指紋共享與流量清洗
這種新的利用僵尸網絡的DDoS攻擊已經給服務供應商網絡帶來了非常嚴重的后果。由于互聯(lián)網的性質,DDoS攻擊永遠不可能被停止�。即使沒有僵尸和復雜的工具,任何人都可以用一些手段鼓勵網民同時訪問一個網站����,建立一個有效的洪水般的流量��,以擾亂該網站的穩(wěn)定�����。
如果異常流量是截然不同的,那么它可以被丟棄在網絡入口點��,盡量不妨礙正常流量�。例如,要在上游路由器過濾所有ICMP回應以中斷Flooding襲擊�。即使當攻擊發(fā)送隨機的數據包時,“不尋常”的網絡流量也可以放心丟棄,降低到安全帶寬����。李青山指出:企業(yè)若要尋求真正有效的解決方案,應當從兩方面著手:第一��、減少企業(yè)內部的網絡服務使用��,例如杜絕P2P下載�、禁止登錄未知網站等。第二��、選擇一套智能化的防護系統(tǒng)���,在不改變網絡原有架構的前提下��,實現(xiàn)動態(tài)防護����,從根本上解決DDoS的防護問題和其他隱蔽攻擊問題。
羅馬倫博士說�����,衡量DDoS攻擊主要方式�,可以通過ATLAS系統(tǒng),并結合Arbor Peakflow部署的客戶數據和Darknet傳感器��,觀察檢視惡意流量穿越骨干網的情報���。
另外�����,惡意流量清洗策略可以說是應付大規(guī)模DDoS攻擊最成功的策略�����,是采取多方位手段的組合��。如果來源的IP地址可確定�����,攻擊應該被阻斷在源頭上�����;或如果ISP無法聯(lián)系源頭���,路由策略可以用來減少攻擊通路(通過執(zhí)行單播反向路徑轉發(fā)的路由器)。根據攻擊類型��,防御技術如SYN Proxy同步代理一樣也可以工作�。此外,不同級別的流量可以在線速DPI過濾設備上整型限速到可接受的水平�。
羅馬倫博士介紹,面對每秒數萬兆的攻擊規(guī)模�����,沒有ISP可以與這一攻擊流量抗衡并維持正常的服務水平,因此必須深入與其他互聯(lián)網服務供應商合作���,以幫助過濾流量,這就是Arbor Networks發(fā)揮了重要保護作用的原因�。Arbor建立自動化流程,如指紋共享聯(lián)盟�,聯(lián)盟中的電信公司在全球范圍跨越公司和地域的邊界以阻止網絡攻擊。
據悉��,Arbor Networks增加了PeakflowSP指紋共享力度�����,使電信公司自動分享攻擊指紋而不透露任何競爭信息�。這樣,可以讓相關的服務供應商建立基準網絡檔案并發(fā)現(xiàn)任何偏離正?;€的流量,然后標示為異常,再決定是否異常是一個合理的流量爆發(fā)�,例如某個網上活動,或者是真正的惡意攻擊���。從而網絡運營商可以決定是否進行流量清洗或不干預���。
當它被認定為惡意攻擊時,Peakflow SP將為服務提供商自動生成指紋并將有選擇的和同行共享�。網絡管理員擁有絕對控制權,收到共享指紋的網絡伙伴也不必直連�����。指紋的接收者可以選擇接受或拒絕傳入的指紋。
檢測與安全的統(tǒng)一
如果說基線概念的出現(xiàn)代表著網絡性能分析階段與異常行為檢測階段的臨界點�����,那東軟NetEye異常流量分析與檢測系統(tǒng)(NTARS)所具備的多種響應能力則把行為檢測與安全防護兩大職能分類進行了有機統(tǒng)一�。
李青山解釋,為了將混雜在正常業(yè)務應用流量中�����、大量消耗網絡帶寬的類DDoS異常行為(如Worm�����、Spam)準確識別出來�����,NTARS專門增加了基于樣本描述的特征匹配檢測引擎����,為應用層內部的異常行為進行專項檢測��,把DDoS防護范圍從單純的傳輸層以下進一步擴大到OSI所有層面��。
筆者發(fā)現(xiàn),NetEye安全實驗室提供持續(xù)更新的特征規(guī)則庫��。該特征庫采用了東軟公司自主產權的NEL語言對業(yè)內已知有關網絡安全的異常行為進行了嚴格�����、精確的特征描述�,是NTARS進行應用層異常識別的技術基礎。
盡管NTARS采用了旁路的部署方式��,卻輕松實現(xiàn)了對DDoS等異常行為的主動干預�����,從而將其與單純的檢測報警類設備涇渭分明的區(qū)別開來�。
中國移動通信集團公司某技術人員說,對于源目的IP或者服務類型較為確定的DDoS流量�����,NTARS能夠通過BGP�、OSPF協(xié)議與指定路由設備進行通信或直接進行CLI靜態(tài)路由配置,設置Black hole黑洞路由����,從而使路由設備將異常流量直接拋棄�。相對于ACL訪問控制規(guī)則Deny操作而言�����,Black hole可實現(xiàn)更快的處理速度�,避免NTARS所加載的反響抑制措施對路由設備造成額外的處理負荷。
NTARS在對異常流量作為正確判斷后��,將通過BGP或CLI方式對可疑流量進行選擇性牽引����,誘導路由設備將可疑流量轉發(fā)至特定安全過濾設備,如防火墻���、IPS或防病毒安全網關��。
經過濾凈化后的流量將按照管理員預設策略重新進入原有路由路徑中,從而實現(xiàn)對高帶寬流量有選擇���、分層次的深度過濾分析作業(yè)�����,清除DDoS對業(yè)務的影響�����。
DDoS癥狀辨析
寬帶互聯(lián)網為DDoS提供了極為有利的物理條件��,以千兆為級別的電信骨干節(jié)點之間的連接�,使得攻擊可以從更遠的地方發(fā)起,攻擊者所操控僵尸機可以在分布在更大的范圍�����,選擇靈活性更高��,攻擊也更加隱蔽����。
當企業(yè)的主機服務器被DDOS攻擊時,通常會產生如下現(xiàn)象:
1.系統(tǒng)服務器CPU利用率極高����,處理速度緩慢,甚至宕機�;
2.高流量無用數據造成網絡擁塞,使受害主機無法正常和外界通訊����;
3.反復高速的發(fā)出特定的服務請求����,使受害主機無法及時處理所有正常請求����;
4.被攻擊主機上有大量等待的TCP連接;
5.被DDoS攻擊后��,服務器出現(xiàn)木馬�、溢出等異常現(xiàn)象����。
這些現(xiàn)象的出現(xiàn)導致企業(yè)的業(yè)務無法正常進行,用戶的訪問請求被阻斷�����,企業(yè)也因此蒙受巨大的經濟損失和名譽損失��。
