DOS/DDOS等拒绝服务攻击近年来不断造成各种重大安全事件，已成为安全领域专业人士探讨的典型案例。从最初的Yahoo、亚马逊及CNN等为代表的被攻击事件，到前不久的315安全网被袭事例可以看出，拒绝服务攻击的技术发展非常迅速，所造成的破坏也更加严重，目前已成为大型网站和网络服务器运营商的一项主要安全威胁。

      2008年随着Web2.0的继续兴盛、国内经济的稳步发展，以及奥运、证券等热点话题的持续升温，使得基于网络应用的各种电子商务、金融、电信、门户网站等企业面临更加严峻的安全形势，DOS/DDOS攻击也成为大型运营商和企业防范的重点之一。安全专家纷纷就当前的形势进行分析和总结，帮助企业提升安全防护水平，降低企业业务所面临的风险。

      当前DDOS的几大攻击特点

      在2008年3月12日于香港举行的《亚太区计算机安全事故协调组织会议及周年大会》上指出，单是香港地区"网络钓鱼"由2004年的73宗，上升至2007年745宗，升幅超过10倍，成为威胁网络安全的新趋势，攻击也由以往只干扰计算机运作的恶意攻击变成难以监测、有组织且破坏力强大的攻击。

      有专家指出：就当前攻击的形势和特点来看，拒绝服务攻击中尤以DDOS的破坏力最强，攻击效率最高，危害也更为严重。DDOS攻击尤其对企业的网络型业务构成的威胁最为严重，造成的经济损失也十分巨大。它同时也是一种很难用传统办法去防护的攻击手段，服务器、带宽都是它的攻击目标。和交通堵塞一样，DDOS已经成为一种网络公害。

      从2007年网络攻击技术的典型事件中，以电子商务、金融、大型网游等服务提供商成为DDOS攻击的主要受害者，具体形势体现在以下几点：

1、 电子商务、大型门户网站成为攻击热门：在调查中我们发现，各种针对电子商务网站、大型门户网站的DDOS攻击日益频繁。与窃取财产的攻击形式不同，这类攻击的目的并非直接攫取高额经济利益，而是通过使电子商务网站、大型门户网站的在线交易或访问无法正常进行，从而造成企业和运营商大量的经济损失。

2、 聊天软件、P2P下载、邮件、在线游戏成为DDOS集中营：各种病毒、木马、流氓软件大部分均通过聊天软件、P2P及FTP下载、邮件和在线游戏进行传播。2007年第四季度，国内即时通讯的活跃帐户数高达3.9亿（此数据来源于易观国际2008年3月5日周度分析报告），如此庞大的用户数量使得DDOS攻击者的目光也转向这些服务的提供商，他们通过对网吧、大型运营商服务器的DDOS攻击，造成服务或网络流量的中断，给享用这些服务的用户带来损失，也给服务提供商带来流量、广告收入等的大幅减少。

3、 敲诈勒索事件开始更加频繁：使用DDOS拒绝服务进行网络敲诈勒索的事件开始更加频繁，攻击者通过在短暂而非紧要的时间段内发动攻击，对用户的数据构成威胁，受害者则不得不为此而支付"保护费"。

4、 以DDoS作为掩护的攻击逐渐出现；攻击者在DDoS攻击获取经济利益的同时，利用DDoS大量的数据包进行掩护，实行挂马、溢出等其他类型的攻击，使用户遭受受到更大的经济损失。

      2008年，警惕DDOS攻击！

      伴随Web2.0热潮的日益高涨、电子商务的迅猛发展和2008北京奥运等热点现象，互联网的用户数量达到了历史新高，而中国在世界的经济、政治和文化中扮演着越来越重要的角色，成为世界的中心，同时也吸引了大量网络犯罪分子的目光。相对于个人用户而言，企业对于DDOS等拒绝服务攻击显得更加警惕，但紧张并不意味着攻击不会来临。非但会来临，还会以更疯狂、更大规模的形式来临。与单一的DOS攻击不同，DDOS会利用高达上千台甚至更多的傀儡机同时发起进攻，拥有极强的破坏力，企业必须谨慎以待。

      如今，高速广泛连接的网络为DDOS攻击创造了极为有利的条件。以千兆为级别的电信骨干节点之间的连接，使得攻击可以从更远的地方发起，攻击者的傀儡机位置可以在分布在更大的范围，选择灵活性更高，攻击也更加隐蔽。

      当企业的主机服务器被DDOS攻击时，通常会产生如下现象：

• 系统服务器 CPU 利用率极高，处理速度缓慢，甚至宕机
• 高流量无用数据造成网络拥塞，使受害主机无法正常和外界通讯
• 反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求
• 被攻击主机上有大量等待的TCP连接
• DDoS攻击后，服务器出现木马、溢出等异常现象

      这些现象的出现导致企业的业务无法正常进行，用户的访问请求被阻断，企业也因此蒙受巨大的经济损失和名誉损失。

      解决方案？企业要"少吃饭，多运动"

      面对猖獗的DDOS攻击和虎视眈眈的黑客们，企业的管理者们陷入苦恼。专家指出：企业若要寻求真正有效的解决方案，应当从两方面着手：一、减少企业内部的网络服务使用，例如杜绝P2P下载、禁止登陆未知网站等。二、选择一套智能化的防护系统，在不改变网络原有架构的前提下，实现动态防护，从根本上解决DDOS的防护问题和其他隐蔽攻击问题。

      世界著名的安全专家、防火墙之父马尔柯斯先生经过16年的研究之后指出："在网络安全问题上，人们往往不是安全地去运行少数必要的网络服务，而是开放很多不安全、不必要的服务，甚至是一些特别不安全的应用，然后耗费大量的时间和金钱，企图把这些不安全的应用变成安全的。就像胖子一样，先痛快地大吃，变成了胖子，然后，再花钱来减肥，企图保证自己的健康。"

      因此，真正实现高效防护，需要在减少大量不安全应用的同时，结合智能的安全防护系统，帮助企业实现DDOS攻击的有效防护。

• 了解当前网络的运行内容：管理员需要明确获知网络流量的详细内容，这是最基本的前提。Radware的DefensePro 具备带宽管理功能，能够根据网络数据包的源/目的地址、应用端口和内容（IP header或IP Data）区分流量，还可以限制相同用户的并发会话和每个会话的带宽，从而清楚了解、管理各种流量的带宽应用。
• 准确判断异常流量：借助智能防护解决方案中的自适应学习模式建立正常基准，并通过先进的模糊关系逻辑运算判断背离正常行为的异常流量。DefensePro解决方案中的B-DOS防范模块能够自动和提前防范网络Flood攻击和高速自我繁殖的病毒，避免危害的发生。凭借业界最高的每秒处理交易数和最大的吞吐量，DefensePro可在最短的时间内，以最低的误报率，并在不影响正常网络使用的前提下，精准判断异常流量，确保网络资源的安全可靠。
• 针对异常流量迅速采取措施：一旦有异常流量进入企业网络，一定要在最短的时间内采取措施，避免损失扩大化。DefensePro的DoSShield模块借助高级的取样机制和基准流量行为监测来识别异常流量，提供了实时的、数千兆位速度 的DoS防范。
• 防御与应用并行不悖：大型网络需要实时保证高性能和高吞吐量，以使用户得到快速稳健的网络使用体验。DefensePro的DoSShield模块只在出现了严重带宽滥用的情况下，才会判断攻击的存在，它会外科手术般地采用逐包过滤除去攻击流量。而当攻击不再活跃时，DoS Shield也能检测到相应状态并停止逐包过滤的操作。这样不仅可实现完全的DoS和DDos 防范能力，而且还保持了大型网络的高吞吐量。同时基于特征码的防范策略，对正常应用无影响，保持了极低的误判率。
• 企业内部网络使用的隔离：真正有效的减肥方法一定是在'多运动'的同时'少吃饭'，通过企业内部网络使用的隔离，使网络服务仅限于必要的流量，不安全格式的内容尽可能不要流入内部，很大程度上避免安全隐患。而DefensePro 采用了多层安全架构，分别检测和抵抗不同类型的攻击，尤其可以防范隐蔽在DDoS攻击之下的其他攻击，DefensePro可在隔离基础上确保只有"清洁"流量进入受保护区域。
• 移动办公的有效管理：企业应加强对移动设备的管理，防止因移动设备中隐藏的安全隐患给企业的网络带来破坏