攻擊手法翻新

      DDoS攻擊已經(jīng)存在發(fā)展了很多年，近來(lái)這類(lèi)攻擊方式發(fā)生了一些新的變化。

      傳統(tǒng)的DDoS攻擊是黑客通過(guò)大量僵尸主機(jī)針對(duì)目標(biāo)發(fā)送海量偽造數(shù)據(jù)，阻塞用戶(hù)網(wǎng)絡(luò)或應(yīng)用，這種大流量的、偽造數(shù)據(jù)包攻擊方式很容易被偵測(cè)，在運(yùn)營(yíng)商層面就會(huì)被輕易過(guò)濾掉。

      黑客為了達(dá)成拒絕服務(wù)的目的，將攻擊從傳統(tǒng)方式逐漸變成了針對(duì)用戶(hù)應(yīng)用系統(tǒng)的拒絕服務(wù)，例如利用僵尸網(wǎng)絡(luò)發(fā)起的針對(duì)Web應(yīng)用的HTTP洪水攻擊，通過(guò)短時(shí)間內(nèi)大量的HTTP請(qǐng)求，導(dǎo)致Web服務(wù)器的拒絕服務(wù)；或者針對(duì)用戶(hù)VoIP系統(tǒng)發(fā)起大量虛假請(qǐng)求，導(dǎo)致用戶(hù)系統(tǒng)無(wú)法及時(shí)響應(yīng)而宕機(jī)。由于此類(lèi)攻擊針對(duì)性很強(qiáng)，對(duì)用戶(hù)應(yīng)用系統(tǒng)的危害性甚至于要大于傳統(tǒng)的攻擊方式。

      這種新的攻擊方式的特點(diǎn)在于攻擊數(shù)據(jù)包量與傳統(tǒng)方式相比較要少了很多，而且黑客在構(gòu)造這些數(shù)據(jù)包的時(shí)候盡可能仿冒真實(shí)的數(shù)據(jù)請(qǐng)求包，使用戶(hù)自己都難以區(qū)分，因而很難被偵測(cè)到。

      目前來(lái)看，DDoS攻擊發(fā)生的頻率不斷提高，每次攻擊之間沒(méi)有什么必然的聯(lián)系，由于新型DDoS攻擊的興起，用戶(hù)很難判斷是否真正遭受到了DDoS攻擊；即使用戶(hù)了解到自己的應(yīng)用正在受到攻擊，也很難清楚區(qū)分DDoS攻擊數(shù)據(jù)流與正常數(shù)據(jù)流之間的差別。而且在防范DDoS攻擊的過(guò)程中如何不誤殺正常數(shù)據(jù)也是DDoS攻擊防范的難點(diǎn)之一。

      高性能無(wú)懼?jǐn)?shù)據(jù)洪流

      在防范DDoS攻擊時(shí)，辨別攻擊數(shù)據(jù)流很重要，但最關(guān)鍵的一點(diǎn)是：抗DDoS攻擊設(shè)備必須具備高性能。

      Hillstone公司產(chǎn)品經(jīng)理劉勁表示，防范DDoS攻擊的難點(diǎn)在于如何早期發(fā)現(xiàn)僵尸網(wǎng)絡(luò)，區(qū)分異常流量。攻擊的流量越來(lái)越隱蔽，很難早期識(shí)別，而當(dāng)發(fā)現(xiàn)的時(shí)候，服務(wù)已經(jīng)瀕臨崩潰。

      隨著DDoS攻擊仿真程度不斷提升，采用傳統(tǒng)的報(bào)文檢測(cè)和協(xié)議檢測(cè)的方式已經(jīng)不能有效區(qū)分DDoS攻擊和正常的訪(fǎng)問(wèn)請(qǐng)求，需要引入一部分內(nèi)容檢測(cè)的手段，才能加以判斷。而對(duì)現(xiàn)有的安全產(chǎn)品（包含專(zhuān)用的抗DDoS攻擊設(shè)備、防火墻、IPS、UTM）來(lái)說(shuō)，不論是X86架構(gòu)還是ASIC架構(gòu)，或者是NP架構(gòu)，在引入內(nèi)容檢測(cè)以后都會(huì)導(dǎo)致設(shè)備性能急劇下降。

      在DDoS檢測(cè)率和性能之間如何做選擇呢？目前業(yè)界有兩種解決方案：第一類(lèi)是采用旁路方式，將異常流量進(jìn)行牽引，通過(guò)檢測(cè)以后再將誤判的流量回注。這種方式避免了串行部署抗DDoS攻擊設(shè)備，在性能不足時(shí)降低網(wǎng)絡(luò)整體效率和可用性的風(fēng)險(xiǎn)，但性能和檢測(cè)率的沖突問(wèn)題并沒(méi)有很好的解決，需要進(jìn)一步通過(guò)多臺(tái)設(shè)備形成完整的解決方案才能解決。第二類(lèi)是通過(guò)采用新的硬件架構(gòu)使得產(chǎn)品的性能得到大幅度提升。有效解決內(nèi)容檢測(cè)和協(xié)議檢測(cè)帶來(lái)的性能與檢測(cè)率沖突的問(wèn)題。在業(yè)界，大部分廠(chǎng)商采用多核硬件架構(gòu)來(lái)達(dá)到要求。

      劉勁說(shuō)：“Hillstone的DDoS攻擊防范優(yōu)勢(shì)來(lái)自于穩(wěn)定的系統(tǒng)運(yùn)行和海量數(shù)據(jù)的處理能力。即便未能早期捕獲異常流量，DDoS攻擊也不會(huì)使網(wǎng)關(guān)因?yàn)樨?fù)載過(guò)荷而崩潰。高性能給予了設(shè)備更長(zhǎng)的判斷時(shí)間，以便作出最后的響應(yīng)，而不會(huì)誤判流量，造成正常業(yè)務(wù)的中斷。”

      Radware的設(shè)備采用了集成CPU、NP、ASIC、FPGA等多層次處理核心的交換機(jī)硬件構(gòu)架，能夠幫助用戶(hù)在不影響正常應(yīng)用轉(zhuǎn)發(fā)的前提下抗擊海量DDoS的攻擊。

      據(jù)王衛(wèi)東介紹，綠盟的抗DDoS攻擊設(shè)備提供了流量限制特性，用于應(yīng)對(duì)突發(fā)的流量異常變化，其采用了多個(gè)并行的專(zhuān)業(yè)高性能網(wǎng)絡(luò)處理器，可以工作在4G線(xiàn)速分析環(huán)境并處理DDoS攻擊。

      通過(guò)精心設(shè)計(jì)抗DDoS攻擊整體方案，整個(gè)系統(tǒng)一般能夠抵御十幾G至數(shù)十G的海量DDoS攻擊。

      除了高性能之外，抗DDoS攻擊設(shè)備還具有一些獨(dú)特的技術(shù)和智能學(xué)習(xí)能力。

      流量牽引技術(shù)是為了防御大規(guī)模DDoS攻擊和避免單點(diǎn)故障問(wèn)題而提出的。最初防御DDoS攻擊是依靠防火墻上的抗DDoS模塊來(lái)完成，后來(lái)人們意識(shí)到即使再優(yōu)秀的防火墻產(chǎn)品，上面的抗DDoS模塊的防御DDoS功能也都比較弱，由于防火墻自身構(gòu)造原理造成了抗DDoS的瓶頸，這是一個(gè)根本上的障礙。這樣人們才改變思路，開(kāi)始在網(wǎng)絡(luò)中部署專(zhuān)門(mén)的抗DDoS攻擊設(shè)備。DDoS設(shè)備是串聯(lián)在網(wǎng)絡(luò)中的，而在網(wǎng)絡(luò)中每增加一個(gè)節(jié)點(diǎn)就可能會(huì)增加一個(gè)潛在的故障點(diǎn)?？梢栽O(shè)想一下，一旦抗DDoS攻擊設(shè)備無(wú)力抵抗海量的DDoS攻擊，那么很可能會(huì)造成設(shè)備失效，這樣就導(dǎo)致了整個(gè)網(wǎng)絡(luò)的斷線(xiàn)。

      流量牽引技術(shù)的目的就是為了提高網(wǎng)絡(luò)抗DDoS攻擊的容錯(cuò)性，這好比我們祖先大禹治水時(shí)用的策略，一面堆堵，一面疏導(dǎo)。堵也罷，疏導(dǎo)也罷，手段雖然不同但目的始終是唯一的。流量牽引技術(shù)使用的都是我們已經(jīng)熟知的成熟技術(shù)，只是換了一種思考的方式，將我們祖先治水的哲學(xué)思想用在了抗DDoS攻擊中。

      例如，當(dāng)針對(duì)服務(wù)器的DDoS攻擊發(fā)生的時(shí)候，將攻擊流量牽引到抗DDoS攻擊設(shè)備上去，其他的流量繼續(xù)沿原路轉(zhuǎn)發(fā)，不受干擾。這樣我們首先實(shí)現(xiàn)了一個(gè)目的，那就是保證多數(shù)正常流量不受攻擊干擾。經(jīng)過(guò)流量牽引后到達(dá)抗DDoS設(shè)備上的流量經(jīng)過(guò)分流后必然有所減弱，流量越小抗DDoS攻擊設(shè)備分析和防御能力就會(huì)越強(qiáng)，這樣又實(shí)現(xiàn)了我們第二個(gè)目的，提高了抗DDoS設(shè)備的性能。當(dāng)針對(duì)服務(wù)器的攻擊流量到達(dá)抗DDoS設(shè)備的時(shí)候，我們面臨兩種可能，一種是能夠防御的住，一種是防御不祝如果防御的住，那當(dāng)然就不存在問(wèn)題了。如果防御不住呢？ 最多會(huì)造成一個(gè)地址不能被訪(fǎng)問(wèn)，將攻擊所能造成的危害降低到最小，不至于因?yàn)橐粋€(gè)點(diǎn)的攻擊而導(dǎo)致整個(gè)網(wǎng)絡(luò)不能通信，這個(gè)代價(jià)相比而言是最小的。

      據(jù)陳玉奇介紹，對(duì)DDoS攻擊的偵測(cè)不應(yīng)依賴(lài)于已有的數(shù)據(jù)特征，也不應(yīng)依賴(lài)于流量的大小變化。Radware具有專(zhuān)利的行為分析決策專(zhuān)家系統(tǒng)，對(duì)用戶(hù)流量行為、服務(wù)器行為實(shí)時(shí)學(xué)習(xí)，形成貼近于用戶(hù)正常網(wǎng)絡(luò)行為的數(shù)據(jù)模型，而后根據(jù)實(shí)時(shí)流量、服務(wù)器行為的變化來(lái)偵測(cè)DDoS攻擊，使任何小流量的DDoS攻擊都難逃偵測(cè)。

      對(duì)DDoS攻擊的阻斷必須是精確可表現(xiàn)的。DDoS的阻斷策略是在不影響用戶(hù)正常應(yīng)用的情況下，多次優(yōu)化后的最優(yōu)策略，而且這些實(shí)時(shí)生成的策略能夠直觀的展現(xiàn)在用戶(hù)的眼前，使用戶(hù)能夠了解DDoS攻擊的特點(diǎn)和方式。

      為了防止受到DDoS攻擊，用戶(hù)可以對(duì)內(nèi)部系統(tǒng)進(jìn)行一些優(yōu)化，提升其應(yīng)用系統(tǒng)在DDoS攻擊下的生存能力和生存時(shí)間。例如：
      * 加強(qiáng)路由器、防火墻上的訪(fǎng)問(wèn)控制列表，防止異常端口被利用；
      * 增加服務(wù)器負(fù)載均衡設(shè)備，提高應(yīng)用系統(tǒng)服務(wù)能力；
      * Web站點(diǎn)盡可能使用靜態(tài)頁(yè)面，提高對(duì)HTTP頁(yè)面訪(fǎng)問(wèn)的負(fù)載能力；
      * 加強(qiáng)對(duì)信息安全人員的培訓(xùn)，提高其對(duì)DDoS攻擊的判斷和分析能力；
      * 加強(qiáng)與運(yùn)營(yíng)商、安全廠(chǎng)商的合作，在DDoS攻擊發(fā)生的時(shí)候能夠得到他們的幫助。

      但是由于DDoS攻擊的突然性，用戶(hù)很難在攻擊發(fā)生之前對(duì)攻擊數(shù)據(jù)包進(jìn)行甄別和阻止，或者設(shè)置相應(yīng)的安全策略，因此從這個(gè)層面上來(lái)說(shuō)，用戶(hù)自身對(duì)DDoS攻擊基本沒(méi)有防范能力，還是需要采用專(zhuān)業(yè)的抗DDoS攻擊設(shè)備進(jìn)行防護(hù)。

      聯(lián)手對(duì)抗DDoS攻擊

      最近云安全被炒的火熱，那么云安全是否對(duì)防范DDoS攻擊有幫助呢？記者向有關(guān)人員詢(xún)問(wèn)之后卻發(fā)現(xiàn)，面對(duì)DDoS攻擊，云安全也有些無(wú)能為力。

      云安全的價(jià)值在于第一時(shí)間發(fā)現(xiàn)攻擊特征或惡意代碼特征，并進(jìn)行相關(guān)的操作，特征的不斷更新有利于發(fā)現(xiàn)那些傳播比較廣泛的DDoS攻擊工具，在一定程度上遏制DDoS的發(fā)生。但是從DDoS攻擊的特點(diǎn)來(lái)看，并不能夠完全依靠預(yù)定義特征的方式進(jìn)行DDoS攻擊分析和阻斷。DDoS的多樣性和突然性要求防范設(shè)備能夠?qū)崟r(shí)分析攻擊行為，自動(dòng)實(shí)時(shí)地生成攻擊特征，對(duì)攻擊進(jìn)行阻斷。

      要想更好地防范DDoS攻擊，需要有關(guān)廠(chǎng)商加強(qiáng)合作，協(xié)同收集攻擊特征，加深對(duì)DDoS攻擊行為分析的研究，結(jié)合多個(gè)方面共同遏制DDoS攻擊的發(fā)生，降低其對(duì)用戶(hù)的危害。

yajing