攻擊揭秘
DDoS攻擊分為兩種:要么大數據,大流量來壓垮網路設備和伺服器,要么有意製造大量無法完成的不完全請求來快速耗盡伺服器資源。有效防止DDoS攻擊的關鍵困難是無法將攻擊包從合法包中區分出來:IDS進行的典型“簽名”模式匹配起不到有效的作用;許多攻擊使用源IP位址欺騙來逃脫源識別,很難搜尋特定的攻擊源頭。
有兩類最基本的DDoS攻擊:
● 頻寬攻擊:這種攻擊消耗網路頻寬或使用大量數據包淹沒一個或多個路由器、伺服器和防火牆;頻寬攻擊的普遍形式是大量表面看合法的TCP、UDP或ICMP數據包被傳送到特定目的地;為了使檢測更加困難,這種攻擊也常常使用源地址欺騙,並不停地變化。
● 套用攻擊:利用TCP和HTTP等協定定義的行為來不斷占用計算資源以阻止它們處理正常事務和請求。HTTP半開和HTTP錯誤就是套用攻擊的兩個典型例子。
危害
DDoS攻擊的一個致命趨勢是使用複雜的欺騙技術和基本協定,如HTTP,Email等協定,而不是採用可被阻斷的非基本協定或高連線埠協定,非常難識別和防禦,通常採用的包過濾或限制速率的措施只是通過停止服務來簡單停止攻擊任務,但同時合法用戶的請求也被拒絕,造成業務的中斷或服務質量的下降;DDoS事件的突發性,往往在很短的時間內,大量的DDoS攻擊數據就可使網路資源和服務資源消耗殆盡。
防禦方式
目前流行的黑洞技術和路由器過濾、限速等手段,不僅慢,消耗大,而且同時也阻斷有效業務。如IDS入侵監測可以提供一些檢測性能但不能緩解DDoS攻擊,防火牆提供的保護也受到其技術弱點的限制。其它策略,例如大量部署伺服器,冗餘設備,保證足夠的回響能力來提供攻擊防護,代價過於高昂。
1、 黑洞技術描述了一個服務提供商將指向某一目標企業的包儘量阻截在上游的過程,將改向的包引進“黑洞”並丟棄,以保全運營商的基礎網路和其它的客戶業務。但是合法數據包和惡意攻擊業務一起被丟棄,所以黑洞技術不能算是一種好的解決方案。被攻擊者失去了所有的業務服務,攻擊者因而獲得勝利。
2、 路由器許多人運用路由器的過濾功能提供對DDoS攻擊的防禦,但對於複雜的DDoS攻擊不能提供完善的防禦。 路由器只能通過過濾非基本的不需要的協定來停止一些簡單的DDoS攻擊,例如ping攻擊。這需要一個手動的反應措施,並且往往是在攻擊致使服務失敗之後。另外,DDoS攻擊使用網際網路必要的有效協定,很難有效的濾除。路由器也能防止無效的或私有的IP位址空間,但DDoS攻擊可以很容易的偽造成有效IP位址。 基於路由器的DDoS預防策略——在出口側使用uRPF來停止IP位址欺騙攻擊——這同樣不能有效防禦現在的DDoS攻擊,因為uRPF的基本原理是如果IP位址不屬於應該來自的子網網路阻斷出口業務。然而,DDoS攻擊能很容易偽造來自同一子網的IP位址,致使這種解決法案無效。 本質上,對於種類繁多的使用有效協定的欺騙攻擊,路由器ACLs是無效的。包括: ● SYN、SYN-ACK、FIN等洪流。 ● 服務代理。因為一個ACL不能辨別來自於同一源IP或代理的正當SYN和惡意SYN,所以會通過阻斷受害者所有來自於某一源IP或代理的用戶來嘗試停止這一集中欺騙攻擊。 ● DNS或BGP。當發起這類隨機欺騙DNS伺服器或BGP路由器攻擊時,ACLs——類似於SYN洪流——無法驗證哪些地址是合法的,哪些是欺騙的。 ACLs在防禦套用層(客戶端)攻擊時也是無效的,無論欺騙與否,ACLs理論上能阻斷客戶端攻擊——例如HTTP錯誤和HTTP半開連線攻擊,假如攻擊和單獨的非欺騙源能被精確的監測——將要求用戶對每一受害者配置數百甚至數千ACLs,這其實是無法實際實施的。防火牆首先防火牆的位置處於數據路徑下游遠端,不能為從提供商到企業邊緣路由器的訪問鏈路提供足夠的保護,從而將那些易受攻擊的組件留給了DDoS 攻擊。此外,因為防火牆總是串聯的而成為潛在性能瓶頸,因為可以通過消耗它們的會話處理能力來對它們自身進行DDoS攻擊。 其次是反常事件檢測缺乏的限制,防火牆首要任務是要控制私有網路的訪問。一種實現的方法是通過追蹤從內側向外側服務發起的會話,然後只接收“不乾淨”一側期望源頭髮來的特定回響。然而,這對於一些開放給公眾來接收請求的服務是不起作用的,比如Web、DNS和其它服務,因為黑客可以使用“被認可的”協定(如HTTP)。 第三種限制,雖然防火牆能檢測反常行為,但幾乎沒有反欺騙能力——其結構仍然是攻擊者達到其目的。當一個DDoS攻擊被檢測到,防火牆能停止與攻擊相聯繫的某一特定數據流,但它們無法逐個包檢測,將好的或合法業務從惡意業務中分出,使得它們在事實上對IP位址欺騙攻擊無效。 IDS入侵監測 IDS解決方案將不得不提供領先的行為或基於反常事務的算法來檢測現在的DDoS攻擊。但是一些基於反常事務的性能要求有專家進行手動的調整,而且經常誤報,並且不能識別特定的攻擊流。同時IDS本身也很容易成為DDoS攻擊的犧牲者。 作為DDoS防禦平台的IDS最大的缺點是它只能檢測到攻擊,但對於緩和攻擊的影響卻毫無作為。IDS解決方案也許能託付給路由器和防火牆的過濾器,但正如前面敘述的,這對於緩解DDoS攻擊效率很低,即便是用類似於靜態過濾串聯部署的IDS也做不到。 DDoS攻擊的手動回響 作為DDoS防禦一部份的手動處理太微小並且太緩慢。受害者對DDoS攻擊的典型第一反應是詢問最近的上游連線提供者——ISP、宿主提供商或骨幹網承載商——嘗試識別該訊息來源。對於地址欺騙的情況,嘗試識別訊息來源是一個長期和冗長的過程,需要許多提供商合作和追蹤的過程。即使來源可被識別,但阻斷它也意味同時阻斷所有業務——好的和壞的。
3、 其他策略為了忍受DDoS攻擊,可能考慮了這樣的策略,例如過量供應,就是購買超量頻寬或超量的網路設備來處理任何請求。這種方法成本效益比較低,尤其是因為它要求附加冗餘接口和設備。不考慮最初的作用,攻擊者僅僅通過增加攻擊容量就可擊敗額外的硬體,網際網路上上千萬台的機器是他們取之不淨的攻擊容量資源。 有效抵禦DDoS攻擊 從事於DDoS攻擊防禦需要一種全新的方法,不僅能檢測複雜性和欺騙性日益增加的攻擊,而且要有效抵禦攻擊的影響。
保護關鍵主題
完整的DDoS保護圍繞四個關鍵主題建立:
1. 要緩解攻擊,而不只是檢測
2. 從惡意業務中精確辨認出好的業務,維持業務繼續進行,而不只是檢測攻擊的存在
3. 內含性能和體系結構能對上游進行配置,保護所有易受損點
4. 維持可靠性和成本效益可升級性
防禦保護性質
通過完整的檢測和阻斷機制立即回響DDoS攻擊,即使在攻擊者的身份和輪廓不 斷變化的情況下。
與現有的靜態路由過濾器或IDS簽名相比,能提供更完整的驗證性能。
提供基於行為的反常事件識別來檢測含有惡意意圖的有效包。
識別和阻斷個別的欺騙包,保護合法商務交易。
提供能處理大量DDoS攻擊但不影響被保護資源的機制。
攻擊期間能按需求部署保護,不會引進故障點或增加串聯策略的瓶頸點。
內置智慧型只處理被感染的業務流,確保可靠性最大化和花銷比例最小化。
避免依賴網路設備或配置轉換。
所有通信使用標準協定,確保互操作性和可靠性最大化。
1.通過完整的檢測和阻斷機制立即回響DDoS攻擊,即使在攻擊者的身份和輪廓不 斷變化的情況下。
2.與現有的靜態路由過濾器或IDS簽名相比,能提供更完整的驗證性能。
3.提供基於行為的反常事件識別來檢測含有惡意意圖的有效包。
4.識別和阻斷個別的欺騙包,保護合法商務交易。
5.提供能處理大量DDoS攻擊但不影響被保護資源的機制。
6.攻擊期間能按需求部署保護,不會引進故障點或增加串聯策略的瓶頸點。
7.內置智慧型只處理被感染的業務流,確保可靠性最大化和花銷比例最小化。
8.避免依賴網路設備或配置轉換。
9.所有通信使用標準協定,確保互操作性和可靠性最大化。
保護技術體系
1. 時實檢測DDoS停止服務攻擊攻擊。
2. 轉移指向目標設備的數據業務到特定的DDoS攻擊防護設備進行處理。
3. 從好的數據包中分析和過濾出不好的數據包,阻止惡意業務影響性能,同時允許合法業務的處理。
4. 轉發正常業務來維持商務持續進行。