虽然DDoS(分布式拒绝服务攻击)早已是黑客的重量级武器,但其性质和影响却是今非昔比了。它已经成为众多通过网络从事业务的公司的重要威胁,它变得更强大、更具有针对性,也更加复杂,会严重的影响企业的信誉。而且,一些业余黑客也能够发动该攻击,或者利用僵尸网络为其工作。
由于DDoS已经发生了明显的变化,传统的DDoS减轻策略,如提供充足带宽,防火墙,入侵防御系统等设备都无法充分保护企业网络、应用程序和服务。本文在充分总结世界知名企业挫败DDoS攻击和其它攻击的基础上,提出了可以帮助企业有效应对DDoS攻击,同时最小化其对企业运营影响的六大最佳方法。
DDoS的变化
为什么成千上万的公司花费大量的人力物力苦苦维护和恢复其网络服务,但每年仍有大量公司由于DDoS攻击而丧失大量的金钱?下面这些变化使得DDoS攻击更猖獗也更具有破坏性。
1、日益复杂的策略
臭名昭著的七月四日攻击是由一种定制的僵尸发起并配合SYN、PING、GET洪水等来实施的。这些攻击针对政府部门和私有企业。虽然这些攻击的重量级并不高(每秒平均39兆字节),但它使用了200000个僵尸,这就极大地增强了其攻击的影响和范围。除了这种直接的洪水攻击(此攻击将大量的欺骗性数据包直接发送给受害者),攻击者还在日益使用反射洪水攻击。在反射洪水攻击中,攻击者使用递归DNS服务器来向受害者发动攻击,并在攻击过程中不断地强化攻击从而使得追踪攻击源更加困难。
2、针对性的与随机的受害者
虽然过去的多数攻击都是随机的,但当今的攻击常常专门对付一家企业或其一个部门或更小的一个部分。更糟的是,攻击者往往会搞垮与其没有直接矛盾的网站,其目的仅仅是为了扩大对第三方目标的影响。例如,分析师们相信,2009年针对Facebook的DDoS攻击,其设计目的竟然是为了阻止该社交网站的某个用户。而Facebook只不过是其一个间接的受害者。
3、偷偷地利用应用程序的漏洞进行攻击
网络罪犯可以不必采用强力攻击来搞垮整个网络,而是执行微妙的应用程序级攻击来模仿合法的通信。这些攻击运行在一个应用程序或应用程序服务器活动的正常阈值范围之内,这就使得基于阈值的检测工具难以检测它。目前为止,受攻击的主要应用程序目标都是常用的软件和网络技术中的漏洞。然而,针对定制的应用程序的攻击也逞上升趋势。
4、初级工具
即使拥有很少技术或技能的人也可以发动DDoS攻击。在互联网上很容易就可以找到低成本的僵局网络租用广告,一个网站提供的僵局网络就可以发动10到100Gbps的攻击,而其每天的花费却不多。想成为攻击者的人也可以与其他人合作,使用“群体外包”策略。例如,针对Twitter的“绿色革命”攻击就采用了此策略。在这次攻击中,Twitter用户将链接粘贴到“攻击池”(例如,高容量的页面重载)中,由此可以招集反政府力量摧毁政府网站。虽然“群体外包”策略需要不断地激励很多人,并且难以维持,但这种攻击起码体现出:任何人都可以轻易地发动一次攻击。
5、每秒发送数以百万计的数据包
网络犯罪份子可以利用成千上万的“肉机”的处理能力和带宽,形成能够每秒发送数以百万计的数据包的僵局网络,这几乎可以击垮任何大型的网络。这种攻击的重量级要比十年前强大一百倍。
减轻DDoS攻击面临的挑战
虽然许多企业日益关注DDoS攻击,但很少有企业部署专门的DDoS保护机制。那些能够暂时解决DDoS攻击的企业往往依赖于不具备快速减轻攻击能力和灵活性的方法。
尽管下面这些措施得到广泛应用,但对多数企业而言,只靠这些措施来抵挡当今变化多端的大型DDoS攻击是远远不够的。
1、过度配置带宽
虽然提供过度的带宽是最常见的对抗DDoS的措施之一,但事实上,这样做既无成本效益也不高效可行。对于企业来说,提供高于其需要处理峰值负载的额外75%的带宽是很少见的,而且一旦攻击超过了所提供的带宽数量,过度配置带宽就无效了。此外,过度提供的带宽仅能解决网络级的攻击,而不能应对应用程序级或操作系统级的攻击。由于现代的攻击每秒钟能够携带一百万个数据包,即使配置再好的网络也会被击垮。
2、防火墙
虽然防火墙过去常用来对付DoS(拒绝服务攻击),且完全够用,但是僵尸网络等攻击手段降低了在网络边缘阻止攻击的有效性。使用防火墙来减轻DDoS攻击可能会导致CPU的利用达到峰值,并耗尽内存资源。此外,防火墙并没有异常检测能力。
3、入侵检测系统(IDS)
入侵检测设备一般位于防火墙之后,其设计目的是为了检测某种恶意的数据包。无论IDS还是IPS,其设计目的都不是为了应对海量的攻击。将其用于减轻DDoS攻击会对其入侵检测的本来功能产生影响。此外,在IDS检测到异常而发出警告时,攻击通信已经在消耗互联网带宽,严重影响网络功能,导致CPU的利用达到峰值,并耗尽内存资源。
4、入侵防御系统(IPS)
入侵防御系统有能力作为一种异常检测器而工作,不过,IPS可能需要花几星期时间才能理解正常的通信模式,然后,企业或其IPS厂商必须再花几天时间进行人工调整,指定应当准许哪些通信,应当阻止哪些通信或对哪些通信发出警告。所以,威胁签名的更新往往来得太晚,无法阻止DDoS攻击。此外,许多IPS设备依赖于特定厂商的威胁信息,所以这种设备并没有得到调整和更新,无法解决全部威胁,其中就包括DDoS攻击签名。最后,IPS设备受到TCP会话数量的限制,还受到它在特定时间能够处理的带宽数量的限制。在负载超过其负荷时,它就会“宕机”。
5、路由器
路由器无法阻止欺骗性IP源(这正是DDoS攻击包的最主要源头),也无法人工追踪成千上万的IP地址,这就使得ACL(访问控制列表)无法有效对付DDoS攻击。
6、依赖互联网服务供应商来减轻DDoS攻击
许多企业并不特别关注服务等级约定(SLA)、攻击报告、带宽能力、黑洞路由以及第三方DDoS减轻方案的其它细节,而是认为其ISP供应商会提供DDoS保护。这种依赖是很危险的。#p#
减轻DDoS攻击危害的六大最佳方法
成功减轻DDoS攻击的基础包括:知道监视什么、全天候地监视这些征兆、有技术和能力来确认和减轻DDoS攻击,同时又允许合法的通信到达目的地,并拥有实时的正确解决问题的技能和经验。下面讨论的最佳方法就反映了这些原则。
最佳方法一:实现数据收集集中化,并理解其趋势
1、集中化监视
运用集中化监视功能,实现在一个位置就可以监视整个网络及通信模式;将通信的监管限制由一个小团队负责,以保持监管的连续性。
2、理解正常网络的通信模式
为建立进入企业的正常通信的基准,企业应当定期收集来自交换机、路由器及其它设备的样本数据包和其它有关信息。需要知道进入了哪些类型的通信(例如, SMTP、HTTP和HTTPS等)、何时进入(是每个星期三,还是每个月的第一天等)、从何处进入、进入了多少等。建立一个包含超过一年的正常通信模式的监视地图,并将此信息整合到一个用于威胁检测、警告和报告的相关引擎中。
3、跟踪全世界的DDoS历史趋势和威胁情报
对全球的攻击模式进行持续的跟踪和分析,快速验证潜在的攻击和新出现的攻击,并将吸取的教训纳入到适当的事件响应中。使用现有的情报查找预定义的反常问题(即分析签名)。使内部的情报收集与第三方情报供应商的情报相互补充,参与到业界的安全团体和论坛中,其中的信息共享有助于揭示异常活动。
4、实施专门的DDoS警告、日志、报告系统
确保所发出的警告能够告知安全管理员DDoS攻击的迹象,其中包括未必是基于攻击数量的攻击。实施一种日志和相关系统,收集可用于预防未来攻击的详细攻击数据。实施一种明确的过程,用于收集并评估事务、通信的总体状况、应用程序、协议、事件的报告。记住,事务报告与通信报告一样重要。例如,如果所预计的事务数量发生锐减,这比通信量的增加能更有力地表明可疑活动的存在。
5、与经验丰富的安全研究人员协同工作
如果企业并不知道怎样处理数据,即使最好的监视、检测、警告、日志和报告设备也是无用的。安全研究人员应当亲身实践,能够区分可疑通信与合法通信,并随着形势的变化而改变应对策略。
最佳方法二:定义一个明确的不断升级的发展路线
系统化的程序和方法对于有效减轻DDoS攻击是必不可少的。下面给出四大步骤:
1、定义一套标准的事件响应操作程序
在制定操作程序时,要考虑内部的基础架构、服务、应用程序以及可能受到影响的客户和合伙人资源。如果有必要,制定个别的标准化操作程序,以解决特定类型的攻击或受到攻击的特定资源。定期审查标准作业程序,并进行定期的“演习”,确保标准操作程序保持最新,并能正确发挥功能。
2、组建事件响应团队
不要等到发生攻击事件的凌晨才开始决定应当联系哪些人。应当准备、发布、经常更新逐步升级的联系人清单,其中包括用于内部团队、相关客户、厂商、合伙人、上游供应商(如应用程序服务供应商(ASP))的信息。如果你依赖一个互联网供应商(ISP)来减轻DDoS攻击,除非贵公司是一家大型公司,否则,你的服务请求有可能与其它公司的请求一起在排队等候。
3、解决不同职能部门的范围问题
由于DDoS攻击的防护与业务的连续性息息相关,因而它是一个全局性的目标。要确认职能部门和职责重叠的具体领域。必须打破不同部门(如网络团队和信息安全团队)之间的壁垒,澄清事件响应的角色和职责,并强化责任。
4、为“宕机时间(因故障而造成的停机时间)”做好准备
要理解哪些系统对于企业是生死攸关的,并且为网络或服务的故障而制定和测试三个计划:短期、中期、长期的连续性计划。#p#
最佳方法三:使用分层过滤
减轻DDoS攻击的目标,是用最小的延迟排除恶意的非法通信,仅允许合法的通信进入网络。实现此目标最有效方法是,使用一种可以利用前文所述的所有方法的多层过滤验证过程。
1、分层过滤通信
使用签名分析、动态分析(根据对正常行为的监视和分析)、反欺骗算法等技术来主动过滤网络上游的有害通信。
2、在OSI堆栈的多层上都应用过滤器
虽然通过在网络层上实施过滤器就可以减少某些攻击,但是当代的攻击更复杂和深入,我们需要在包括应用层的多层上都进行分析和过滤。
3、必要时可限制通信速率
为防止“低容忍”的资源发生瘫痪,根据带宽的并发连接数量,可在必要时运用限制通信速率的能力。
4、能够快速改变和定制过滤器
在必要时,能够快速应用和清除标准过滤器(即签名),也可以根据网络遭受的攻击变化来生成定制的过滤器。
5、随着时间的推移而强化规则集
分析境内外的多种情报、监视、警告和报告日志,然后使用这些信息来不断地更新规则集。
最佳方法四:构建可扩展性和灵活性
为确保在遭受攻击的条件下,系统能够正常发挥功能,企业必须拥有一个高扩展性的、灵活性的基础架构。
1、按需定制的能力
这种能力包括带宽以及硬件处理能力,以及需要处理通信负载的可扩展性。充足的能力至关重要,但要想在一个企业内部维持充足的能力却非常困难,并且常常是不现实的。例如,提供过度的带宽来吸收海量攻击需要花费大量的金钱去购买额外的带宽,甚至有可能还需要购买服务器。此外,在当今的环境中,过度配置带宽也往往是不够的,因为DDoS攻击的规模正以惊人的速度增长,而企业网络到互联网连接的速率一般是1Gbps及其以下。
2、找到临界点
要了解你的基础在遭受攻击的情况下是如何动作的。确定通信的特征,并确认哪些组件在面临沉重负载时会首先垮掉。例如,知道在哪个时点上防火墙或Web服务器会发生故障,知道哪些数据包或查询在某系统上所造成的后果比其它系统更严重。要在镜像生产环境中测试各种情况,而不仅仅是预报,并在改变了基础架构的任何部分后重新进行测试。
3、对基础架构建立负载平衡
一旦确认了临界点,下一步就应当对基础架构建立负载平衡,其目标是优化正常负载和峰值负载情况下的通信流。
4、考虑监视工具的可扩展性
必须保证在高负载的情况下,监视工具仍能继续工作。在有些消耗带宽的DDoS攻击中,监视往往名存实亡,甚至还会报告错误数据。例如,有些监视工具只能报告相同的值,因为它无法报告更高级的东西。
5、增强硬件和软件的多样性
并不是要构建多么复杂的IT环境,而是为了防御某些DDoS攻击针对特定厂商硬件和软件,因而不妨从多个厂商购买硬件和软件工具。
6、利用分布式模式
如果可能,利用一种分布式模式来为高价值的应用和服务构建和维持冗余性。
