而且他们挠脑袋一直挠到今天。到今天，分部式拒绝服务攻击(DDOS)是让网络工程界最为头疼的问题，因为攻击源分部在世界不同的角落，无法一一和他们的网络管理员和系统管理员联系，你这边是下午，那边可能就是凌晨。而且现在的商务网站，现金流量很大，每小时下线的损失可以到上百万美元。反应时间需要在几秒钟的范围之内，和网络管理员和系统管理员联系，找到问题主机，再切断攻击源需要至少几个小时，根本行不通。

　　正是因为没有可行的解决办法，一些恶意的黑客开始越来越肆无忌惮的使用这种攻击方法，逐渐发展到使用这种攻击方法来敲诈勒索大型商业网站，不给钱，就让你的网站下线，损失更大。给钱，那就更遭了，所有的黑客都知道你好欺负，敲诈你能拿钱，你就成了所有人的目标。

　　DDOS的反击方法

　　作为在网络安全界黑白两道都有很多朋友的张大民来说，他对这些情况是再熟悉不过了。

　　让张大民感慨的是，建设容易破坏难，这个规律对网络协议的研发也适用。TCP最大的特点就是它的可扩展性。在任何时候，全世界使用TCP的人不下几百万，说上千万也不过分(考虑到那么多网站)。而这么多TCP连接在互联网上同时存在，每个连接还可以保证一定的传输性能，不是一件很容易做到的事。

　　上大学的时候，看到TCP的状态图，觉得复杂的不得了，现在才知道复杂的状态是必须的，是保证TCP要表现为互联网上的谦谦君子，避免网络的塞车，让每一个想用互联网的人都可以随时随地使用。想当年调试TCP的时候，导致了整个互联网全部下网几次，才把TCP调试成功，其中所有人付出的努力可想而知。而这么大的一个努力，居然就让一个不讲道理的TCPSYN洪水攻击给弄得不知如何是好，真是让人感慨。

　　利用ISP来反击DDOS

　　有一个，把攻击源屏蔽掉了就可以了。但道高一尺魔高一丈和很多网络管理员对DDOS的理解一样，张大民也认为，对DDOS的反击，使用ISP的网络是有效的方法之一。ISP们在和DDOS进行斗争的同时，也摸索出了一些实用的方法。其中最常用的就是黑洞路由了。

　　越来越多的网络攻击开始从攻击终端系统(PC)向攻击网络本身发展。如何预警，分析，反击针对网络本身的攻击，是互联网供应商(ISP)们要解决的。

　　防火墙，IDS，AV软件，主要都是针对企业网的用户，对於企业用户来说，最重要的是如何让PC不染毒。但对於互联网供应商来说，网络设备就是他们的要保护的对象，而对於互联网供应商的网络具有的网际网的性质，防火墙和IDS的deploy几乎很困难，对网络的传输性能也会有影响。但是，现在针对ISP的网络的攻击越来越多，现在的数据是，今天大概90%的针对ISP网络的攻击是“脚本小子”s cript kiddie所为，25%到27%的攻击针对路由的routing协议，但威胁性还不大。有5%-3%的攻击，是非常复杂的攻击，这5%-3%是ISP最担心的。现在ISP的防范技术还重要依赖于网络运行人员对网络网络流量的分析，毕竟，于企业网的网络运行人员不同，ISP的网络运行人员是ISP的核心雇员，是可以为ISP产生利润的员工，他们有相对来说好的经验和好的设备来防备他们的网络。

　　张大民知道一个北美网络运营商们常用的一个技术，

　　网络下水道技术。

　　大家可能都知道Honey Pot，也叫蜜罐技术，就是将一台PC机设置成陷阱，引诱黑客来，让黑客误以为是有缺陷的系统，然后监视黑客的行为。网络下水道技术是应用在网络上的Honey Pot是用来收集发向ISP网络的垃圾网络流量，然后加以分析，对这些网络垃圾的分析，可以知道是否有人在扫描网络，或者在进行攻击，可以用来预警，和防备。如果有黑客正在对ISP的网络展开攻击，网络下水道技术也可以把攻击的网络流量导向下水道，使ISP的网络能正常工作，免受攻击。

　　ISP的网络是用BGP来交流的，下水道技术就是用一台路由，向ISP的网络advertise一个route，可以的缺省的route，也可以是一个特定的子网。如果是一个特定的route，那么所以送到ISP网络的网络流量，如果ISP不知道如何route它，都会送到这个下水道的路由，对ISP来说，这些就是垃圾网络流量，但这些垃圾网络流量中可以有很多有用的信息，可以在下水道路由后面加一个网络分析器，可以就是一个最简单的PC，装个免费的IDS：Snort，再加个tcpdump。也可以是复杂的IDS。如果ISP检测到有黑客正在攻击一个子网的网段，这个下水道路由可以用BGP通知其它路由，让它们把指向这个子网的网络流量都送到下水道路由，等於是把攻击改变了方向。下面是一些图形演示：

　　这个为一个黑客正在对一个子网进行攻击，网络流量经过ISP的网络

　　图1

　　ISP可以用网络下水道技术，向别的BGP的邻居发布这个子网这个子网的攻击转移到了下水道路由。

　　图 2

　　张大民对ISP的这些伎俩都很了解，但让张大民不满意的是，这些技术都需要ISP的帮助。如果真的出了事情，打电话的时间就要几分钟，和现在网站要求的几秒中的反应时间还是有相当的差距。而且如果碰上不负责任的ISP的网络管理员，或者人家不上班，这个办法还是不行。“独立自主，自力更生”。张大民暗自想，“一定有办法可以不用麻烦ISP的网络管理员，又可以在几秒钟之内对DDOS进行反击”。“到底如何才能达到几秒钟的反应速度呢”?，张大民心里很清楚，这不是一个很容易回答的问题，“看样子我又要进入闭关状态了”，张大民想。

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点