來源:(http://blog.sina.com.cn/s/blog_634fb9090100fvx4.html) - 全面阻擊DDoS攻擊_DDOS網(wǎng)站攻擊業(yè)務(wù)_新浪博客
縱觀網(wǎng)絡(luò)安全攻擊的各種手段和方法,DoS(DenialofService)拒絕服務(wù)類攻擊危害巨大�,有報道說黑客每周發(fā)起的DoS類網(wǎng)絡(luò)攻擊達(dá)到4000次之巨,據(jù)此看來�����,網(wǎng)絡(luò)上將無時不刻的在承受DoS打擊�����。而DDoS(DistributedDenial of Service)分布式拒絕服務(wù)攻擊的出現(xiàn)無疑
縱觀網(wǎng)絡(luò)安全攻擊的各種手段和方法�����,DoS(DenialofService)拒絕服務(wù)類攻擊危害巨大,有報道說黑客每周發(fā)起的DoS類網(wǎng)絡(luò)攻擊達(dá)到4000次之巨�����,據(jù)此看來�����,網(wǎng)絡(luò)上將無時不刻的在承受DoS打擊����。而DDoS(DistributedDenial of Service)分布式拒絕服務(wù)攻擊的出現(xiàn)無疑是一場網(wǎng)絡(luò)的災(zāi)難,它是DoS攻擊的演變和升級����,是黑客手中慣用的攻擊方式之一��,破壞力極強�,往往會帶給網(wǎng)絡(luò)致命的打擊。就像網(wǎng)絡(luò)的洪水猛獸一般��,人們談起DDoS無不為之變色��。
我們在很多電影中都看過這樣的鏡頭���,一個在鬧市區(qū)被追捕的人往往會采用制造人群混亂的手段來阻礙追捕者����,從而得以逃脫。再回想2003年北京那場突如而來罕見的大雪所造成的嚴(yán)重后果���,整個城市的交通幾于癱瘓�����,很多人因此都陷入有家不能回的困境���。
這些例子在某些地方跟DoS類攻擊的性質(zhì)很相近,黑客也是利用相關(guān)的技術(shù)手段制造網(wǎng)絡(luò)阻塞�,使正常網(wǎng)絡(luò)交通停滯,被攻擊目標(biāo)的網(wǎng)絡(luò)活動無法開展����,從而達(dá)到攻擊的目的。在信息化飛速發(fā)展的今天�����,網(wǎng)絡(luò)已經(jīng)成為眾多企業(yè)業(yè)務(wù)運轉(zhuǎn)的重要組成�����,尤其是對于像電信這樣的服務(wù)提供商來說,拒絕服務(wù)攻擊會帶來的后果是災(zāi)難性的�����。
一直以來DDoS是人們非常頭疼的一個問題�,它是一種很難用傳統(tǒng)辦法去防護的攻擊手段,除了服務(wù)器外�����,帶寬也是它的攻擊目標(biāo)�����。在美國白宮和一些站點被攻擊的案例中都能看到它的身影�。和交通堵塞一樣����,DDoS已經(jīng)成為一種網(wǎng)絡(luò)公害。
傳統(tǒng)DDoS防護手段及其局限性
為了防止DDoS攻擊�,人們發(fā)展了一系列的方法,比較常用的有黑洞法���、設(shè)置路由訪問控制列表過濾和串聯(lián)防火墻安全設(shè)備等幾種�����,下面我們一道來看看這些方法的原理及其局限性����。
1.黑洞法
顧名思義,它將像黑洞一樣吸納所有的網(wǎng)絡(luò)流量�,以保證服務(wù)器的安全。具體做法是當(dāng)服務(wù)器遭受攻擊之后���,在網(wǎng)絡(luò)當(dāng)中設(shè)置一個訪問控制�,將所有的流量放到黑洞里面去扔掉�。這個做法能夠在攻擊流量過來的時候,將所有攻擊拒之門外�����,保證對整個骨干網(wǎng)不會造成什么影響����,但它同時也將正常流量擋在了門外,造成服務(wù)器無法向外部提供服務(wù),中斷了與用戶的聯(lián)系����。這種以犧牲應(yīng)用為代價的做法,有點壯士斷腕的意味���,從某種意義上說還是讓攻擊者達(dá)到了目的����。
2.設(shè)置路由訪問控制列表過濾
這種方法企業(yè)用戶自己不去部署�����,而是由電信等服務(wù)提供商對骨干網(wǎng)絡(luò)進行配置���,在路由器上進行部署?����,F(xiàn)在路由器上的部署就是兩種方式����,一種是ACL??作訪問控制列表�,還有一種方式是做數(shù)據(jù)限制。這兩種方式都可以歸結(jié)為ACL���,它的最大問題是如果攻擊來自于互聯(lián)網(wǎng)�����,將很難去制作面向源地址的訪問列表���,因為源地址出處帶有很大的隨意性,無法精確定位����,唯一能做的就是就面向目的地址的ACL,把面向這個服務(wù)器的訪問控制量列出來�,將所有請求連接的數(shù)據(jù)包統(tǒng)統(tǒng)扔掉。這種“寧可錯殺一千也不放過一個”的做法后果顯而易見�,用戶的服務(wù)將受到極大影響。另外一個缺陷就是在電信骨干上設(shè)置這樣的訪問控制列表將給訪問控制量管理帶來極大困難�。而且采用這種方法還帶有很大的局限性,它無法識別虛假和針對應(yīng)用層的攻擊�。
3. 串聯(lián)的防火墻安全設(shè)備
傳統(tǒng)對DDoS的防護中,還有一種是采用防火墻串聯(lián)的方法�,對于流量已達(dá)幾十個G的運營商骨干網(wǎng)絡(luò)來說,由于防火墻能力和技術(shù)水平所限�,幾個G的防火墻設(shè)備很容易就會超載導(dǎo)致網(wǎng)絡(luò)無法正常運行�,而且具有DDoS防護功能的防火墻吞吐量會更低�����,即使是防火墻中的“頂尖高手”也是有心無力�,無法擔(dān)此重任。另外采用這樣的方法無法保護上行的設(shè)備/缺乏擴展性�,還有就是無法有效的保護面向用戶的資源。
人們在與DDoS的抗?fàn)幹胁捎昧硕喾N方法和手段��,但是從以上分析不難看出目前的方法效率不高�,而且還存在著一些無法克服和解決的問題,顯然無法有效保障網(wǎng)絡(luò)和服務(wù)器免于DDoS的攻擊的傷害���,那么我們真的束手無策了嗎����?
思科智能化DDoS防護系統(tǒng)原理
從圖中我們可以看出���,防護器采用和并聯(lián)的方式接駁在骨干網(wǎng)絡(luò)當(dāng)中�,對整個網(wǎng)絡(luò)結(jié)構(gòu)沒有任何影響�。當(dāng)網(wǎng)絡(luò)中有不良流量對網(wǎng)絡(luò)進行攻擊時,網(wǎng)絡(luò)入侵檢測系統(tǒng)(IDS)會向防護器發(fā)出報警����,這樣DDoS防護器就能知道網(wǎng)絡(luò)中服務(wù)器被攻擊的情況,他的目的是什么��,是來自于什么樣的地址����。這時防護器立即啟動開始工作(此過程一般為智能化自動處理,人工操作設(shè)置也可)�����,通知路由器����,將面向這些地址的流量全部都發(fā)送到防護器,暫時接管了網(wǎng)絡(luò)中的這些數(shù)據(jù)量�����,對其進行分析和驗證���,所有非法惡意流量將在這里被截獲丟棄��,而正常的流量和數(shù)據(jù)將被繼續(xù)傳送到目的地���。如圖
說到防護器本身�,它采用了一種被稱為MVP(MULTIVERIFICATIONPROCESS)多次確認(rèn)流程的專利技術(shù)���,通過5層分析和過濾�,能極為有效地識別和阻攔DDoS攻擊��。讓我們通過一個偽裝DNS的攻擊防護的例子來圖示一下MVP是如何工作的���。如圖3所示:
在動態(tài)/靜態(tài)過濾層作為第一關(guān)將過濾掉非DNS協(xié)議���。
而在第二個防虛假層將過濾掉那些虛假的DNS源,在這里采用了一種回溯技術(shù)����,可以極為精確的確認(rèn)DNS源是否存在,基本原理就像是郵局退回?zé)o人收取的包裹一樣�����,如果在與訪問者的IP地址進行通信而無法取得聯(lián)系的話就可以判定地址的虛假性��。
如果一些非常隱蔽的攻擊信息通過了以上兩個關(guān)口���,那么在第三層強大的統(tǒng)計分析系統(tǒng)會使它徹底的現(xiàn)形���。一個不正常的DNS請求一秒大概會有兩三次�����,不會特別多、特別頻繁��,如果統(tǒng)計分析這類地址請求超過10次/秒���,或者20次/秒�,它就是異常請求���,會把它全部扔掉�����。
經(jīng)過以上過濾大部分的非法數(shù)據(jù)流量已被拋棄����,就算還有一些手法高明的黑客能夠經(jīng)過以上3層���,第四層的網(wǎng)絡(luò)第7層協(xié)議分析功能也將會毀滅他們最后的企圖�����。
第5層最后將數(shù)據(jù)流重整后平安發(fā)往目的地���。
防護器采用專門的硬件結(jié)構(gòu)來進行處理����,使用了專用芯片���,效率極高���。在測試中,當(dāng)網(wǎng)絡(luò)流量達(dá)到600兆左右的時候�����,它的CPU占用率才1%��,延時1毫秒左右��,完全能勝任大型骨干網(wǎng)絡(luò)的DDoS防護。
重點保護電信IDC和在線企業(yè)
思科DDoS智能防護系統(tǒng)適合于保護所有的網(wǎng)絡(luò)���,但根據(jù)業(yè)務(wù)的特點和重要性���,思科認(rèn)為,目前重點客戶應(yīng)該是電信運營商數(shù)據(jù)中心和在線企業(yè)兩類����。
電信運營商可以將思科DDoS智能防護系統(tǒng)部署在骨干網(wǎng)的邊緣,動態(tài)地為購買了該項服務(wù)的客戶提供保護����。防護器作為一個資源共享的設(shè)備�,它可以根據(jù)需要動態(tài)地對網(wǎng)絡(luò)中的上百臺服務(wù)器進行保護,誰被攻擊��,就去保護誰�����,這點對于電信企業(yè)非常重要�����。在資源共享的同時它還有一個比較靈活的選擇�,可以對制定的服務(wù)器進行保護�,對于非指定服務(wù)器則不實施保護����。以下電信運營商邊界部署模式示意圖:
在ISP邊界部署思科DDoS智能防護系統(tǒng)對重點客戶實施保護,既可以保護客戶的服務(wù)器���,也可以保護客戶的帶寬��。
思科DDoS智能防護系統(tǒng)同時也可以部署在企業(yè)內(nèi)部去防護����,不過這樣的模式只能保護服務(wù)器不宕機�����,不能解決帶寬被DDoS攻擊占滿的狀況�����。對于擁有大量在線業(yè)務(wù)的企業(yè)���,例如在線游戲�、網(wǎng)上銀行的公司,在運營商暫時還不能提供有效保護的情況下�����,企業(yè)自己保護服務(wù)器不要被DDoS破壞��,仍然不失為一種很好的選擇�����。
Riverhead公司的產(chǎn)品2002年一經(jīng)推出�,便得很快在國外得到電信運營商、門戶網(wǎng)站�、在線游戲公司、在線支付公司的親睞�����,AT&T�、Sprint��、Rackspace�����、Datapipe等ISP很快成為其客戶。美國某個中型的在線游戲公司此前曾收到“網(wǎng)絡(luò)恐怖分子”索要保護費以防被攻擊��,接下來果然被迫宕機了近兩天��,將帶寬從100MB擴展到1GB都無濟于事�,安裝了思科DDoS智能防護系統(tǒng)后問題迎刃而解。某金融機構(gòu)周四首次遭受攻擊時嘗試通過跟蹤和隔離攻擊“肉機”的控制端解決問題�,結(jié)果周五時攻擊再次襲來,業(yè)務(wù)被迫中斷��,CEO要求用一切代價解決問題�,周五、周六兩天�,思科提供解決方案,臨時新增一個采用了思科DDoS防護系統(tǒng)的ISP接收所有流量��,銀行恢復(fù)上線���,原有的ISP安裝思科智能防護系統(tǒng)��,才保住這個銀行客戶�����。正是因為Riverhead的市場潛力巨大�����,才使得思科公司用不到3個月時間就閃電式收購了Riverhead公司��。
當(dāng)前�,在中國也有越來越多的企業(yè)在網(wǎng)上開展關(guān)鍵業(yè)務(wù),相信無論是通過ISP邊界部署的模式�����,還是企業(yè)自己部署的模式�����,思科DDoS智能防護系統(tǒng)一定能夠?qū)@些企業(yè)提供牢不可破的DDoS保護���。
