某公司網(wǎng)絡(luò)系統(tǒng)受到DDoS攻擊，其攻擊流量高達(dá)60～70Mbps，攻擊報(bào)文到達(dá)11萬pps，如下圖所示：

圖一  攻擊流量示意圖

從上圖可以看出，從Internet而來的流量（綠色）中只有很少部分流量是用戶正常流量（籃線），籃線以上部分為DDoS攻擊流量。如果對(duì)于帶寬比較緊張的市公司來說，無疑會(huì)形成嚴(yán)重的網(wǎng)絡(luò)擁塞，造成大面積的用戶投訴。

攻擊報(bào)文分析

針對(duì)圖二的攻擊流量，在所接網(wǎng)吧交換機(jī)進(jìn)行端口鏡像后抓包，下圖為攻擊包解析截圖。

圖二  攻擊報(bào)文分析圖

可以看出，此攻擊為攻擊機(jī)發(fā)送大量無標(biāo)志位（標(biāo)志位設(shè)置為全0，圖中紅框重點(diǎn)標(biāo)出）的畸形tcp報(bào)文。用大量發(fā)包的方式來耗盡網(wǎng)吧服務(wù)器資源，導(dǎo)致網(wǎng)吧不能正常上網(wǎng)。

攻擊防范措施

1．在遭遇DDoS攻擊時(shí)，通常會(huì)選擇直接丟棄數(shù)據(jù)包的過濾手段。通過改變數(shù)據(jù)流的傳送方向，將其丟棄在一個(gè)數(shù)據(jù)“黑洞”中，以阻止所有的數(shù)據(jù)流。這種方法的缺點(diǎn)是所有的數(shù)據(jù)流(不管是合法的還是非法的)都被丟棄，業(yè)務(wù)應(yīng)用被中止。數(shù)據(jù)包過濾和速率限制等措施同樣能夠關(guān)閉所有應(yīng)用，拒絕為合法用戶提供接入。這樣做的結(jié)果很明顯，就是“因噎廢食”，可以說是恰恰滿足了黑客的心愿。

2．安裝專業(yè)防火墻進(jìn)行非法流量過濾

在上述攻擊實(shí)例中，我們架設(shè)了防DDoS攻擊設(shè)備進(jìn)行非法流量的過濾，拓?fù)鋱D如圖三所示，起到了不錯(cuò)的效果，保護(hù)了網(wǎng)吧的正常營(yíng)業(yè)，但是攻擊流量一直流向到防火墻，占用城域網(wǎng)帶寬嚴(yán)重。

圖三  DDoS防火墻安裝示意圖

3．對(duì)于用戶來說，正常業(yè)務(wù)的開展是最根本的利益所在。隨著大家對(duì)Internet的依賴性不斷增加，DDoS攻擊的危害性也在不斷加劇。我們只能建議和呼吁：及早發(fā)現(xiàn)系統(tǒng)存在的攻擊漏洞、及時(shí)安裝系統(tǒng)補(bǔ)丁程序，以及不斷提升網(wǎng)絡(luò)安全策略，都是防范DDoS攻擊的有效辦法。

盡管目前以DDoS為代表的黑客攻擊仍舊氣焰囂張，但是在可以預(yù)見的將來，廣大用戶手中握緊的安全利刃必定可以斬?cái)郉DoS的魔爪。