核心提示: 對于企業(yè)和組織而言,分布式拒絕服務(wù)攻擊(DDoS)不僅是非常痛苦的,而且還會給公司打來巨大的損失。那么我們應(yīng)該如何防御這種攻擊呢?在此之前,我們可以通過帶外系統(tǒng)或流量清洗中心來抵御DDoS攻擊。但是現(xiàn)在我們又多了一種防御方法,即內(nèi)聯(lián)緩解(inline mitigation),這也是一種可行的自動化解決方案。
對于企業(yè)和組織而言,分布式拒絕服務(wù)攻擊(DDoS)不僅是非常痛苦的,而且還會給公司打來巨大的損失。那么我們應(yīng)該如何防御這種攻擊呢?在此之前,我們可以通過帶外系統(tǒng)或流量清洗中心來抵御DDoS攻擊。但是現(xiàn)在我們又多了一種防御方法,即內(nèi)聯(lián)緩解(inline mitigation),這也是一種可行的自動化解決方案。
DDoS攻擊概述
實際上,DDoS攻擊完全可以被當(dāng)作“大規(guī)模網(wǎng)絡(luò)攻擊”的代名詞。而且在某些特殊的攻擊場景中,攻擊流量可以達(dá)到每秒鐘好幾百Gbits,但是這種情況相對來說比較罕見。在大多數(shù)情況下,攻擊者可以用每秒鐘1Gbit(或者更少)的流量來對企業(yè)或組織的網(wǎng)絡(luò)系統(tǒng)發(fā)動洪泛攻擊。而且這些攻擊的持續(xù)時間一般不會太長,大多數(shù)DDoS攻擊只會持續(xù)三十分鐘左右。攻擊者可以通過DDoS攻擊來拖垮目標(biāo)網(wǎng)絡(luò)系統(tǒng),而且往往會使整個網(wǎng)絡(luò)系統(tǒng)中所有的服務(wù)器全部下線。不僅如此,我們通常很難追蹤到攻擊者,而且這種攻擊也沒有什么很明顯的前兆,這也就使得企業(yè)和組織很難去檢測和防御DDoS攻擊。
2015年5月份,安全咨詢機(jī)構(gòu)波耐蒙研究所(Ponemon Institute)發(fā)布了一份針對金融領(lǐng)域的網(wǎng)絡(luò)安全威脅分析報告。據(jù)統(tǒng)計,金融機(jī)構(gòu)檢測分布式拒絕服務(wù)攻擊平均需要花費27天的時間,然后還需要花13天的時間去消除DDoS攻擊所帶來的影響。
但是,這些攻擊的成本通常也比較高。根據(jù)波耐蒙研究所的另一份調(diào)查報告,DDoS攻擊的平均成本約為一百五十萬美元左右,但是如果公司無法向客戶提供服務(wù)的話,公司的實際損失金額一般都會超過DDoS攻擊成本的三倍之多。目前,DDoS攻擊平均每小時的成本約為38美金。所以無論如何,我們都應(yīng)該考慮一下到底應(yīng)該如何防御DDoS攻擊了。
內(nèi)聯(lián)vs帶外
在最開始,行業(yè)內(nèi)在防御DDoS攻擊時普遍采用的是帶外DDoS保護(hù)。在這種防御機(jī)制下,網(wǎng)絡(luò)中的設(shè)備是獨立于路由器的。路由器負(fù)責(zé)傳輸來自互聯(lián)網(wǎng)的流量數(shù)據(jù),然后發(fā)送元數(shù)據(jù)樣本,并向設(shè)備描述流量數(shù)據(jù)的內(nèi)容。如果系統(tǒng)檢測到了可疑的數(shù)據(jù)包或者探測到了DDoS攻擊的苗頭,那么便會立刻向用戶發(fā)出警報。
與之相反,帶內(nèi)DDoS保護(hù)機(jī)制需要直接面對所有的通信數(shù)據(jù)流,并且在對流量進(jìn)行分析和處理的過程中,判斷哪些數(shù)據(jù)包需要丟棄,然后將有效的數(shù)據(jù)包發(fā)送給終端設(shè)備或用戶。
內(nèi)聯(lián)系統(tǒng)可以查看到從某個網(wǎng)絡(luò)節(jié)點流向另外一個網(wǎng)絡(luò)節(jié)點的通信流量,并且可以實時過濾和處理這些網(wǎng)絡(luò)流量。相對而言,帶外設(shè)備幾乎無法獲取到通信流量的樣本,而且這些數(shù)據(jù)早就已經(jīng)到達(dá)目的地址了。
信息安全咨詢公司MWR Infosecurity的安全顧問Nick LeMesurier解釋稱:“雖然帶外流量分析可以允許安全人員在不影響通信數(shù)據(jù)流的情況下來對流量進(jìn)行更加復(fù)雜的分析,但是在檢測到攻擊和防御規(guī)則的實施之間會有一定的時間延遲。”因此,帶外解決方案通常對DDoS攻擊模式反應(yīng)較慢,而且這種防御機(jī)制本身并不會做任何實際的事情,而是會提醒其他的系統(tǒng)來采取相應(yīng)的防御措施。
Dave Larson是Corero網(wǎng)絡(luò)安全公司的首席運營官兼首席技術(shù)官,他解釋稱:“部署一個內(nèi)聯(lián)的自動化DDoS攻擊緩解方案將允許安全技術(shù)團(tuán)隊搶在攻擊者的前面,總是領(lǐng)先一步于攻擊者。”
通常情況下,當(dāng)攻擊流量通過不斷轉(zhuǎn)發(fā)最終到達(dá)帶外DDoS攻擊緩解服務(wù)時,網(wǎng)站服務(wù)器都已經(jīng)下線超過三十分鐘了,而此時攻擊所造成的損失已經(jīng)無法挽回了,F(xiàn)在隨著時間的推移和技術(shù)的發(fā)展,DDoS不僅變得越來越復(fù)雜了,而且攻擊所造成的直接經(jīng)濟(jì)損失也在不斷增加。為了應(yīng)對這一日益嚴(yán)峻的安全趨勢,我們就需要設(shè)計出一種高效的解決方案。當(dāng)攻擊發(fā)生時,能夠自動消除惡意流量給網(wǎng)絡(luò)系統(tǒng)所帶來的影響,并且能夠允許管理員實時觀測到網(wǎng)絡(luò)系統(tǒng)的運行情況。
商業(yè)問題
信息安全咨詢公司ECS的首席技術(shù)官Nathan Dornbrook認(rèn)為:“重定向是帶外系統(tǒng)中的一個關(guān)鍵功能。網(wǎng)絡(luò)通信流量必須要從路由器重定向至DDoS攻擊防御設(shè)備上,這樣防御系統(tǒng)才可以對數(shù)據(jù)包進(jìn)行深層次地分析。如果你是一家大型公司,而且你有兩家互聯(lián)網(wǎng)服務(wù)提供商(ISP)來幫助你進(jìn)行網(wǎng)絡(luò)流量的均衡負(fù)載。這往往意味著,如果你想要實現(xiàn)這種”重定向“的話,就必須要求其中一家服務(wù)提供商向另外一家服務(wù)提供商提供訪問自家網(wǎng)絡(luò)核心設(shè)施的途徑,而這是業(yè)內(nèi)的一種大忌。”
Nathan Dornbrook警告稱:“如果你允許你的競爭對手去訪問你自家網(wǎng)絡(luò)基礎(chǔ)設(shè)施中的路由表,這將有可能影響自身網(wǎng)絡(luò)服務(wù)的穩(wěn)定性。除此之外,這也往往意味著大量的惡意流量將有可能全部進(jìn)入服務(wù)提供商的核心網(wǎng)絡(luò)設(shè)施中。這對于網(wǎng)絡(luò)服務(wù)提供商和客戶來說,都是一件無比頭疼的事情。”
處理復(fù)雜的攻擊
Dornbrook指出:“隨著技術(shù)的進(jìn)步,內(nèi)聯(lián)緩解方案已經(jīng)逐漸發(fā)展成為一種不錯的選擇了,而且在實現(xiàn)方式上我們也有多種選擇。有的人在進(jìn)行DDoS攻擊防御時,會使用到內(nèi)容分布網(wǎng)絡(luò)(CDN)和流量過濾功能,他們會對網(wǎng)絡(luò)通信流量進(jìn)行過濾,并且將最終的數(shù)據(jù)發(fā)送給你。這種服務(wù)雖然也有一定的作用,但是它們更適合網(wǎng)絡(luò)規(guī)模較小的客戶使用。”
在這篇關(guān)于如何防御DDoS攻擊的文章中,系統(tǒng)與網(wǎng)絡(luò)安全協(xié)會(SANS Institute)指出:“基于云的防護(hù)服務(wù)并不能有效地幫助公司抵御那些”低緩“的DDoS攻擊。因為在這類攻擊中,傳入網(wǎng)絡(luò)的數(shù)據(jù)包會慢慢消耗掉服務(wù)器資源,并且讓合法數(shù)據(jù)無法得到及時的響應(yīng)和處理。在這種場景下,攻擊者根本無需對目標(biāo)網(wǎng)絡(luò)進(jìn)行洪泛攻擊。”
在這類攻擊場景中,攻擊者往往使用的是類似RUDY和Slowloris這樣的黑客工具。這種工具可以通過創(chuàng)建出數(shù)量相對較低(速度也非常慢)的通信請求來慢慢拖垮目標(biāo)服務(wù)器。由于Web服務(wù)器對于并發(fā)的連接數(shù)通常都有一定的上限,如果這些惡意連接一直都在嘗試與服務(wù)器通信,那么Web服務(wù)器的所有可用鏈接都會被惡意鏈接所占用,從而無法接受新的請求,導(dǎo)致拒絕服務(wù)。這種攻擊往往都是在網(wǎng)絡(luò)棧的應(yīng)用層(OSI模型的第七層)發(fā)生的。
Nimbus DDoS公司是一家專門幫助客戶研究及模擬DDoS攻擊活動的咨詢企業(yè),該公司的首席執(zhí)行官Andy Shoemaker表示:“針對應(yīng)用層的攻擊往往是最棘手的,因為它們利用的是系統(tǒng)架構(gòu)中的設(shè)計缺陷。”
