"什么?网络堵塞?"我一愣?眼看马上就要结束的长城防火墙的测试,看起来已经引起了全世界黑客的最后攻击,如果这一次还不能攻破,对全世界的黑客们是一个严重的打击。
事关面子啊!
"走,去看看。"我立刻站起身和唐迁直奔主控室,目前由于我们属于主动要求被攻击,那么也就是说我们不能出击,只能被动的防御。还好我对这个早有准备,见招拆招吧!
"情况如何?"我一进入主控室就看到严阵以待的陈鲲鹏。
"和预计的一样,现在采用的是ddos的攻击方式,攻击量在持续增长中,网络带宽负载加重。"陈鲲鹏一脸的严肃。
分布式拒绝服务攻击(ddos)是目前黑客经常采用而难以防范的攻击手段
dos的攻击方式有很多种,最基本的dos攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。
ddos攻击手段是在传统的dos攻击基础之上产生的一类攻击方式。单一的dos攻击一般是采用一对一方式的,当攻击目标cpu速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得dos攻击的困难程度加大了-目标对恶意攻击包的"消化能力"加强了不少。
这时侯分布式的拒绝服务攻击手段(ddos)就应运而生了。你理解了dos攻击的话,它的原理就很简单。如果说计算机与网络的处理能力加大了10倍,用一台攻击机来攻击不再能起作用的话,攻击者使用10台攻击机同时攻击呢?用100台呢?ddos就是利用更多的傀儡机来发起进攻,以比从前更大的规模来进攻受害者。
高速广泛连接的网络给大家带来了方便,也为ddos攻击创造了极为有利的条件。在低速网络时代时,黑客占领攻击用的傀儡机时,总是会优先考虑离目标网络距离近的机器,因为经过路由器的跳数少,效果好。而现在电信骨干节点之间的连接都是以g为级别的,大城市之间更可以达到2.5g的连接,这使得攻击可以从更远的地方或者其他城市发起,攻击者的傀儡机位置可以在分布在更大的范围,选择起来更灵活了。
而最常用的ddos攻击手段则是synflood,它利用了tcp/ip协议的固有漏洞。面向连接的tcp三次握手是synflood存在的基础。
到目前为止,进行ddos攻击的防御还是比较困难的。首先,这种攻击的特点是它利用了tcp/ip协议的漏洞,除非你不用tcp/ip,才有可能完全抵御住ddos攻击。一位资深的安全专家给了个形象的比喻:ddos就好象有1,000个人同时给你家里打电话,这时候你的朋友还打得进来吗?
"长城针对ddos的防御手段都使出来了吗?"我对ddos的攻击并不在意,此前的两个月我们也不是没有遭受过ddos的攻击,每一次都以我们胜利而告终,这一次也不会例外。我所担心的就是浑水摸鱼者,由于今天已经是最后的攻击期限了,在面对攸关性命的面子时,这些黑客说不定也会联合起来。那么就是说,这一次的ddos攻击只会越来越厉害,然后在网络负载达到最高的时候,他们必定有后招,肯定是针对tcp/ip的系统漏洞。
"禁止对主机的非开放服务的访问,限制同时打开的syn最大连接数,限制特定ip地址的访问,启用防火墙的防ddos的属性,严格限制对外开放的服务器的向外访问。"我坐在后面看着鲲鹏在那里严阵以待的发号施令。
鲲鹏最近的成长也很厉害啊,在汉龙的这些日子里,他可谓是成长的最快的,不愧是我最信任的人。
"鲲鹏,要小心,ddos不过是前奏罢了。"
"嗯,我知道,你小子,还不来帮忙?"鲲鹏很不满意的斜了我一眼。
我嘿嘿的笑着,不以为然。"放心,我就在你后面,出不了问题,等你顶不住的时候,我就过来。"笑归笑,我也主要是为了平缓主控室里的紧张气氛,弦绷得太紧是会断的。
果然,主控室里的众人哄笑起来,凝重的气氛一下子消失了,众人的脸上都轻松了很多。
"别太担心,有我在后面坐镇呢。要知道我们长城都已经经受了多少次这样的攻击,我们从来没有被打败过。以前也有过这样危险的时候呢。放心,长城是具有数层防护系统的超级防火墙,到目前为止还没又被突破过一次呢!大家要有信心!"陈鲲鹏这时发挥出了很强的能力,同样理解到了我的想法。
"加强对路由的监控,目前我们的带宽不大,网络很容易被大量的数据包所阻塞。千万不要重蹈海信的覆辙,从第一步就开始杜绝隐患。"不过我还是很谨慎的提出了防御措施,防患于未然。
"数据流量再次加大,目前服务器状态良好,对于ddos的攻击全部采取不回应态度。不过需要警惕对html的渗透。"听着汇报,我实在是有些不甘心,被动防守一向不是我的喜好,我喜欢主动出击。这一世我已经很久没有做黑客了,这个时候看到如此激烈的攻击,不由得有些手痒。
"攻击加剧了,有一些未知程序开始进入底层程序……"唐迁突然站了起来,跑到我的身边,气喘吁吁的道。
我也是一楞,怎么会这样?按道理是不应该有人能攻击到底层的啊?难道这世界还真的藏龙卧虎?