【51CTO.com 独家特稿】近日,有媒体报道称,瑞典40余家媒体网站遭大规模DDoS攻击,其中一家名叫Adeprimo媒体网站的请求最高时达到40万次/秒。类似的DDoS攻击事件在最近时有发生,其实,DDoS攻击并非什么新鲜玩意。但不可否认的是,它向来都是一件令安全人士很头痛的事,因为到目前为止,进行DDoS攻击的防御还是相对比较困难的。
从其攻击原理上说,传统基于包过滤的防火墙只能分析每个数据包,及其连接状态来判断和阻止DDoS攻击,所以对于类似SYN-Flood洪水攻击有一定的防范效果。
但是,现在比较流行的DDoS攻击手段,越来越多的针对应用层协议漏洞。比如通过分析协议,然后伪造正常数据包发送,甚至干脆模拟正常的数据流,由于防火墙不能分析TCP、UDP,以及http等应用层的协议,所以无法对新型的DDoS攻击进行有效的防护。
很多DDoS攻击的目的是让网络应用负载过大,导致瘫痪。从攻击目标上看,只要网络中的应用服务器存在漏洞,很有可能成为黑客构建僵尸网络的傀儡机,如有利可图,还有可能成为DDoS的攻击目标。
既然传统的防火墙抵御不住常见的DDoS攻击,是否有其他技术和产品在抵御DDoS攻击方面有不错的表现呢?
Radware公司安全产品市场总监Meyran先生认为有办法对DDoS攻击进行有效防御。他认为,通过IPS+基于行为的检测技术就是众多方法中的一个。
据Meyran介绍,在IPS针对已知威胁行为进行监测的特征对比引擎基础上,增加针对未知威胁行为的实时特征引擎,就能够解决常见的DDoS攻击问题。他认为,通过异常探测及行为分析,基于行为且自动生成的实时动态特征码,可防范应用误用攻击、服务器蛮力攻击、应用和网络淹没攻击等非漏洞威胁,甚至零日攻击。
这在某种意义上说,IPS从简单针对攻击特征的签名检测转化为增加了基于漏洞特征的签名检测,以及不依靠签名的攻击检测能力,确保了IPS在线速运行的情况下,实现串联式布局方式的自动拦截和攻击处理。也避免了传统IPS由于不能及时更新特征码而带来的问题,从而大大提高了网络的抗攻击能力。
据Meyran介绍,Radware一直致力于解决这方面问题,并且在业界已经有了很好的证明。据51CTO.com记者了解,前不久,Radware公司推出了基于独有硬件平台的新版IPS——DefensePro 5.0。
Meyran表示,与市场上其他IPS的不同之处在于,DefensePro 5.0所包含的是基于IPS特征漏洞的自适应行为分析,能够有效支持针对新型攻击的实时、智能防护。这意味着企业在确保正常使用不被中断的前提下,就能够有效地拦截诸如DDoS这样的恶意流量、以及零日漏洞和攻击,很大程度上保障企业网络应用的业务连续性。
据记者了解,DefensePro 采用的是多层安全架构,分别检测和抵抗不同类型的攻击,确保只有“清洁”流量进入收保护的区域。下面是有关其主要技术特点的描述:
Dosshield实现已知攻击工具防范:
DefensePro的DoSShield模块借助高级的取样机制和基准流量行为监测来识别异常流量,提供了实时的、数千兆位速度 的DoS防范。
该机制会对照DefensePro 攻击数据库中的DoS攻击特征列表(潜在攻击)来比较流量样本。一旦达到了某个潜在攻击的激活阈值,该潜在攻击的状态就会变为Currently Active (当前活动),这样就会使用该潜在攻击的特征文件来比较各个数据包。如果发现匹配的特征,相应的数据包就会被丢弃。反之,则会将数据包转发给网络。
借助高级的取样机制检测DoS 攻击,DoSShield只在出现了严重带宽滥用的情况下,才会判断攻击的存在,它会外科手术般地采用逐包过滤除去攻击流量。而当攻击不再活跃时,DoS Shield也能检测到相应状态并停止逐包过滤的操。这样不仅可实现完全的DoS和DDos 防范能力,而且还保持了大型网络的高吞吐量。
Dosshield的主要优势:
监听和采样机制,只有在出现严重攻击时才采取防范措施,保证了大型网络的高性能和高吞吐量;
基于特征码的防范策略,对正常应用无影响,保持了极低的误判率。
DoS Shield作为第一道防范体系,负责在抵御已知Flood攻击的同时传输其他流量,而这些其他流量中还可能包含未知的新型攻击,它们将由第二道防范体系-Behavioral DoS 模块来实现防护。
Behavioral DoS基于网络行为模式实现自动攻击防范:
借助于先进的统计分析、模糊逻辑和新颖的闭环反馈过滤技术,Radware B-DoS 防范模块能够自动和提前防范网络Flood攻击和高速自我繁殖的病毒,避免危害的发生。
Radware的自适应Behavioral DoS防范模块自动学习网络上的行为模式,建立正常基准,并通过先进的模糊关系逻辑运算判断背离正常行为的异常流量。
通过概率分析,该模块使用一系列提取自数据包包头和负荷的参数,例如ID (packet identification number), TTL (Time to Live), Packet size, DNS 查询, Packet Checksum值等共17 个参数,来实时定义即时异常流量的特点。为了避免误判而阻止合法用户的正常流量,该模块还会采用“与”“或”逻辑运算来尽量精确攻击的防范策略。
所有上述流程都由DefensePro自动完成,无需人为干预,能够在数千兆位的网络环境中精确防范已知攻击、零日漏洞、Dos/DDos攻击和自我繁殖网络蠕虫。
Behavioral DoS 防护模块的攻击检索机制即不使用特征码,也不依赖于用户定义的行为策略和阀值。它还可以自动适应网络中的正常流量变化,因此它不会影响网络中的正常应用行为。
Behavioral DoS的主要优势:
零日漏洞 Dos/DDos的未知攻击防范,无需认为手工干涉;
对DoS攻击的完全防范,较低的CPU资源消耗;
自适应的行为判别模式,将误判率降至最低;
完全自适应功能,无需策略配置,无需维护成本。
综述:
不管怎么说,事实上,大规模DDoS攻击是黑客操纵的僵尸网络所发起的,而随着僵尸网络的迅速发展,逐渐成为攻击行为的基本渠道,成为网络安全的最大隐患之一。攻击者既可以利用僵尸网络发起DDoS 攻击、发送大量垃圾邮件和传播恶意代码等,又可以通过僵尸系统收集受感染主机中用户的敏感信息或进一步组建成更大的僵尸网络。
所以对于防御DDoS来说,并不是一人一己之力可以完成的,在51CTO记者看来,我们需要更广泛的合作,才能在抵御DDoS攻击的路上走得更远。
