3月25日，美国召开新闻发布会，指控七名伊朗籍男子在2011到2013年期间，侵入了包括摩根大通、富国银行和美国运通威尔斯等至少46家金融机构。

　　这个事件绝对是一个细思极恐的事件，仅7个人，在两年左右的时间里连续用同一种方法攻击近50家银行，而且还全部成功了。更为可怕的是，他们所使用的攻击手段也并不高明，是二十年前就已经出现的DDOS攻击(DDoS：Distributed Denial of Service分布式拒绝服务)，但是无一例外，近50家金融机构全部中枪。

　　金融安全等级再高，却没能挡住DDOS

　　DDOS又出来了

　　2012年9月开始，美国多家银行的网站发生故障，相继发生拒绝服务的情况。这一系列的攻击带给金融行业的冲击是巨大的，长时间的无法登陆和无法服务给用户带来的极差的体验。

　　“这是一个提醒，对于国家安全来讲，网络安全是极其重要的一环，而网络威胁所带来的影响，其严重性正在逐步增长。”美国一位检察官在新闻发布会上这样提到，“绝对不能够允许、容忍任何的集团或者个人破坏攻击金融机构。”

　　众所周知，金融系统的网络安全系统，其严密性远高于其他系统。对于网络安全的防范意识也处于较高的水平，那么这接近50家的金融系统是如何中招的呢?低劣的手段都能够攻破金融系统的安全大门，这种手段到底有多可怕呢?

　　DDOS就像一种古老而又强大的黑魔法

　　DDOS，这是个一个在网络安全方面的元老级攻击手段，其手法非常的简单直接，但是却很难防御，被誉为网络攻击的“核武器”。在信息安全的领域存在着三要素，保密性，完整性和可用性，三要素中的任何一点受到破坏就将会演变成安全事故，DDOS便是主要攻击了其可用性。

　　攻击者往往不会亲自出现

　　DDOS的攻击方式多种多样，其中所使用最多，最基础的是DOS(Denial of Service，拒绝服务攻击)。DOS针对可用性的攻击手段非常简单有效。通常，黑客会控制一台傀儡机器窃取一个账号，然后利用该账号控制大量的账号作为代理程序，利用客户或者服务器技术，在几秒钟内激活成百上千次代理程序对被攻击网站进行访问。

　　很难防住!这是每个被DOS攻击过的用户最大的苦恼。因为DOS攻击伪装成了正常的访问，主要目标为消耗网站的服务资源，并没有入侵被攻击网站的服务器或者网络设施，与普通的黑客攻击手法完全不同，因此总会给人一种防不胜防的无奈。

　　DDOS的攻击手段：拙劣却有效

　　据说，高端的黑客是很鄙视DDOS攻击的，因为手法实在是太low了，初级入门者都可以使用。而且DDOS攻击是一种两败俱伤型的攻击手段，其之所以被称为网络攻击的核武器，就是因为一个字：贵。防御方想要防御DDOS攻击要花费大量的资金，攻击方也是需要有很大的资金投入才可以维持攻击。

　　DDOS攻击种类繁多

　　DDOS 的攻击途径分类大略有三种。第一种，利用软件的缺陷，对服务方发送一些可能会引发事故或者故障而无法正常服务的报文，而这种攻击非常致命，比普通的资源占用型攻击要凶残许多，往往一旦攻击成功就会导致服务器瘫痪等重大问题。

　　第二种，利用协议漏洞对系统资源进行占用。这种攻击往往会利用HTTP的协议漏洞，伪造IP进行攻击。由于向服务器连接时需要有三次握手阶段，用户发送请求，服务器回应请求，用户确认和服务器连接。但是在攻击时，伪造IP仅仅执行前两个阶段而形成死循环，大量占用服务器资源导致网站无法正常工作。

TCP三次握手阶段

　　第三种，也就是最最缺乏技术含量的一种，大量的资源比拼。由于攻击者手中握有很多的代理程序，利用这些代理程序向服务器发送大量的垃圾数据，占用带宽，导致服务器拒绝服务。这种方法简直就是资金硬拼，你用你的流量和攻击换取我的加强基础设施建设，甚至超规模建设等问题。

　　三种办法听起来都是很简单的手段，但是一旦进行攻击，其危险性超脱了很多人的预想。美国的金融机构纷纷中招也显示了这个简单粗暴的攻击手段到底有多难防御，成名20年依然不能阻挡他神挡杀神佛的脚步，那么我们真的拿他无解了么?

　　想说防你很难，但又不得不防

　　对于软件缺陷型攻击的防御一般还是采取主动防御的措施，因为在三种攻击中，该攻击的后果最为严重，而且攻击手段也非常隐蔽。对于系统应当经常进行监察检测，及时发现漏洞，对此发布补丁、设置加固，消除漏洞。此外还可以购买一些更为专业的防御软件，但是这并不能让你万事大吉。

　　利用协议漏洞的话防御起来也是比较困难的，因为通常这种远程行为采用的是伪造IP地址，追查难度较大。因此，一般可以选择部署安全设备进行相关设置，然后限制每个源 IP 地址每秒的域名解析请求次数，对于突然出现的大量频度较低的域名解析请求的源 IP 地址进行限制等手段。

　　DDOS防御和攻击，都是钱的斗争

　　而第三种攻击，除了直接砸钱拓宽宽带以外，还可以采取一些其他的技术手段。比如可以部署流量清洗设备，设置一定的阙值，超过之后则选择性丢弃相关数据包;识别DDOS攻击手段，联系服务商，在被攻击时配合运营商引流进入“路由黑洞”等多种手段共同配合，解决问题。

　　虽说用这些手段可以防范攻击，但是也不能做到完美的防御，DDOS攻击是一种非常难以防御而又极其消耗财力物力人力的一种网络攻击手段，对于他的防御除了针对性的防御以外，还需要在平时做一些事情进行防范。

　　首先，适当减少企业通道成本。因为DDOS简单说就是一个砸钱的攻击手段，选取较为廉价的通道，甚至采用服务端对外的多路动态网络+静态网络的方式，减小投入成本， 防御成本也就会相应减少，在防范时的升级工作可以有备无患。

　　其次，减少数据交换需求。对数据流采用加密处理，优化数据交换需求， 采用压缩并检测排除的方法，减轻通道压力。

　　采用云数据库是防御DDOS的新思路

　　再者，可以将需求数据库转为建设云数据库，将重要数据分开存放，建立多通道专用的服务器内网， 即使被DDOS攻击，也不至于全盘崩溃，在被攻击时可选取几条通道关闭并将服务转移。

　　DDOS攻击虽然无奈，但是也并非完全不可解。多种手段并行防范，从意识上崛起提升网络安全才是重中之重。

　　责任编辑：DJ编辑