專業(yè)的抗DDoS攻擊產(chǎn)品的設(shè)計(jì)理念就是為了防范DDoS攻擊�,而其他設(shè)備設(shè)計(jì)的理念就完全不一樣。一般設(shè)備基本上都是利用預(yù)定義的靜態(tài)規(guī)則實(shí)現(xiàn)某些安全控制功能�,但是DDoS攻擊的多樣性和突然性很容易突破靜態(tài)規(guī)則的限制���,這些設(shè)備無法區(qū)分突發(fā)的正常應(yīng)用和攻擊流量�����;另一方面����,其他設(shè)備在設(shè)計(jì)的時(shí)候可能只考慮了現(xiàn)有正常應(yīng)用所需要的性能參數(shù)����,而DDoS攻擊一旦發(fā)生,可以非常輕易地突破正常應(yīng)用的性能限制���,極有可能造成這個(gè)設(shè)備本身的性能問題�。
攻擊手法翻新
DDoS攻擊已經(jīng)存在發(fā)展了很多年���,近來這類攻擊方式發(fā)生了一些新的變化�。
傳統(tǒng)的DDoS攻擊是黑客通過大量僵尸主機(jī)針對目標(biāo)發(fā)送海量偽造數(shù)據(jù)��,阻塞用戶網(wǎng)絡(luò)或應(yīng)用,這種大流量的�、偽造數(shù)據(jù)包攻擊方式很容易被偵測,在運(yùn)營商層面就會(huì)被輕易過濾掉����。
黑客為了達(dá)成拒絕服務(wù)的目的,將攻擊從傳統(tǒng)方式逐漸變成了針對用戶應(yīng)用系統(tǒng)的拒絕服務(wù)����,例如利用僵尸網(wǎng)絡(luò)發(fā)起的針對Web應(yīng)用的HTTP洪水攻擊,通過短時(shí)間內(nèi)大量的HTTP請求����,導(dǎo)致Web服務(wù)器的拒絕服務(wù);或者針對用戶VoIP系統(tǒng)發(fā)起大量虛假請求���,導(dǎo)致用戶系統(tǒng)無法及時(shí)響應(yīng)而宕機(jī)��。由于此類攻擊針對性很強(qiáng)��,對用戶應(yīng)用系統(tǒng)的危害性甚至于要大于傳統(tǒng)的攻擊方式��。
這種新的攻擊方式的特點(diǎn)在于攻擊數(shù)據(jù)包量與傳統(tǒng)方式相比較要少了很多�,而且黑客在構(gòu)造這些數(shù)據(jù)包的時(shí)候盡可能仿冒真實(shí)的數(shù)據(jù)請求包�,使用戶自己都難以區(qū)分���,因而很難被偵測到。
目前來看��,DDoS攻擊發(fā)生的頻率不斷提高����,每次攻擊之間沒有什么必然的聯(lián)系,由于新型DDoS攻擊的興起���,用戶很難判斷是否真正遭受到了DDoS攻擊�����;即使用戶了解到自己的應(yīng)用正在受到攻擊,也很難清楚區(qū)分DDoS攻擊數(shù)據(jù)流與正常數(shù)據(jù)流之間的差別����。而且在防范DDoS攻擊的過程中如何不誤殺正常數(shù)據(jù)也是DDoS攻擊防范的難點(diǎn)之一。
高性能無懼?jǐn)?shù)據(jù)洪流
在防范DDoS攻擊時(shí)����,辨別攻擊數(shù)據(jù)流很重要,但最關(guān)鍵的一點(diǎn)是:抗DDoS攻擊設(shè)備必須具備高性能��。
Hillstone公司產(chǎn)品經(jīng)理劉勁表示,防范DDoS攻擊的難點(diǎn)在于如何早期發(fā)現(xiàn)僵尸網(wǎng)絡(luò)����,區(qū)分異常流量。攻擊的流量越來越隱蔽���,很難早期識別�����,而當(dāng)發(fā)現(xiàn)的時(shí)候���,服務(wù)已經(jīng)瀕臨崩潰��。
隨著DDoS攻擊仿真程度不斷提升�,采用傳統(tǒng)的報(bào)文檢測和協(xié)議檢測的方式已經(jīng)不能有效區(qū)分DDoS攻擊和正常的訪問請求,需要引入一部分內(nèi)容檢測的手段�����,才能加以判斷����。而對現(xiàn)有的安全產(chǎn)品(包含專用的抗DDoS攻擊設(shè)備�、防火墻��、IPS���、UTM)來說�,不論是X86架構(gòu)還是ASIC架構(gòu)����,或者是NP架構(gòu),在引入內(nèi)容檢測以后都會(huì)導(dǎo)致設(shè)備性能急劇下降�。
在DDoS檢測率和性能之間如何做選擇呢?目前業(yè)界有兩種解決方案:第一類是采用旁路方式����,將異常流量進(jìn)行牽引����,通過檢測以后再將誤判的流量回注。這種方式避免了串行部署抗DDoS攻擊設(shè)備�,在性能不足時(shí)降低網(wǎng)絡(luò)整體效率和可用性的風(fēng)險(xiǎn),但性能和檢測率的沖突問題并沒有很好的解決����,需要進(jìn)一步通過多臺設(shè)備形成完整的解決方案才能解決����。第二類是通過采用新的硬件架構(gòu)使得產(chǎn)品的性能得到大幅度提升���。有效解決內(nèi)容檢測和協(xié)議檢測帶來的性能與檢測率沖突的問題�。在業(yè)界���,大部分廠商采用多核硬件架構(gòu)來達(dá)到要求���。
劉勁說:“Hillstone的DDoS攻擊防范優(yōu)勢來自于穩(wěn)定的系統(tǒng)運(yùn)行和海量數(shù)據(jù)的處理能力。即便未能早期捕獲異常流量���,DDoS攻擊也不會(huì)使網(wǎng)關(guān)因?yàn)樨?fù)載過荷而崩潰��。高性能給予了設(shè)備更長的判斷時(shí)間����,以便作出最后的響應(yīng)�,而不會(huì)誤判流量,造成正常業(yè)務(wù)的中斷�。”
Radware的設(shè)備采用了集成CPU、NP、ASIC���、FPGA等多層次處理核心的交換機(jī)硬件構(gòu)架����,能夠幫助用戶在不影響正常應(yīng)用轉(zhuǎn)發(fā)的前提下抗擊海量DDoS的攻擊�。
據(jù)王衛(wèi)東介紹,綠盟的抗DDoS攻擊設(shè)備提供了流量限制特性�����,用于應(yīng)對突發(fā)的流量異常變化�,其采用了多個(gè)并行的專業(yè)高性能網(wǎng)絡(luò)處理器,可以工作在4G線速分析環(huán)境并處理DDoS攻擊�����。
通過精心設(shè)計(jì)抗DDoS攻擊整體方案�,整個(gè)系統(tǒng)一般能夠抵御十幾G至數(shù)十G的海量DDoS攻擊。
除了高性能之外�,抗DDoS攻擊設(shè)備還具有一些獨(dú)特的技術(shù)和智能學(xué)習(xí)能力。
流量牽引技術(shù)是為了防御大規(guī)模DDoS攻擊和避免單點(diǎn)故障問題而提出的���。最初防御DDoS攻擊是依靠防火墻上的抗DDoS模塊來完成,后來人們意識到即使再優(yōu)秀的防火墻產(chǎn)品���,上面的抗DDoS模塊的防御DDoS功能也都比較弱�,由于防火墻自身構(gòu)造原理造成了抗DDoS的瓶頸,這是一個(gè)根本上的障礙��。這樣人們才改變思路���,開始在網(wǎng)絡(luò)中部署專門的抗DDoS攻擊設(shè)備���。DDoS設(shè)備是串聯(lián)在網(wǎng)絡(luò)中的,而在網(wǎng)絡(luò)中每增加一個(gè)節(jié)點(diǎn)就可能會(huì)增加一個(gè)潛在的故障點(diǎn)��?���?梢栽O(shè)想一下,一旦抗DDoS攻擊設(shè)備無力抵抗海量的DDoS攻擊��,那么很可能會(huì)造成設(shè)備失效����,這樣就導(dǎo)致了整個(gè)網(wǎng)絡(luò)的斷線。
流量牽引技術(shù)的目的就是為了提高網(wǎng)絡(luò)抗DDoS攻擊的容錯(cuò)性��,這好比我們祖先大禹治水時(shí)用的策略,一面堆堵�,一面疏導(dǎo)。堵也罷�,疏導(dǎo)也罷,手段雖然不同但目的始終是唯一的����。流量牽引技術(shù)使用的都是我們已經(jīng)熟知的成熟技術(shù),只是換了一種思考的方式���,將我們祖先治水的哲學(xué)思想用在了抗DDoS攻擊中�����。
例如�����,當(dāng)針對服務(wù)器的DDoS攻擊發(fā)生的時(shí)候��,將攻擊流量牽引到抗DDoS攻擊設(shè)備上去�����,其他的流量繼續(xù)沿原路轉(zhuǎn)發(fā)�����,不受干擾����。這樣我們首先實(shí)現(xiàn)了一個(gè)目的����,那就是保證多數(shù)正常流量不受攻擊干擾。經(jīng)過流量牽引后到達(dá)抗DDoS設(shè)備上的流量經(jīng)過分流后必然有所減弱���,流量越小抗DDoS攻擊設(shè)備分析和防御能力就會(huì)越強(qiáng)���,這樣又實(shí)現(xiàn)了我們第二個(gè)目的,提高了抗DDoS設(shè)備的性能�。當(dāng)針對服務(wù)器的攻擊流量到達(dá)抗DDoS設(shè)備的時(shí)候,我們面臨兩種可能���,一種是能夠防御的住����,一種是防御不祝如果防御的住�,那當(dāng)然就不存在問題了��。如果防御不住呢���? 最多會(huì)造成一個(gè)地址不能被訪問,將攻擊所能造成的危害降低到最小���,不至于因?yàn)橐粋€(gè)點(diǎn)的攻擊而導(dǎo)致整個(gè)網(wǎng)絡(luò)不能通信�,這個(gè)代價(jià)相比而言是最小的�。
據(jù)陳玉奇介紹,對DDoS攻擊的偵測不應(yīng)依賴于已有的數(shù)據(jù)特征����,也不應(yīng)依賴于流量的大小變化。Radware具有專利的行為分析決策專家系統(tǒng)����,對用戶流量行為、服務(wù)器行為實(shí)時(shí)學(xué)習(xí)��,形成貼近于用戶正常網(wǎng)絡(luò)行為的數(shù)據(jù)模型����,而后根據(jù)實(shí)時(shí)流量、服務(wù)器行為的變化來偵測DDoS攻擊����,使任何小流量的DDoS攻擊都難逃偵測����。
對DDoS攻擊的阻斷必須是精確可表現(xiàn)的�。DDoS的阻斷策略是在不影響用戶正常應(yīng)用的情況下��,多次優(yōu)化后的最優(yōu)策略��,而且這些實(shí)時(shí)生成的策略能夠直觀的展現(xiàn)在用戶的眼前���,使用戶能夠了解DDoS攻擊的特點(diǎn)和方式����。
為了防止受到DDoS攻擊����,用戶可以對內(nèi)部系統(tǒng)進(jìn)行一些優(yōu)化,提升其應(yīng)用系統(tǒng)在DDoS攻擊下的生存能力和生存時(shí)間����。例如:
* 加強(qiáng)路由器、防火墻上的訪問控制列表����,防止異常端口被利用��;
* 增加服務(wù)器負(fù)載均衡設(shè)備�,提高應(yīng)用系統(tǒng)服務(wù)能力��;
* Web站點(diǎn)盡可能使用靜態(tài)頁面��,提高對HTTP頁面訪問的負(fù)載能力���;
* 加強(qiáng)對信息安全人員的培訓(xùn)��,提高其對DDoS攻擊的判斷和分析能力���;
* 加強(qiáng)與運(yùn)營商、安全廠商的合作����,在DDoS攻擊發(fā)生的時(shí)候能夠得到他們的幫助。
但是由于DDoS攻擊的突然性��,用戶很難在攻擊發(fā)生之前對攻擊數(shù)據(jù)包進(jìn)行甄別和阻止�,或者設(shè)置相應(yīng)的安全策略,因此從這個(gè)層面上來說�����,用戶自身對DDoS攻擊基本沒有防范能力,還是需要采用專業(yè)的抗DDoS攻擊設(shè)備進(jìn)行防護(hù)���。
聯(lián)手對抗DDoS攻擊
最近云安全被炒的火熱���,那么云安全是否對防范DDoS攻擊有幫助呢?記者向有關(guān)人員詢問之后卻發(fā)現(xiàn)�����,面對DDoS攻擊�,云安全也有些無能為力��。
云安全的價(jià)值在于第一時(shí)間發(fā)現(xiàn)攻擊特征或惡意代碼特征�,并進(jìn)行相關(guān)的操作,特征的不斷更新有利于發(fā)現(xiàn)那些傳播比較廣泛的DDoS攻擊工具�����,在一定程度上遏制DDoS的發(fā)生���。但是從DDoS攻擊的特點(diǎn)來看��,并不能夠完全依靠預(yù)定義特征的方式進(jìn)行DDoS攻擊分析和阻斷����。DDoS的多樣性和突然性要求防范設(shè)備能夠?qū)崟r(shí)分析攻擊行為,自動(dòng)實(shí)時(shí)地生成攻擊特征���,對攻擊進(jìn)行阻斷�����。
要想更好地防范DDoS攻擊�����,需要有關(guān)廠商加強(qiáng)合作���,協(xié)同收集攻擊特征,加深對DDoS攻擊行為分析的研究�,結(jié)合多個(gè)方面共同遏制DDoS攻擊的發(fā)生,降低其對用戶的危害��。
