縱觀網(wǎng)絡(luò)安全攻擊的各種手段和方法，DoS（DenialofService）拒絕服務(wù)類(lèi)攻擊危害巨大，有報(bào)道說(shuō)黑客每周發(fā)起的DoS類(lèi)網(wǎng)絡(luò)攻擊達(dá)到4000次之巨，據(jù)此看來(lái)，網(wǎng)絡(luò)上將無(wú)時(shí)不刻的在承受DoS打擊。而DDoS(DistributedDenial of Service)分布式拒絕服務(wù)攻擊的出現(xiàn)無(wú)疑是一場(chǎng)網(wǎng)絡(luò)的災(zāi)難，它是DoS攻擊的演變和升級(jí)，是黑客手中慣用的攻擊方式之一，破壞力極強(qiáng)，往往會(huì)帶給網(wǎng)絡(luò)致命的打擊。就像網(wǎng)絡(luò)的洪水猛獸一般，人們談起DDoS無(wú)不為之變色。
    我們?cè)诤芏嚯娪爸卸伎催^(guò)這樣的鏡頭，一個(gè)在鬧市區(qū)被追捕的人往往會(huì)采用制造人群混亂的手段來(lái)阻礙追捕者，從而得以逃脫。再回想2003年北京那場(chǎng)突如而來(lái)罕見(jiàn)的大雪所造成的嚴(yán)重后果，整個(gè)城市的交通幾于癱瘓，很多人因此都陷入有家不能回的困境。
    這些例子在某些地方跟DoS類(lèi)攻擊的性質(zhì)很相近，黑客也是利用相關(guān)的技術(shù)手段制造網(wǎng)絡(luò)阻塞，使正常網(wǎng)絡(luò)交通停滯，被攻擊目標(biāo)的網(wǎng)絡(luò)活動(dòng)無(wú)法開(kāi)展，從而達(dá)到攻擊的目的。在信息化飛速發(fā)展的今天，網(wǎng)絡(luò)已經(jīng)成為眾多企業(yè)業(yè)務(wù)運(yùn)轉(zhuǎn)的重要組成，尤其是對(duì)于像電信這樣的服務(wù)提供商來(lái)說(shuō)，拒絕服務(wù)攻擊會(huì)帶來(lái)的后果是災(zāi)難性的。
    一直以來(lái)DDoS是人們非常頭疼的一個(gè)問(wèn)題，它是一種很難用傳統(tǒng)辦法去防護(hù)的攻擊手段，除了服務(wù)器外，帶寬也是它的攻擊目標(biāo)。在美國(guó)白宮和一些站點(diǎn)被攻擊的案例中都能看到它的身影。和交通堵塞一樣，DDoS已經(jīng)成為一種網(wǎng)絡(luò)公害。
    傳統(tǒng)DDoS防護(hù)手段及其局限性
    為了防止DDoS攻擊，人們發(fā)展了一系列的方法，比較常用的有黑洞法、設(shè)置路由訪問(wèn)控制列表過(guò)濾和串聯(lián)防火墻安全設(shè)備等幾種，下面我們一道來(lái)看看這些方法的原理及其局限性。
    1.黑洞法
    顧名思義，它將像黑洞一樣吸納所有的網(wǎng)絡(luò)流量，以保證服務(wù)器的安全。具體做法是當(dāng)服務(wù)器遭受攻擊之后，在網(wǎng)絡(luò)當(dāng)中設(shè)置一個(gè)訪問(wèn)控制，將所有的流量放到黑洞里面去扔掉。這個(gè)做法能夠在攻擊流量過(guò)來(lái)的時(shí)候，將所有攻擊拒之門(mén)外，保證對(duì)整個(gè)骨干網(wǎng)不會(huì)造成什么影響，但它同時(shí)也將正常流量擋在了門(mén)外，造成服務(wù)器無(wú)法向外部提供服務(wù)，中斷了與用戶(hù)的聯(lián)系。這種以犧牲應(yīng)用為代價(jià)的做法，有點(diǎn)壯士斷腕的意味，從某種意義上說(shuō)還是讓攻擊者達(dá)到了目的。
    2.設(shè)置路由訪問(wèn)控制列表過(guò)濾
    這種方法企業(yè)用戶(hù)自己不去部署，而是由電信等服務(wù)提供商對(duì)骨干網(wǎng)絡(luò)進(jìn)行配置，在路由器上進(jìn)行部署。現(xiàn)在路由器上的部署就是兩種方式，一種是ACL??作訪問(wèn)控制列表，還有一種方式是做數(shù)據(jù)限制。這兩種方式都可以歸結(jié)為ACL，它的最大問(wèn)題是如果攻擊來(lái)自于互聯(lián)網(wǎng)，將很難去制作面向源地址的訪問(wèn)列表，因?yàn)樵吹刂烦鎏帋в泻艽蟮碾S意性，無(wú)法精確定位，唯一能做的就是就面向目的地址的ACL，把面向這個(gè)服務(wù)器的訪問(wèn)控制量列出來(lái)，將所有請(qǐng)求連接的數(shù)據(jù)包統(tǒng)統(tǒng)扔掉。這種“寧可錯(cuò)殺一千也不放過(guò)一個(gè)”的做法后果顯而易見(jiàn)，用戶(hù)的服務(wù)將受到極大影響。另外一個(gè)缺陷就是在電信骨干上設(shè)置這樣的訪問(wèn)控制列表將給訪問(wèn)控制量管理帶來(lái)極大困難。而且采用這種方法還帶有很大的局限性，它無(wú)法識(shí)別虛假和針對(duì)應(yīng)用層的攻擊。
    3. 串聯(lián)的防火墻安全設(shè)備
    傳統(tǒng)對(duì)DDoS的防護(hù)中，還有一種是采用防火墻串聯(lián)的方法，對(duì)于流量已達(dá)幾十個(gè)G的運(yùn)營(yíng)商骨干網(wǎng)絡(luò)來(lái)說(shuō)，由于防火墻能力和技術(shù)水平所限，幾個(gè)G的防火墻設(shè)備很容易就會(huì)超載導(dǎo)致網(wǎng)絡(luò)無(wú)法正常運(yùn)行，而且具有DDoS防護(hù)功能的防火墻吞吐量會(huì)更低，即使是防火墻中的“頂尖高手”也是有心無(wú)力，無(wú)法擔(dān)此重任。另外采用這樣的方法無(wú)法保護(hù)上行的設(shè)備/缺乏擴(kuò)展性，還有就是無(wú)法有效的保護(hù)面向用戶(hù)的資源。
    人們?cè)谂cDDoS的抗?fàn)幹胁捎昧硕喾N方法和手段，但是從以上分析不難看出目前的方法效率不高，而且還存在著一些無(wú)法克服和解決的問(wèn)題，顯然無(wú)法有效保障網(wǎng)絡(luò)和服務(wù)器免于DDoS的攻擊的傷害，那么我們真的束手無(wú)策了嗎？
    思科智能化DDoS防護(hù)系統(tǒng)原理

    從圖中我們可以看出，防護(hù)器采用和并聯(lián)的方式接駁在骨干網(wǎng)絡(luò)當(dāng)中，對(duì)整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)沒(méi)有任何影響。當(dāng)網(wǎng)絡(luò)中有不良流量對(duì)網(wǎng)絡(luò)進(jìn)行攻擊時(shí)，網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（IDS）會(huì)向防護(hù)器發(fā)出報(bào)警，這樣DDoS防護(hù)器就能知道網(wǎng)絡(luò)中服務(wù)器被攻擊的情況，他的目的是什么，是來(lái)自于什么樣的地址。這時(shí)防護(hù)器立即啟動(dòng)開(kāi)始工作（此過(guò)程一般為智能化自動(dòng)處理，人工操作設(shè)置也可），通知路由器，將面向這些地址的流量全部都發(fā)送到防護(hù)器，暫時(shí)接管了網(wǎng)絡(luò)中的這些數(shù)據(jù)量，對(duì)其進(jìn)行分析和驗(yàn)證，所有非法惡意流量將在這里被截獲丟棄，而正常的流量和數(shù)據(jù)將被繼續(xù)傳送到目的地。如圖

    說(shuō)到防護(hù)器本身，它采用了一種被稱(chēng)為MVP（MULTIVERIFICATIONPROCESS）多次確認(rèn)流程的專(zhuān)利技術(shù)，通過(guò)5層分析和過(guò)濾，能極為有效地識(shí)別和阻攔DDoS攻擊。讓我們通過(guò)一個(gè)偽裝DNS的攻擊防護(hù)的例子來(lái)圖示一下MVP是如何工作的。如圖3所示：
    在動(dòng)態(tài)/靜態(tài)過(guò)濾層作為第一關(guān)將過(guò)濾掉非DNS協(xié)議。
    而在第二個(gè)防虛假層將過(guò)濾掉那些虛假的DNS源，在這里采用了一種回溯技術(shù)，可以極為精確的確認(rèn)DNS源是否存在，基本原理就像是郵局退回?zé)o人收取的包裹一樣，如果在與訪問(wèn)者的IP地址進(jìn)行通信而無(wú)法取得聯(lián)系的話就可以判定地址的虛假性。
    如果一些非常隱蔽的攻擊信息通過(guò)了以上兩個(gè)關(guān)口，那么在第三層強(qiáng)大的統(tǒng)計(jì)分析系統(tǒng)會(huì)使它徹底的現(xiàn)形。一個(gè)不正常的DNS請(qǐng)求一秒大概會(huì)有兩三次，不會(huì)特別多、特別頻繁，如果統(tǒng)計(jì)分析這類(lèi)地址請(qǐng)求超過(guò)10次/秒，或者20次/秒，它就是異常請(qǐng)求，會(huì)把它全部扔掉。
    經(jīng)過(guò)以上過(guò)濾大部分的非法數(shù)據(jù)流量已被拋棄，就算還有一些手法高明的黑客能夠經(jīng)過(guò)以上3層，第四層的網(wǎng)絡(luò)第7層協(xié)議分析功能也將會(huì)毀滅他們最后的企圖。

第5層最后將數(shù)據(jù)流重整后平安發(fā)往目的地。
    防護(hù)器采用專(zhuān)門(mén)的硬件結(jié)構(gòu)來(lái)進(jìn)行處理，使用了專(zhuān)用芯片，效率極高。在測(cè)試中，當(dāng)網(wǎng)絡(luò)流量達(dá)到600兆左右的時(shí)候，它的CPU占用率才1%，延時(shí)1毫秒左右，完全能勝任大型骨干網(wǎng)絡(luò)的DDoS防護(hù)。
    重點(diǎn)保護(hù)電信IDC和在線企業(yè)
    思科DDoS智能防護(hù)系統(tǒng)適合于保護(hù)所有的網(wǎng)絡(luò)，但根據(jù)業(yè)務(wù)的特點(diǎn)和重要性，思科認(rèn)為，目前重點(diǎn)客戶(hù)應(yīng)該是電信運(yùn)營(yíng)商數(shù)據(jù)中心和在線企業(yè)兩類(lèi)。
 

    電信運(yùn)營(yíng)商可以將思科DDoS智能防護(hù)系統(tǒng)部署在骨干網(wǎng)的邊緣，動(dòng)態(tài)地為購(gòu)買(mǎi)了該項(xiàng)服務(wù)的客戶(hù)提供保護(hù)。防護(hù)器作為一個(gè)資源共享的設(shè)備，它可以根據(jù)需要?jiǎng)討B(tài)地對(duì)網(wǎng)絡(luò)中的上百臺(tái)服務(wù)器進(jìn)行保護(hù)，誰(shuí)被攻擊，就去保護(hù)誰(shuí)，這點(diǎn)對(duì)于電信企業(yè)非常重要。在資源共享的同時(shí)它還有一個(gè)比較靈活的選擇，可以對(duì)制定的服務(wù)器進(jìn)行保護(hù)，對(duì)于非指定服務(wù)器則不實(shí)施保護(hù)。以下電信運(yùn)營(yíng)商邊界部署模式示意圖：
    在ISP邊界部署思科DDoS智能防護(hù)系統(tǒng)對(duì)重點(diǎn)客戶(hù)實(shí)施保護(hù)，既可以保護(hù)客戶(hù)的服務(wù)器，也可以保護(hù)客戶(hù)的帶寬。
    思科DDoS智能防護(hù)系統(tǒng)同時(shí)也可以部署在企業(yè)內(nèi)部去防護(hù)，不過(guò)這樣的模式只能保護(hù)服務(wù)器不宕機(jī)，不能解決帶寬被DDoS攻擊占滿的狀況。對(duì)于擁有大量在線業(yè)務(wù)的企業(yè)，例如在線游戲、網(wǎng)上銀行的公司，在運(yùn)營(yíng)商暫時(shí)還不能提供有效保護(hù)的情況下，企業(yè)自己保護(hù)服務(wù)器不要被DDoS破壞，仍然不失為一種很好的選擇。
    Riverhead公司的產(chǎn)品2002年一經(jīng)推出，便得很快在國(guó)外得到電信運(yùn)營(yíng)商、門(mén)戶(hù)網(wǎng)站、在線游戲公司、在線支付公司的親睞，AT&T、Sprint、Rackspace、Datapipe等ISP很快成為其客戶(hù)。美國(guó)某個(gè)中型的在線游戲公司此前曾收到“網(wǎng)絡(luò)恐怖分子”索要保護(hù)費(fèi)以防被攻擊，接下來(lái)果然被迫宕機(jī)了近兩天，將帶寬從100MB擴(kuò)展到1GB都無(wú)濟(jì)于事，安裝了思科DDoS智能防護(hù)系統(tǒng)后問(wèn)題迎刃而解。某金融機(jī)構(gòu)周四首次遭受攻擊時(shí)嘗試通過(guò)跟蹤和隔離攻擊“肉機(jī)”的控制端解決問(wèn)題，結(jié)果周五時(shí)攻擊再次襲來(lái)，業(yè)務(wù)被迫中斷，CEO要求用一切代價(jià)解決問(wèn)題，周五、周六兩天，思科提供解決方案，臨時(shí)新增一個(gè)采用了思科DDoS防護(hù)系統(tǒng)的ISP接收所有流量，銀行恢復(fù)上線，原有的ISP安裝思科智能防護(hù)系統(tǒng)，才保住這個(gè)銀行客戶(hù)。正是因?yàn)镽iverhead的市場(chǎng)潛力巨大，才使得思科公司用不到3個(gè)月時(shí)間就閃電式收購(gòu)了Riverhead公司。
    當(dāng)前，在中國(guó)也有越來(lái)越多的企業(yè)在網(wǎng)上開(kāi)展關(guān)鍵業(yè)務(wù)，相信無(wú)論是通過(guò)ISP邊界部署的模式，還是企業(yè)自己部署的模式，思科DDoS智能防護(hù)系統(tǒng)一定能夠?qū)@些企業(yè)提供牢不可破的DDoS保護(hù)。