电子商务指的是利用简单、快捷、低成本的电子通讯方式,买卖双方不谋面地进行各种商贸活动。随着网络技术的发展,电子商务和电子政务等信息化工程也日益完善,然而从安全的角度来看,电子商务网络所面临的网络安全问题却始终如挥之不去的梦魇。DDoS(Distributed Deny of Service-分布式拒绝服务攻击)攻击是一种很难被彻底解决的电子商务网站安全问题,其危害较大,往往可造成网站访问延时甚至瘫痪。
一、DDoS攻击的产生机理
DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应,DoS(Deny of Service-拒绝服务)因此得名。DDoS攻击是在传统的DoS攻击基础之上发展而来的。DDoS 原理很简单,就是利用网络掌控并集结尽量多的傀儡机来攻击目标机以期达到比单机大得多杀伤力,其危害极大且难以防御。自从1999 年第一次有报道的大规模DDoS 攻击在美国明尼苏达大学出现以来,相当多的电子商务网站已经遭受到其暗算并且损失惨重。2009年5月19日晚,受暴风影音软件存在的设计缺陷,以及免费智能DNS软件DNSPod的不健壮性影响,黑客通过僵尸网络控制下的DDoS攻击,致使我国江苏、安徽、广西、海南、甘肃、浙江等省在内的23个省出现罕见的断网故障,即“5 19 断网事件”。常见的DDoS攻击包括:
1.数据包洪流(Flood)攻击
这种攻击称为请求数据包攻击或者直接攻击。 攻击者通过黑客手段控制多台傀儡机,然后通过它们向受害目标机发送巨量数据包,并使用随机产生的IP 地址替换掉自身或傀儡机中数据包头部的真实源地址隐藏自身位置。比较流行的SYN 洪泛, ICMP洪泛,UDP洪泛和IP包分片洪泛都属于此类。
2.反弹(reflector)DDoS攻击
此类DDoS攻击因使用到称为反弹服务器的主机使得追踪攻击方的行踪变得更加困难,其攻击的实现方法比第一种要复杂很多。所谓反弹服务器即收到请求数据包后将会返回数据包的主机。比如一台DNS服务器可以被当作反弹服务器,因为它在接收到DNS请求后会返回DNS响应数据包。攻击者通过向反弹服务器主机发送请求数据包并将源地址的IP伪装替换成受害机的IP,这样反弹服务器返回数据包将指向受害机。由于响应数据包一般比请求数据包要大很多,故攻击的强度会增加很多倍。如10MB/s的攻击流量经过DNS服务器的反射后,其攻击流量最大可达750MB/s。
二、DDoS攻击的防范
DDoS攻击的解决方案可归纳为解决两方面的问题:
1.区分正常和攻击流量
我们可根据正常流量和攻击流量的不同行为、统计特征等进行区别,也可通过认证的方式让所有用户付出一定的代价,如计算、人工参与输入认证码等来区别。如Google网站在发现访问流量异常时,会要求每个用户在每个搜索前先输入验证码。此类防御方法的优点是实施成本简单,但会影响用户的体验满意度,而且无法防御非页面访问的流量攻击。
2.控制流量到达受害者,即解决带宽占用问题
解决带宽占用有三种思路:(1) 不改变现有网络核心的前提下,尽量少的对边缘路由器进行改动,利用ISP及其联合来过滤攻击流量。(2) 从整个Internet设计的角度考虑DDoS攻击,即重新设计Internet ,如在核心路由器中增加认证丢包等机制。(3) 采用CDN 或者重叠网络来吸收流量。第一和第二种解决思路虽然可以从根本上一劳永逸的解决DDoS 攻击问题,但由于要同ISP(因特网服务提供商)协同作战,且需要对整个Internet体系进行重新设计,故目前实施起来难度较大。第三种解决方案采用了软硬件结合的方式来解决带宽占用问题。CDN 即内容分发网络,用于加快网络访问速率和质量,一般会在不同ISP内部署节点,形成很大的分布式网络,将用户请求自动指向到健康可用且距离用户最近CDN节点上。由于具有很大的带宽,CDN具有防御DDoS带宽消耗攻击的能力,尤其对静态和动态可缓存的页面非常适合,但对于动态不可缓存的页面,CDN节点也需要从原始的服务器实时访问获取信息,然后提供给用户,如果攻击者大量的请求此类页面,也可能造成DDoS攻击。如2011年12月刚刚上线的中国铁路订票系统(www.12306.cn)就采用了CDN系统架构。作为全国惟一的铁路订票系统,12306网站的同时在线访问人数高达500多万。用户可以流畅地访问该网站的静态页面,但大量用户会碰上的无法登录的情况;还有不少用户登录之后,却无法打开二级、三级页面,只能不停地刷新;一些幸运的用户登录后成功付款,但却功亏一篑,无法买到票了。此类现象也反映出CDN对于大量的动态不可缓存页面需求也是力不从心。
三、结束语
作为一种新颖的商务活动过程,电子商务将带来一场史无前例的革命,而电子商务的安全性问题也越来越受到人们的重视。分布式拒绝服务攻击(DDoS)严重威胁了电子商务网站的正常运作。虽然目前为止网络业界并没有可以彻底消除DDoS攻击的措施,并且硬件设施也只是做到了降低攻击程度的级别,但如果按照本文的方法和思路去防范DDoS,可以把攻击带来的损失降低到最小,从而提高了电子商务活动的安全性。
参考文献:
[1] 谢逸等.新网络环境下应用层DDoS攻击的剖析与防御.电信科学,2007年01期,89-93页
[2] 李目海.基于流量的分布式拒绝服务攻击检测.华东师范大学,2010年博士论文