数汇学院｜外汇经纪商如何防范DDoS攻击

【数汇导读】

相信不少企业，甚至个人用户都遇到过这种状况：网络状况忽然变差，服务器严重超载，系统莫名停止响应......

外汇行业同样有不少经纪商受到DDoS攻击被迫导致服务器和网络瘫痪的情况，业内媒体也有的曾经遭遇了DDoS攻击，不管是经纪商，或者媒体，更包括客户，都不愿意遭遇这种事情。那么什么是DDos攻击？经纪商又该如何进行防范呢？

【DDoS攻击是什么？】

分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。(来源于百度)

那么简单怎么讲呢?

DDoS就是通过大量恶意流量，占用宽带或计算资源，已达到瘫痪对方网络的目的。

举个例子说明一下，老李开了一家牛肉面馆，生意红火，顾客络绎不绝。有一天，店里突然涌入一堆小混混，霸占了所有座位，只连WIFI不吃面，真正想吃面的人只能闻闻味，老李欲哭无泪，如果把这家牛肉面馆看做一家企业，那这群小混混的堵店行为就是DDoS攻击。

【DDoS攻击原因】

DDoS攻击原因，说到底就是一个那就是钱。攻击只是手段，利益才是永恒的目的。

DDoS诞生快20年了，最初是黑客用来炫技，现在以沦为逐利工具，攻击目的主要有两大类：

第一是敲诈勒索，逼你花钱买平安；

第二是打击竞争对手，同行是冤家，有人明着争不过你，那就开始暗地里使坏。

当然，还有就是你得罪人了，被蓄意打击报复。

【DDoS攻击方式】

一般来说，DDoS 攻击可以具体分成两种形式：带宽消耗型以及资源消耗型。它们都是透过大量合法或伪造的请求占用大量网络以及器材资源，以达到瘫痪网络以及系统的目的，往往在一瞬间DDoS带来的性能、带宽压力等于正常业务量的数万倍甚至数十万倍，面对这种情况，一般企业根本无力回天。

还有以下常见攻击方式：

1、通过使网络过载来干扰甚至阻断正常的网络通讯。

2、通过向服务器提交大量请求，使服务器超负荷。

3、阻断某一用户访问服务器。

4、阻断某服务与特定系统或个人的通讯。

【DDoS攻击流程】

第一阶段：搜集情报

被攻击目标主机数目、地址情况目标主机的配置、性能、目标的宽带。

对于DDoS攻击者来说，攻击互联网上的某个站点，有一个重点就是确定到底有多少台主机在支持这个站点，一个大的网站可能有很多台主机利用负载均衡技术提供同一个网站的www服务。

如果要进行DDoS攻击的话，应该攻击哪一个地址呢？使这台机器瘫痪，但其他的主机还是能向外提供www服务，所以想让别人访问不到网站的话，要所有这些IP地址的机器都瘫掉才行。在实际的应用中，一个IP地址往往还代表着数台机器：网站维护者使用了四层或七层交换机来做负载均衡，把对一个IP地址的访问以特定的算法分配到下属的每个主机上去。这时对于DDoS攻击者来说情况就更复杂了，他面对的任务可能是让几十台主机的服务都不正常。

但在实际过程中，有很多黑客并不进行情报的搜集而直接进行DDoS的攻击，这时候攻击的盲目性就很大了，效果如何也要靠运气。其实做黑客也象网管员一样，是不能偷懒的。一件事做得好与坏，态度最重要，水平还在其次。

第二阶段：占领

黑客最感兴趣的是有下列情况的主机：网络状态好的主机性能好的主机安全管理水平差的主机

这一部分实际上是使用了另一大类的攻击手段：利用形攻击。这是和DDoS并列的攻击方式。简单地说，就是占领和控制被攻击的主机。取得最高的管理权限，或者至少得到一个有权限完成DDoS攻击任务的帐号。对于一个DDoS攻击者来说，准备好一定数量的傀儡机是一个必要的条件，下面说一下他是如何攻击并占领它们。

首先，黑客做的工作一般是扫描，随机地或者是有针对性地利用扫描器去发现互联网上那些有漏洞的机器，像程序的溢出漏洞、cgi、Unicode、ftp、数据库漏洞…(简直举不胜举啊)，都是黑客希望看到的扫描结果。随后就是尝试入侵了，具体的手段就不在这里多说了，感兴趣的话网上有很多关于这些内容的文章。

总之黑客占领了一台傀儡机了！然后他做什么呢？除了上面说过留后门擦脚印这些基本工作之外，他会把DDoS攻击用的程序上载过去，一般是利用ftp。在攻击机上，会有一个DDoS的发包程序，黑客就是利用它来向受害目标发送恶意攻击包的。

第三阶段：实际攻击

经过前2个阶段的精心准备之后，黑客就开始瞄准目标准备发射了。前面的准备做得好的话，实际攻击过程反而是比较简单的。就象图示里的那样，黑客登录到做为控制台的傀儡机，向所有的攻击机发出命令："预备~ ，瞄准~，开火!"。这时候埋伏在攻击机中的DDoS攻击程序就会响应控制台的命令，一起向受害主机以高速度发送大量的数据包，导致它死机或是无法响应正常的请求。黑客一般会以远远超出受害方处理能力的速度进行攻击，他们不会"怜香惜玉"。

老道的攻击者一边攻击，还会用各种手段来监视攻击的效果，在需要的时候进行一些调整。简单些就是开个窗口不断地ping目标主机，在能接到回应的时候就再加大一些流量或是再命令更多的傀儡机来加入攻击。

【外汇经纪商如何防止被DDoS攻击？】

1.采用高性能的网络设备引

首先要保证网络设备不能成为瓶颈，因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了，当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDOS 攻击是非常有效的。

2.尽量避免 NAT 的使用

无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换 NAT 的使用，因为采用此技术会较大降低网络通信能力，其实原因很简单，因为 NA T 需要对地址来回转换，转换过程中需要对网络包的校验和进行计算，因此浪费了很多 CPU 的时间，但有些时候必须使用 NAT，那就没有好办法了。

3.充足的网络带宽保证

网络带宽直接决定了能抗受攻击的能力，假若仅仅有 10M 带宽的话，无论采取什么措施都很难对抗，至少要选择 100M 的共享带宽，最好的当然是挂在1000M 的主干上了。但需要注意的是，主机上的网卡是 1000M 的并不意味着它的网络带宽就是千兆的，若把它接在 100M 的交换机上，它的实际带宽不会超过 100M，再就是接在 100M的带宽上也不等于就有了百兆的带宽，因为网络服务商很可能会在交换机上限制实际带宽为10M，这点一定要搞清楚。

4.升级主机服务器硬件

在有网络带宽保证的前提下，请尽量提升硬件配置，要有效对抗每秒 10 万个 SYN 攻击包，服务器的配置至少应该为：P4 2.4G/DDR512M/SCSI-HD，起关键作用的主要是 CPU 和内存，若有志强双 CPU 的话就用它吧，内存一定要选择 DDR 的高速内存，硬盘要尽量选择SCSI 的，别只贪 IDE 价格不贵量还足的便宜，否则会付出高昂的性能代价，再就是网卡一定要选用 3COM 或 Intel 等名牌的，若是 Realtek 的还是用在自己的 PC 上吧。

5.把网站做成静态页面

大量事实证明，把网站尽可能做成静态页面，不仅能大大提高抗攻击能力，而且还给黑客入侵带来不少麻烦，至少到为止关于 HTML 的溢出还没出现，新浪、搜狐、网易等门户网站主要都是静态页面，若你非需要动态脚本调用，那就把它弄到另外一台单独主机去，免的遭受攻击时连累主服务器，当然，适当放一些不做数据库调用脚本还是可以的，此外，最好在需要调用数据库的脚本中拒绝使用代理的访问，因为经验表明使用代理访问你网站的80%属于恶意行为。

以下推广图片与文章及作者无关

更多IC Markets活动信息点击阅读原文

【活动预告】

国际金融产业链博览会 ——悉尼（2018年3月29号）

——上海（2018年5月29号—5月30日）

【市场】：外汇 | 外汇市场 | 外汇交易者和交易对手 | 外汇标价方法和报价方法 | 外汇交易风险 | 流动性 | 市场层级 | 交易市场和时间

【货币】：外汇市场主要交易货币 | 美元 | 欧元

【模式】： PB | PoP | MM | STP | ECN | DMA | MTF | IB

【监管】：套牌 | FCA | NFA | HKFSC | ASIC | CySEC

【交易】： CFD | 外汇保证金 | 账户类型 | 订单类型 | 滑点 | 点差 | 杠杆 | 高频 | 报价 | 离岸货币 | 避险货币

【科技】： MT4 | MT5 | 桥接 | VPS | FIX API

【访谈】：Christian Frahm | 程必逸 | 高明 | 金睿 | 张骏立 | Chris Rowe | Jamie Clinnick | Lennon Tam | Daire Ferguson | 周轩逸