6月13日,時隔四年的世界杯戰(zhàn)幕再次拉開。然而就在前一天,多個有關(guān)世界杯的網(wǎng)站、包括世界杯官網(wǎng)遭到DDos攻擊,導(dǎo)致用戶無法正常訪問。事前,就有黑客組織威脅,將在世界杯賽事期間,對世界杯相關(guān)網(wǎng)站發(fā)動攻擊。這使網(wǎng)絡(luò)安全問題再次成為全球關(guān)注的焦點(diǎn),也給各大網(wǎng)站敲響了警鐘。
其實,DDos攻擊早已不是什么新鮮事,類似的攻擊幾乎每天都在上演。然而伴隨IT技術(shù)的不斷演變,DDos攻擊自身也在不斷變化。比如,攻擊復(fù)雜性日漸增加,從過去針對TCP協(xié)議本身發(fā)起攻擊逐漸轉(zhuǎn)向針對應(yīng)用發(fā)起攻擊。攻擊流量日益增大,從過去的千兆到如今的上百Gb。攻擊更具組織化,從過去黑客自行發(fā)起攻擊到如今組織人員發(fā)起攻擊,而這些直接導(dǎo)致DDos攻擊越來越難以防范。
DDos攻擊是一種怎樣的攻擊方式、有著怎樣的特性、會造成什么樣的危害、企業(yè)該如何預(yù)防、當(dāng)前有一些什么樣的技術(shù)可以預(yù)防?
問道DDos攻擊
根據(jù)維基百科對DDos攻擊的定義,DDoS攻擊即分散式阻斷服務(wù)攻擊(Distributed denial of service)。簡單而言,即利用網(wǎng)絡(luò)上已被攻陷的電腦作為“僵尸”,向某一特定的目標(biāo)電腦發(fā)動密集式的“拒絕服務(wù)”式攻擊,從而耗盡目標(biāo)電腦的網(wǎng)絡(luò)資源及系統(tǒng)資源,使之無法向正常請求的用戶提供服務(wù)。
按照TCP/IP協(xié)議的分層模型,目前主流DDos攻擊可分為四層DDos攻擊和七層DDos攻擊兩種。其中,四層DDos攻擊主要指在TCP傳輸層進(jìn)行的攻擊,其主要利用TCP協(xié)議本身的特點(diǎn)發(fā)起攻擊;而七層DDos攻擊則是直接針對應(yīng)用(主要是HTTP/HTTPS協(xié)議)發(fā)起攻擊。由于應(yīng)用本身相對復(fù)雜,因此七層DDos攻擊相對而言也更加復(fù)雜和多樣化。
從攻擊手段及攻擊方式來看,DDos攻擊主要包括三類:一是大流量型攻擊,主要憑借大量的僵尸網(wǎng)絡(luò)和應(yīng)用層DDoS來攻擊受害者,如大流量訪問需要消耗大量系統(tǒng)資源的url,從而導(dǎo)致Web應(yīng)用崩潰。二是匿名者組織人員進(jìn)行攻擊,其通過社交網(wǎng)絡(luò)組織大量人力并提供LOIC和JS LOIC工具,由于都是真實存在的人員而非僵尸主機(jī),所以這種攻擊更加難以防范。三是慢客戶端攻擊,其利用HTTP協(xié)議本身的缺陷,只需要很少的資源即可快速攻陷目標(biāo)站點(diǎn),典型的工具如Slowloris。
從對DDos攻擊概念的解釋中不難看出,DDoS攻擊最終目的是通過各種手段消耗被攻擊對象的網(wǎng)絡(luò)帶寬和系統(tǒng)資源,從而造成網(wǎng)絡(luò)擁塞、服務(wù)器死機(jī),影響受害主機(jī)與外界的正常通信。
因此,DDos造成的危害也顯而易見。華三公司相關(guān)負(fù)責(zé)人在接受采訪時表示,根據(jù)攻擊目標(biāo)性質(zhì)的不同,DDoS攻擊所造成的危害也不盡相同。例如,對于大型互聯(lián)網(wǎng)內(nèi)容提供商,尤其是電商、咨詢網(wǎng)站,如淘寶、百度等,一旦遭受攻擊,將影響大量用戶的使用,對企業(yè)聲譽(yù)、用戶使用都會造成巨大的影響。針對ISP/ICP/IDC等網(wǎng)絡(luò)基礎(chǔ)提供商的攻擊影響更大,一旦其基礎(chǔ)設(shè)施被攻陷,一個或若干區(qū)域的用戶將受到影響。而針對國家級重要門戶網(wǎng)站的攻擊,一般帶有政治因素,影響面將更廣。
應(yīng)對之策
毫無疑問,一旦遭受DDos攻擊,無論是國家、企業(yè)還是個人用戶,所面臨的損失都是巨大的。那我們究竟該如何應(yīng)對DDos攻擊、預(yù)防DDos攻擊能否做到萬無一失呢?答案顯然是否定的。在記者對包括華三、梭子魚、Fortinet(飛塔)、山石網(wǎng)科等在內(nèi)相關(guān)專家的采訪中,所有人都給出了一樣的答案,即防御DDoS攻擊,我們不可能做到萬無一失,但通過一些積極的措施可以防御大多數(shù)DDos攻擊,有效降低DDos攻擊所帶來的風(fēng)險。
而從目前各廠商所推出的防御DDos攻擊解決方案來看,其原理也都大同小異,其中異常流量檢測、異常流量清洗基本屬于必需組件,其他方面各有千秋。
比如,華三在2007年就推出了防御DoS和DDoS攻擊的產(chǎn)品,專門針對運(yùn)營商和行業(yè)客戶推出了流量清洗運(yùn)營解決方案。該產(chǎn)品由三部分組成,包括異常流量檢測設(shè)備(AFD)、異常流量清洗設(shè)備(AFC)和可運(yùn)營的清洗管理系統(tǒng)。
與華三單獨(dú)推出DDos防御解決方案不同,梭子魚則將該功能集成到了Web應(yīng)用防火墻中。不過,雖然稱為Web應(yīng)用防火墻,但其功能并非僅停留在防御七層的DDos攻擊上,梭子魚相關(guān)負(fù)責(zé)人在接受采訪時表示,梭子魚Web應(yīng)用防火墻同樣能夠滿足用戶對四層DDos攻擊的防御需求。
Fortinet最新推出的FortiDDoS B系列產(chǎn)品,在應(yīng)對DDoS攻擊方面同樣可圈可點(diǎn)。比如,在性能方面,F(xiàn)ortinet自行開發(fā)的FortiASIC-TPTM 芯片(流量處理器),單芯片可處理高達(dá)4Gbps的DDoS流量;在功能方面,其通過持續(xù)的流量自學(xué)習(xí)功能,可以為用戶網(wǎng)絡(luò)建立應(yīng)用流量模型,并針對每種流量制定相應(yīng)的閾值,對異常流量進(jìn)行攔截。
另外,F(xiàn)ortinet公司技術(shù)工程師韓曄還給出了一些建議。他說,DDoS攻擊通常都由僵尸網(wǎng)絡(luò)發(fā)起,如果能從源頭對僵尸網(wǎng)絡(luò)進(jìn)行攔截,將達(dá)到事半功倍的效果。而在這方面,F(xiàn)ortinet也有相應(yīng)的產(chǎn)品線FortiGate,其可通過IP信譽(yù)庫、已知僵尸網(wǎng)絡(luò)應(yīng)用程序檢查等方式,從源頭對僵尸網(wǎng)絡(luò)進(jìn)行阻截。
除此之外,山石網(wǎng)科則明確地提出了智能防御DDos攻擊的概念。他們認(rèn)為,從DDos的攻擊效果來看主要分為兩種,一種是阻塞出口帶寬,另一種則是消耗服務(wù)器資源。其中,阻塞出口帶寬只能通過運(yùn)營商或CDN廠商在遠(yuǎn)端引流清洗回注,消耗服務(wù)器資源則可以通過在本地部署高性能防火墻進(jìn)行防御。據(jù)悉,目前山石網(wǎng)科高性能防火墻除了能夠做到基于會話數(shù)和包速率限制防御各種洪水攻擊、基于特征識別防御各種畸形報文攻擊外,還能支持SYN Cookie智能防御SYN Flood、HTTP Cookie智能防御HTTP Flood(CC)等。
不要覺得DDos攻擊離你還很遠(yuǎn),就像A10 Networks副總裁兼大中華區(qū)總經(jīng)理蔡所說,“我們無法預(yù)知下一次DDos攻擊是在什么時間,黑客在發(fā)起下一波攻擊之前不會提前宣布,因此我們要時刻做好準(zhǔn)備。”
京公網(wǎng)安備 11010502049343號