【DDOS系列之二】DDOS的防范

DDOS攻击是一种很难防范的攻击手段。攻击方采用的多Agent攻击单个受害者或者受害者机群的方式使受害者的服务失效。由于互联网是一松耦合离散网络，无法对互联网进行全局范围的控制，所以到现在如何预防DDOS的发生还是一个很令人头痛的问题。笔者于2年前曾经提出一个cloaked attack server group的概念，但是由于太过复杂不具备可操作性到现在还没有具体实施。翻看国际上对于如何防范DDOS攻击的文章，没有什么非常激动人心的理论。不过随之而出现的很多辅助性技术则发展的很快。

普遍的观点认为对于DDOS的攻击，单靠受害者一个方面提高防御是无效的。DDOS攻击就是一种性能压榨的典型表现，我的带宽高，我就能欺负你。我的带宽不高，我就拿你没辙。对于像YAHOO,EBAY这种大型公司可以通过大幅度提高网站带宽，增加服务器机群技术和负载均衡技术来抵御DDOS攻击，但是对于像单IP单机器的服务器类型这种方法就不适用。

DDOS防范技术的第一个发展方向是主动发现。2000年由washington university 的一个硕士论文所引发的Remote Intrusion Detection技术的发展，RID软件就是其中一个范例。它主要的功能是通过主动发现互联网上是否有DDOS的Agent存在或者发现是否有DDOS的Handler机器存在，攻陷DDOS的Handler机器，以达到掐灭一大片机器的DDOS攻击能力为目的的DDOS反击模式。这些方式的使用使受害者不再像以前那样只是收到攻击，而还手之力。 字串2

第一个RID的工具使在2000年由http://www.theorygroup.com/Software/RID/发布的。



该软件的使用方法很容易，但是在我的solaris无法编译通过。从笔者多年的经验来看，这个软件的使用方法很简单，但是需要操作系统有对Libpcap的支持。笔者所在的实验室的computer support简直是个混帐，什么都不懂还不肯放root权限。有条件的人可以自己尝试，原理很简单，就是通过扫描特定端口发现Agent和Handler机器的IP地址，从而通知管理员，可以在前端路由器上BLOCK攻击方计算机的IP地址。