写在前面的话
对于企业和组织而言,分布式拒绝服务攻击(DDoS)不仅是非常痛苦的,而且还会给公司打来巨大的损失。那么我们应该如何防御这种攻击呢?在此之前,我们可以通过带外系统或流量清洗中心来抵御DDoS攻击。但是现在我们又多了一种防御方法,即内联缓解(inline mitigation),这也是一种可行的自动化解决方案。
DDoS攻击概述
实际上,DDoS攻击完全可以被当作“大规模网络攻击”的代名词。而且在某些特殊的攻击场景中,攻击流量可以达到每秒钟好几百Gbits,但是这种情况相对来说比较罕见。在大多数情况下,攻击者可以用每秒钟1Gbit(或者更少)的流量来对企业或组织的网络系统发动洪泛攻击。而且这些攻击的持续时间一般不会太长,大多数DDoS攻击只会持续三十分钟左右。攻击者可以通过DDoS攻击来拖垮目标网络系统,而且往往会使整个网络系统中所有的服务器全部下线。不仅如此,我们通常很难追踪到攻击者,而且这种攻击也没有什么很明显的前兆,这也就使得企业和组织很难去检测和防御DDoS攻击。
2015年5月份,安全咨询机构波耐蒙研究所(Ponemon Institute)发布了一份针对金融领域的网络安全威胁分析报告。据统计,金融机构检测分布式拒绝服务攻击平均需要花费27天的时间,然后还需要花13天的时间去消除DDoS攻击所带来的影响。
但是,这些攻击的成本通常也比较高。根据波耐蒙研究所的另一份调查报告,DDoS攻击的平均成本约为一百五十万美元左右,但是如果公司无法向客户提供服务的话,公司的实际损失金额一般都会超过DDoS攻击成本的三倍之多。目前,DDoS攻击平均每小时的成本约为38美金。所以无论如何,我们都应该考虑一下到底应该如何防御DDoS攻击了。
内联vs带外
在最开始,行业内在防御DDoS攻击时普遍采用的是带外DDoS保护。在这种防御机制下,网络中的设备是独立于路由器的。路由器负责传输来自互联网的流量数据,然后发送元数据样本,并向设备描述流量数据的内容。如果系统检测到了可疑的数据包或者探测到了DDoS攻击的苗头,那么便会立刻向用户发出警报。
与之相反,带内DDoS保护机制需要直接面对所有的通信数据流,并且在对流量进行分析和处理的过程中,判断哪些数据包需要丢弃,然后将有效的数据包发送给终端设备或用户。
内联系统可以查看到从某个网络节点流向另外一个网络节点的通信流量,并且可以实时过滤和处理这些网络流量。相对而言,带外设备几乎无法获取到通信流量的样本,而且这些数据早就已经到达目的地址了。
信息安全咨询公司MWR Infosecurity的安全顾问Nick LeMesurier解释称:“虽然带外流量分析可以允许安全人员在不影响通信数据流的情况下来对流量进行更加复杂的分析,但是在检测到攻击和防御规则的实施之间会有一定的时间延迟。”因此,带外解决方案通常对DDoS攻击模式反应较慢,而且这种防御机制本身并不会做任何实际的事情,而是会提醒其他的系统来采取相应的防御措施。
Dave Larson是Corero网络安全公司的首席运营官兼首席技术官,他解释称:“部署一个内联的自动化DDoS攻击缓解方案将允许安全技术团队抢在攻击者的前面,总是领先一步于攻击者。”
通常情况下,当攻击流量通过不断转发最终到达带外DDoS攻击缓解服务时,网站服务器都已经下线超过三十分钟了,而此时攻击所造成的损失已经无法挽回了。现在随着时间的推移和技术的发展,DDoS不仅变得越来越复杂了,而且攻击所造成的直接经济损失也在不断增加。为了应对这一日益严峻的安全趋势,我们就需要设计出一种高效的解决方案。当攻击发生时,能够自动消除恶意流量给网络系统所带来的影响,并且能够允许管理员实时观测到网络系统的运行情况。
商业问题
信息安全咨询公司ECS的首席技术官Nathan Dornbrook认为:“重定向是带外系统中的一个关键功能。网络通信流量必须要从路由器重定向至DDoS攻击防御设备上,这样防御系统才可以对数据包进行深层次地分析。如果你是一家大型公司,而且你有两家互联网服务提供商(ISP)来帮助你进行网络流量的均衡负载。这往往意味着,如果你想要实现这种“重定向”的话,就必须要求其中一家服务提供商向另外一家服务提供商提供访问自家网络核心设施的途径,而这是业内的一种大忌。”
Nathan Dornbrook警告称:“如果你允许你的竞争对手去访问你自家网络基础设施中的路由表,这将有可能影响自身网络服务的稳定性。除此之外,这也往往意味着大量的恶意流量将有可能全部进入服务提供商的核心网络设施中。这对于网络服务提供商和客户来说,都是一件无比头疼的事情。”
处理复杂的攻击
Dornbrook指出:“随着技术的进步,内联缓解方案已经逐渐发展成为一种不错的选择了,而且在实现方式上我们也有多种选择。有的人在进行DDoS攻击防御时,会使用到内容分布网络(CDN)和流量过滤功能,他们会对网络通信流量进行过滤,并且将最终的数据发送给你。这种服务虽然也有一定的作用,但是它们更适合网络规模较小的客户使用。”
在这篇关于如何防御DDoS攻击的文章中,系统与网络安全协会(SANS Institute)指出:“基于云的防护服务并不能有效地帮助公司抵御那些“低缓”的DDoS攻击。因为在这类攻击中,传入网络的数据包会慢慢消耗掉服务器资源,并且让合法数据无法得到及时的响应和处理。在这种场景下,攻击者根本无需对目标网络进行洪泛攻击。”
在这类攻击场景中,攻击者往往使用的是类似RUDY和Slowloris这样的黑客工具。这种工具可以通过创建出数量相对较低(速度也非常慢)的通信请求来慢慢拖垮目标服务器。由于Web服务器对于并发的连接数通常都有一定的上限,如果这些恶意连接一直都在尝试与服务器通信,那么Web服务器的所有可用链接都会被恶意链接所占用,从而无法接受新的请求,导致拒绝服务。这种攻击往往都是在网络栈的应用层(OSI模型的第七层)发生的。
Nimbus DDoS公司是一家专门帮助客户研究及模拟DDoS攻击活动的咨询企业,该公司的首席执行官Andy Shoemaker表示:“针对应用层的攻击往往是最棘手的,因为它们利用的是系统架构中的设计缺陷。”
结束语
如果你正在设计一种内联的解决方案,那么你必须要针对网络系统的流量需求来规划整体方案的框架大小。服务器的性能是至关重要的,因为如果内联解决方案会限制服务器性能的话,那么这个方案可能就会成为网络流量的瓶颈了。因此,能否正确地管控网络系统中的数据流就显得十分重要了。
我希望大家的网络系统不要被这些眼中只有金钱利益的网络犯罪分子们拖垮。虽然有些人可能只是为了捣乱,但是DDoS所带来的损失却是无法挽回的。
