攻擊者利用，它只能占用有限的帶寬，從而不會對其他的網絡應用帶來太大的威脅。對于一些需要高網絡帶寬的服務，要有足夠的冗余，使得系統運行需求遠低于可用的極限資源。如果系統在接近極限狀態下運行，則很小的拒絕服務攻擊就可能耗盡剩余資源，使得系統不能正常提供服務。對于與Internet連接的系統，要及時關閉不需要的服務和端口，服務越多，漏洞越多，需要提供的保護越多，受到外界的安全威脅也越大。堅持打好最新的補丁，密切關注安全漏洞和安全補丁的發布。經常對自己的系統進行端口掃描，找出可能的系統漏洞。定期用新型的拒絕服務攻擊方法或工具對自己的網絡進行抗拒絕服務攻擊測試，針對相應的攻擊手段做出相應的調整。

四、結束語

作為一種新穎的商務活動過程，電子商務將帶來一場史無前例的革命，而電子商務的安全性問題也越來越受到人們的重視。分布式拒絕服務攻擊（DDoS）嚴重威脅了電子商務網站的正常運作。雖然目前為止網絡業界并沒有可以徹底消除DDoS攻擊的措施，并且硬件設施也只是做到了降低攻擊程度的級別，但如果按照本文的方法和思路去防范DDoS，可以把攻擊帶來的損失降低到最小，從而提高了電子商務活動的安全性。

參考文獻：

[1]謝逸等.新網絡環境下應用層DDoS攻擊的剖析與防御.電信科學，2007年01期，89-93頁

[2]李目海.基于流量的分布式拒絕服務攻擊檢測.華東師范大學，2010年博士論文