随着网络带宽的增加和多种DDoS黑客工具的发布,各种DDoS攻击软件都可以很轻松地从互联网上获得。于是,DDoS拒绝服务攻击的实施越来越容易,DDoS攻击事件的上升趋势给飞速发展的互联网带来了重大的安全威胁。商业竞争、打击报复、网络敲诈……多种原因导致很多IDC托管机房、商业站点、游戏服务器、聊天网络等网络服务商长期以来被DDoS攻击所困扰,随之而来的则是客户投诉、同虚拟主机用户受牵连、法律纠纷、商业损失等一系列问题。然而,从某种程度上看,DDoS攻击永远不会消失,而以当前的技术手段又无法从根本上解决问题,那么面对凶多吉少的DDoS险滩,我们该如何应对呢? 认识DDoS
(1)趋利色彩浓重 和其他黑客攻击一样,早些年的DDoS攻击是黑客出于练手、恶作剧或技术炫耀的目的来提高自己或黑客团体在圈内知名度的。而后,也有DDoS攻击是出于政治原因,如2001年中美撞机事件引发的中美黑客大战——在战争条件下,交战双方如果采取信息战的方式,拒绝服务攻击就是最常用的战术手段之一。如今,更多的DDoS攻击则是经济利益驱动,竞争对手为了降低对方的服务质量,雇佣黑客团体对对方的网上服务进行拒绝服务攻击,使顾客转向自己。此外,由于拒绝服务攻击会导致较大的损失,一些攻击者以此作为敲诈勒索的手段,收取保护费等。
总体上看,网络安全事件在保持整体数量显著上升的同时,也呈现出技术复杂化、动机趋利化、政治化的特点。
(2)Botnet成就大规模攻击 DDoS攻击一般通过Internet上那些“僵尸”系统完成。由于大量个人电脑联入Internet且防护措施非常少,所以极易被黑客利用。通过植入某些代码,大量个人电脑就成为DDoS攻击者的武器。当黑客发动大规模的DDoS时,只需要同时向这些僵尸机发送某些命令,就可以由这些“僵尸”机器完成攻击。
随着Botnet的发展,DDoS造成的攻击流量的规模可以非常惊人,会给应用系统或是网络本身带来非常大的负载消耗。常见的DDOS攻击手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等。 通常,网络数据包利用TCP/IP协议在Internet传输,这些数据包本身是无害的,但是如果数据包异常过多,就会造成网络设备或者服务器过载;或者数据包利用了某些协议的缺陷,人为的不完整或畸形,就会造成网络设备或服务器服务正常处理,迅速消耗了系统资源,造成服务拒绝,这就是DDoS攻击的工作原理。DDoS攻击之所以难于防护,其关键之处就在于非法流量和合法流量相互混杂,防护过程中无法有效的检测到DDoS攻击,比如利用基于特征库模式匹配的IDS系统,就很难从合法包中区分出非法包。
加之许多DDoS攻击都采用了伪造源地址IP的技术,从而成功的躲避了基于异常模式监控的工具的识别。
(3)明确的攻击目标 DDoS的攻击通过消耗服务器端资源、迫使服务停止响应,阻止合法用户对正常网络资源的访问,从而达成攻击者不可告人的目的。由于一些网络通讯协议本身固有的缺陷,拒绝服务攻击通常能够以较小的资源耗费代价导致目标主机很大的资源开销,因此往往可以通过一台或有限几台主机给被攻击方造成很大的破坏。特别是DDoS攻击通过控制多台傀儡主机策划进攻,更加强了攻击的破坏性,甚至可以造成一些包括防火墙、路由器在内的网络设备的瘫痪。分布式拒绝服务攻击一旦被实施,攻击网络包就会犹如洪水般涌向受害主机,从而把合法用户的网络包淹没,导致用户无妨正常的访问网络资源。
DDoS带来的危害是巨大的,很多门户网站遭DDoS的攻击后,网页无法显示,网站全面瘫痪,造成巨大的损失。对于提供带宽服务的电信运营商,大型的DDoS攻击不仅仅影响其个别客户,甚至对整个运营商的网络造成威胁,导致个别地区的网络链路全面拥塞,严重影响业务。
(4)主要侵害对象 任何需要通过网络提供服务的业务系统,不论是处于经济原因还是其他方面,都应该对DDoS攻击防护的投资进行考虑。对于企业或政府的网络系统,一般提供内部业务系统或网站的Internet出口,虽然不会涉及大量的Internet用户的访问,但是如果遭到DDoS攻击,仍然会带来巨大的损失。对于企业而言,DDoS攻击意味着业务系统不能正常对外提供服务,势必影响企业正常的生产;政府网络的出口如果遭到攻击,将会带来重大的政治影响,这些损失都是可以通过部署DDoS防护系统进行规避的。 电子商务网站经常是黑客实施DDoS攻击的对象,其在DDoS防护方面的投资非常有必要。
如果一个电子商务网站遭受了DDoS攻击,则在系统无法提供正常服务的时间内,由此引起的交易量下降、广告损失、品牌损失、网站恢复的代价等等,都应该作为其经济损失计算在内,甚至目前有些黑客还利用DDoS攻击对网站进行敲诈勒索,这些都给网站的正常运营带来极大的影响,而DDoS防护措施就可以在很大程度上减小这些损失;另一方面,这些防护措施又避免了遭受攻击的网站购买额外的带宽或是设备,节省了大量重复投资,为客户带来了更好的投资回报率。 对于运营商而言,保证其网络可用性是影响ROI的决定因素。如果运营商的基础网络遭受攻击,那么所有承载的业务都会瘫痪,这必然导致服务质量的下降甚至失效。同时,在目前竞争激烈的运营商市场,服务质量的下降意味着客户资源的流失,尤其是那些高ARPU值的大客户,会转投其他的运营商,这对于运营商而言是致命的打击。
所以,有效的DDoS防护措施对于保证网络服务质量有着重要意义。另一方面,对运营商或是IDC而言,DDoS防护不仅仅可以避免业务损失,还能够作为一种增值服务提供给最终用户,这给运营商带来了新的利益增长点,也增强了其行业竞争能力。 DDoS应对之道 虽然目前网络安全产品的种类非常多,但是对于DDoS攻击却一筹莫展。常见的防火墙、入侵检测、路由器等,由于涉及之初就没有考虑相应的DDoS防护,所以无法针对复杂的DDoS攻击进行有效的检测和防护, 所以依靠对现有的产品增加简单的功能或是系统调优等方法只能应付简单的DDoS攻击,对大规模DDoS攻击还是无法提供有效的防护。
(1)增强防御力 对用户而言,首先要增强防御力。使用更大的带宽及提升相关设备的性能是面对DDoS攻击最直接的处理方法。虽然这必定需要耗用一定的资源,但是对于那些将生存寄托于这些在线系统的企业来说,进行这种投入是具备足够理由的。除了对其目标的硬件能力进行增强之外,同样应该充分发挥系统自身的潜能。
通过对目标系统的针对性处理,可以有效地放大现有资源的能量。其中,最基本的任务是做好更新补丁的工作,及时使解决一些操作系统的通讯协议堆栈存在的问题。业务系统的健壮性也应该重视,在业务系统开发阶段就应该考虑到对应用型flood攻击的防御能力,如Web网站的架构设计不但要考虑到网站的性能,还要考虑到数据库服务器可承受的连接数,以避免数据库连接耗尽型攻击。
(2)产品选购要点 其次,要充分发挥安全产品的安全功能。发挥防火墙、UTM和IPS甚至路由器的安全功能,根据源目的IP和端口做的访问控制是必要的,防火墙、UTM和IPS上也都有一定的DDoS防御功能,应该尽可能充分的利用。联想网御异常流量管理系统产品经理王伟建议用户使用专业的防DDoS攻击产品。“尽管防火墙、UTM和IPS上也都有一定的DDoS防御功能,但只能解决一部分问题,一般只具有流量型flood防御功能,SYN flood的防御采用SYN代理或Cookie的机制,性能较低,其他抗攻击功能基于简单的统计丢包算法,不能有效区分攻击流量和正常流量。
特别是对于应用型flood攻击,一般都不能有效防护。专业的抗DDoS产品具有灵活的部署方式,一般既支持透明接入,也支持旁路模式,当旁路部署时,只有发生攻击时,才把被攻击目标的流量进行牵引,清洗后的流量再送回原有网络,这样就可以不改变用户原先的拓扑结构,而且避免了单点故障,一旦有不可预测的设备故障发生,因为旁路的特点,将不会对网络服务造成中断。而且可以采取针对目标的保护方式,只对目标相关的流量进行牵引和处理,对其他的流量完全没有影响。 在这里,Radware资深技术工程师张向东提示用户可以从三个方面考虑产品选购。
首先,用户要注意对攻击的防范。防护设备必须能够在无需人为干预的状态下实时阻止各种不同类型的攻击。需要操作人员检查日志之后来手工设定防范措施的产品,显然无法在网络上出现新型攻击时提供真正的实时防范能力。此外,业务连续性也很重要。
防护设备必须提供细致精确的检测和防范措施,在阻止攻击的同时不能影响合法流量。而这一点对于在遭受大量攻击的情况下来保证关键业务应用显得尤为重要。最后,简单的操作必不可少。复杂的配置和不停的维护更改可能会导致错误的配置,最终引起识别错误和误判。
为了保证持续稳定的高效防范,防护设备必须尽量避免特征或策略的更新和其他维护措施。
(3)产品部署之道 在产品部署方面,东软网络安全产品营销中心产品经理姚伟栋认为,用户可以从三个方面防范和抵御DDoS攻击:
(1)路由器访问控制:采用ACL(Access Control List)过滤能够灵活实现针对源目的IP地址、协议类型、端口号等各种形式的过滤,但同时也存在控制手段粗暴的缺陷,比如可能会为了过滤蠕虫病毒(SQL Slammer)而同时也阻挡了针对SQL Server的正常访问。这就需要有一种可以根据攻击数据包特征提供更细化过滤策略的技术。
(2)网关类安全设备过滤:通过防火墙等安全设备所内置的防DDoS功能,对过往流量进行全文查询和特征匹配,对于命中的DDoS流量进行实时过滤。这种技术的缺陷在于,一是检测手段较为机械,只能针对已知DDoS行为进行识别控制,二是处理性能较低,通常不超过1G bps。
(3)Flow检测和流量清洗技术:通过Flow技术,利用动态基线和固定阀值两种方式提供异常流量检测服务,其中动态基线和固定阀值分别描述了链路流量分布的“正常”和“异常”。
(4)联合防御策略 防范DDoS攻击不能仅依靠在单个节点部署产品,企业用户和为其提供Internet连接的电信运营商必须密切配合,采取联合防御的策略。作为企业用户需要重点考虑防御针对其关键服务的DDoS攻击,如SYN Flood、UDP DNS Query Flood,此外要特别注意对HTTP Get Flood,CC(Challenge Collapsar,一种专门规避黑洞DDoS防护器的服务层面DDoS方式)等应用层面DDoS攻击的防护,这些攻击仅需要利用自己极少的资源就能够造成对方较大的资源消耗,所以企业用户需要部署如IPS等设备来确保自己服务器,特别是Web和数据库服务器的资源不被这些DDoS攻击耗尽。防御上述攻击,需要采用专用硬件架构,比如基于NP ASIC CPU的混合架构,而不是基于Intel的开放架构,因为如果采用X86架构可以防御此类DDoS攻击,则理论上被攻击的服务器也采用了同样的架构,也应该能够防御此类DDoS攻击才对,而事实证明这种设计是失败的。 企业用户可以采取上述措施来保护自己数据中心的服务器免遭攻击,但是却无法有效地防御带宽耗尽型的海量DDOS攻击,如UDP Flood、(M)Stream Flood、ICMP Flood,以及某些Bonet发起的攻击,因为企业用户处于攻击的最下游,这也就是为什么需要企业和运营商采取联合防御策略的原因,理论上如果运营商的在其接入、或者汇聚以及网间互联层面部署了相应的DDoS系统,则到达企业用户数据中心的流量基本都是干净的,因为运营商在源头遏制了DDoS攻击。
运营商检测带宽耗尽型的DDoS主要依靠全网流量分析和监测系统来识别异常的流量,然后采用流量监测系统和路由交换、防火墙设备协同工作的方式将异常流量牵引至路由黑洞,使其无法到达攻击目标,运营商在全网部署此类系统需要较大的投入。