在网络的发展史里有个名词相信大家都不陌生,那就是"分布式拒绝服务(DDoS--Distributed Denial of Service) 攻击"。随着IT及网络的发展演进至今,DDoS攻击形势愈加严峻,单次攻击流量超过100G的案例已经发生,全球僵尸主机规模已经超过3000万台……随处可以获得的攻击工具,庞大的僵尸网络群体,发动一次DDoS攻击不再需要任何黑客技术门槛,只需要3步(下载攻击工具、购买僵尸主机,发动攻击)即可完成一次攻击。
DDoS攻击主要目的是让指定目标无法提供正常服务,甚至从互联网上消失,是目前最强大、最难防御的攻击之一。实现DDoS 攻击的方式有多种,DNS类DDoS攻击即是其中较为常见的一种攻击方式。
据华为安全能力中心统计,针对Web服务攻击占攻击总量的67.71%,攻击方式主要集中在SYN Flood、HTTP Get Flood、CC 攻击、重传攻击等方面,Web服务仍是DDOS主要攻击目标。
针对DNS的攻击占攻击总量的11.74%,主要以cache miss为目的的DNS query flood攻击为主,互联网业务系统一般都采用大量服务器组成的集群,相比DNS系统更脆弱。城域网DNS缓存服务器和大客户的DNS授权服务器都成为重点的攻击目标。针对Mail攻击以SYN Flood为主,针对在线游戏攻击则是针对业务端口的UDP Flood攻击为主。
DDoS攻击次数比例图
DDoS攻击流量比例图
通过上面两张比例图,我们可以清楚的了解到防御DNS类DDoS攻击是多么重要。下面,本文将针对如何应对面向基础架构的DNS类DDoS 攻击进行深度剖析。
DNS类DDoS攻击
首先,我们先了解一下DNS(Domain Name System),众所周知它是域名系统的意思,其作用就是协调IP地址和主机名之间的双向切换。DNS是Internet的基础架构,众多的网络服务(如:Http、Ftp、Email等等)都是建立在DNS体系基础之上的。DNS系统中有授权服务器和缓存服务器两种类型。DNS服务器的本职就是要向全世界广播所有他们要解析的域名相关的记录。因为用户更喜欢使用普通的名称来访问网络,而不是一些数字,DNS服务器对用户在浏览器中输入的内容进行翻译,例如当用户在Web浏览器中输入www.51cto.com后,它会翻译成一个网络可以理解的真实的IP地址。
作为互联网最基础、最核心的服务,DNS自然也是DDoS攻击的重要目标之一。打垮DNS服务能够间接打垮一家公司的全部业务,或者打垮一个地区的网络服务。相信大家都记得,在2012年2月,黑客组织Anonymous也曾经宣布要对全球互联网的13台根DNS服务器发起大规模的DDoS攻击,不过最终没有得手。
针对DNS服务器的攻击有多种,如:DNS查询攻击;DNS reply flood攻击;DNS缓存投毒攻击;DNS协议漏洞攻击;Fast flux僵尸网络等。
根据DDoS攻击次数比例图与DDoS攻击流量比例图显示,我们可以看出DNS查询攻击占比很重,那么此处我们重点说一下虚假地址的DNS查询DDoS攻击。
伪造地址的DNS查询DDoS攻击
DNS服务器是一个保存域名和IP地址映射的数据库,DNS服务器的解析过程就是DNS在其数据库里进行查找匹配记录的过程。由于DNS在域名解析时,字符串匹配和数据库查找时开销较大,DNS查询DDoS攻击利用这一特点,通过伪造IP地址向目标DNS发送海量的DNS查询攻击包,由于DNS服务器每秒查询次数有限,使得它忙于处理海量的查询请求数据包而形成拒绝服务攻击。
我们可以试想一下,如果一个金融机构的业务系统遭遇了此类攻击,将会如何?很肯定的说企业业务的正常运营会受到严重影响。金融在线业务系统最重要的就是实时性和可靠性,一旦业务中断不仅造成巨大的金钱损失,企业的形象也必将受损,还会影响成千上万的客户,可能造成客户的流失等等严重后果。
如何应对基础架构的DNS类DDOS攻击
DNS是Internet的关键基础设施,是整个互联网能够正常运转的基础。因此,研究DNS如何抵御DDoS攻击具有十分重要的理论和现实意义。
那么面对基础架构的DNS类DDoS攻击,我们该如何应对呢?
根据DDoS攻击现状,华为专门开发了一整套防护系统,其功能涵盖了检测,清洗,管理,统计等多个方面。性能覆盖 2G-200G各个区段。华为Anti-DDoS 系统由检测设备,清洗设备,管理中心三部分组成。
华为智能防护引擎内部集成了 DDoS防护必备的7 层防护算法,逐层对攻击流量进行清洗过滤,实现对流量型攻击和应用层攻击的全面防护。
7层防护由畸形包过滤,特征过滤,虚假源认证,应用层认证,会话分析,行为分析,智能限速组成。
◆畸形报文过滤针对违反协议标准的报文进行检查和丢弃。
◆特征过滤则使用了华为强大的指纹学习和匹配算法,可以识别带有指纹的攻击流量,同时可以针对自定义报文特征,如 IP,端口等信息对报文进行过滤。
◆虚假源认证和应用层源认证则能够验证流量源 IP 的访问意图和真实性,能够有效的防护虚假源DNS query flood攻击。
◆会话分析和行为分析则能够针对DDoS攻击经常性的 spoof行为特点和多变的攻击规律进行统计分析,对隐藏较深的僵尸网络攻击拥有良好的防范效果,Fast flux僵尸网络将难逃法眼。
◆最后的智能限速则可以针对大流量正常行为进行限制和控制保证服务器的可用性。
精确全面 七层防护
提供众多防护算法的同时,华为清洗引擎可以有效降低对正常流量的误判和错判,避免了一些传统防护设备存在的影响客户业务,干扰正常访问等问题。
华为的AntiDDoS系统配置有专业的管理中心,可实现用户的业务流量自学习,根据学习结果提供防御策略,使得管理简单,防御精确;管理中心提供丰富的报表功能:如,流量报表、攻击报表,趋势分析报表等,使得客户对业务流量和安全事件一目了然。
据了解,华为Anti-DDoS8000系列产品能够帮助客户防御基于IPv4与IPv6协议上针对DNS服务器的攻击,如:虚假源DNS query flood攻击;真实源DNS query flood攻击;DNS reply flood攻击;DNS缓存投毒攻击;DNS协议漏洞攻击;DNS CacheMiss攻击;Fast flux僵尸网络等。同时,能够提供DNS Cache功能,缓解大流量DNS服务器压力。
除此以外,面对不断变化的DDoS攻击,华为Anti-DDoS系列产品能够针对DDoS攻击的各种手段,提出相应的防范算法,在抵御传输层攻击的同时,也能够针对各种应用层攻击进行识别和防范。并能够灵活的进行算法间的组合搭配,保证流量被准确清洗。
随着网络的发展,面向基础架构的DNS类DDoS攻击势必也会演进,因为攻击者总是在猜测着DDoS攻击防护体系的防范规律,同时也在不断的推出新的攻击软件和攻击手段。放眼未来,DDoS攻击防护任重而道远!
