DDoS攻擊現(xiàn)狀與防御機(jī)制淺析

yi321yi 2016-10-01

展開全文

DDoS攻擊概述

實(shí)際上，DDoS攻擊完全可以被當(dāng)作“大規(guī)模網(wǎng)絡(luò)攻擊”的代名詞。而且在某些特殊的攻擊場景中，攻擊流量可以達(dá)到每秒鐘好幾百Gbits，但是這種情況相對來說比較罕見。在大多數(shù)情況下，攻擊者可以用每秒鐘1Gbit（或者更少）的流量來對企業(yè)或組織的網(wǎng)絡(luò)系統(tǒng)發(fā)動洪泛攻擊。而且這些攻擊的持續(xù)時間一般不會太長，大多數(shù)DDoS攻擊只會持續(xù)三十分鐘左右。攻擊者可以通過DDoS攻擊來拖垮目標(biāo)網(wǎng)絡(luò)系統(tǒng)，而且往往會使整個網(wǎng)絡(luò)系統(tǒng)中所有的服務(wù)器全部下線。不僅如此，我們通常很難追蹤到攻擊者，而且這種攻擊也沒有什么很明顯的前兆，這也就使得企業(yè)和組織很難去檢測和防御DDoS攻擊。

2015年5月份，安全咨詢機(jī)構(gòu)波耐蒙研究所（Ponemon Institute）發(fā)布了一份針對金融領(lǐng)域的網(wǎng)絡(luò)安全威脅分析報(bào)告。據(jù)統(tǒng)計(jì)，金融機(jī)構(gòu)檢測分布式拒絕服務(wù)攻擊平均需要花費(fèi)27天的時間，然后還需要花13天的時間去消除DDoS攻擊所帶來的影響。

但是，這些攻擊的成本通常也比較高。根據(jù)波耐蒙研究所的另一份調(diào)查報(bào)告，DDoS攻擊的平均成本約為一百五十萬美元左右，但是如果公司無法向客戶提供服務(wù)的話，公司的實(shí)際損失金額一般都會超過DDoS攻擊成本的三倍之多。目前，DDoS攻擊平均每小時的成本約為38美金。所以無論如何，我們都應(yīng)該考慮一下到底應(yīng)該如何防御DDoS攻擊了。

內(nèi)聯(lián)vs帶外

在最開始，行業(yè)內(nèi)在防御DDoS攻擊時普遍采用的是帶外DDoS保護(hù)。在這種防御機(jī)制下，網(wǎng)絡(luò)中的設(shè)備是獨(dú)立于路由器的。路由器負(fù)責(zé)傳輸來自互聯(lián)網(wǎng)的流量數(shù)據(jù)，然后發(fā)送元數(shù)據(jù)樣本，并向設(shè)備描述流量數(shù)據(jù)的內(nèi)容。如果系統(tǒng)檢測到了可疑的數(shù)據(jù)包或者探測到了DDoS攻擊的苗頭，那么便會立刻向用戶發(fā)出警報(bào)。

與之相反，帶內(nèi)DDoS保護(hù)機(jī)制需要直接面對所有的通信數(shù)據(jù)流，并且在對流量進(jìn)行分析和處理的過程中，判斷哪些數(shù)據(jù)包需要丟棄，然后將有效的數(shù)據(jù)包發(fā)送給終端設(shè)備或用戶。

內(nèi)聯(lián)系統(tǒng)可以查看到從某個網(wǎng)絡(luò)節(jié)點(diǎn)流向另外一個網(wǎng)絡(luò)節(jié)點(diǎn)的通信流量，并且可以實(shí)時過濾和處理這些網(wǎng)絡(luò)流量。相對而言，帶外設(shè)備幾乎無法獲取到通信流量的樣本，而且這些數(shù)據(jù)早就已經(jīng)到達(dá)目的地址了。

信息安全咨詢公司MWR Infosecurity的安全顧問Nick LeMesurier解釋稱：“雖然帶外流量分析可以允許安全人員在不影響通信數(shù)據(jù)流的情況下來對流量進(jìn)行更加復(fù)雜的分析，但是在檢測到攻擊和防御規(guī)則的實(shí)施之間會有一定的時間延遲。”因此，帶外解決方案通常對DDoS攻擊模式反應(yīng)較慢，而且這種防御機(jī)制本身并不會做任何實(shí)際的事情，而是會提醒其他的系統(tǒng)來采取相應(yīng)的防御措施。

Dave Larson是Corero網(wǎng)絡(luò)安全公司的首席運(yùn)營官兼首席技術(shù)官，他解釋稱：“部署一個內(nèi)聯(lián)的自動化DDoS攻擊緩解方案將允許安全技術(shù)團(tuán)隊(duì)搶在攻擊者的前面，總是領(lǐng)先一步于攻擊者?！?/section>

通常情況下，當(dāng)攻擊流量通過不斷轉(zhuǎn)發(fā)最終到達(dá)帶外DDoS攻擊緩解服務(wù)時，網(wǎng)站服務(wù)器都已經(jīng)下線超過三十分鐘了，而此時攻擊所造成的損失已經(jīng)無法挽回了?，F(xiàn)在隨著時間的推移和技術(shù)的發(fā)展，DDoS不僅變得越來越復(fù)雜了，而且攻擊所造成的直接經(jīng)濟(jì)損失也在不斷增加。為了應(yīng)對這一日益嚴(yán)峻的安全趨勢，我們就需要設(shè)計(jì)出一種高效的解決方案。當(dāng)攻擊發(fā)生時，能夠自動消除惡意流量給網(wǎng)絡(luò)系統(tǒng)所帶來的影響，并且能夠允許管理員實(shí)時觀測到網(wǎng)絡(luò)系統(tǒng)的運(yùn)行情況。

商業(yè)問題

信息安全咨詢公司ECS的首席技術(shù)官Nathan Dornbrook認(rèn)為：“重定向是帶外系統(tǒng)中的一個關(guān)鍵功能。網(wǎng)絡(luò)通信流量必須要從路由器重定向至DDoS攻擊防御設(shè)備上，這樣防御系統(tǒng)才可以對數(shù)據(jù)包進(jìn)行深層次地分析。如果你是一家大型公司，而且你有兩家互聯(lián)網(wǎng)服務(wù)提供商（ISP）來幫助你進(jìn)行網(wǎng)絡(luò)流量的均衡負(fù)載。這往往意味著，如果你想要實(shí)現(xiàn)這種”重定向“的話，就必須要求其中一家服務(wù)提供商向另外一家服務(wù)提供商提供訪問自家網(wǎng)絡(luò)核心設(shè)施的途徑，而這是業(yè)內(nèi)的一種大忌?！?/section>

Nathan Dornbrook警告稱：“如果你允許你的競爭對手去訪問你自家網(wǎng)絡(luò)基礎(chǔ)設(shè)施中的路由表，這將有可能影響自身網(wǎng)絡(luò)服務(wù)的穩(wěn)定性。除此之外，這也往往意味著大量的惡意流量將有可能全部進(jìn)入服務(wù)提供商的核心網(wǎng)絡(luò)設(shè)施中。這對于網(wǎng)絡(luò)服務(wù)提供商和客戶來說，都是一件無比頭疼的事情。”

處理復(fù)雜的攻擊

Dornbrook指出：“隨著技術(shù)的進(jìn)步，內(nèi)聯(lián)緩解方案已經(jīng)逐漸發(fā)展成為一種不錯的選擇了，而且在實(shí)現(xiàn)方式上我們也有多種選擇。有的人在進(jìn)行DDoS攻擊防御時，會使用到內(nèi)容分布網(wǎng)絡(luò)（CDN）和流量過濾功能，他們會對網(wǎng)絡(luò)通信流量進(jìn)行過濾，并且將最終的數(shù)據(jù)發(fā)送給你。這種服務(wù)雖然也有一定的作用，但是它們更適合網(wǎng)絡(luò)規(guī)模較小的客戶使用。”

在這篇關(guān)于如何防御DDoS攻擊的文章中，系統(tǒng)與網(wǎng)絡(luò)安全協(xié)會（SANS Institute）指出：“基于云的防護(hù)服務(wù)并不能有效地幫助公司抵御那些”低緩“的DDoS攻擊。因?yàn)樵谶@類攻擊中，傳入網(wǎng)絡(luò)的數(shù)據(jù)包會慢慢消耗掉服務(wù)器資源，并且讓合法數(shù)據(jù)無法得到及時的響應(yīng)和處理。在這種場景下，攻擊者根本無需對目標(biāo)網(wǎng)絡(luò)進(jìn)行洪泛攻擊。”

Dornbrook指出：“隨著技術(shù)的進(jìn)步，內(nèi)聯(lián)緩解方案已經(jīng)逐漸發(fā)展成為一種不錯的選擇了，而且在實(shí)現(xiàn)方式上我們也有多種選擇。有的人在進(jìn)行DDoS攻擊防御時，會使用到內(nèi)容分布網(wǎng)絡(luò)（CDN）和流量過濾功能，他們會對網(wǎng)絡(luò)通信流量進(jìn)行過濾，并且將最終的數(shù)據(jù)發(fā)送給你。這種服務(wù)雖然也有一定的作用，但是它們更適合網(wǎng)絡(luò)規(guī)模較小的客戶使用?！?/section>

在這篇關(guān)于如何防御DDoS攻擊的文章中，系統(tǒng)與網(wǎng)絡(luò)安全協(xié)會（SANS Institute）指出：“基于云的防護(hù)服務(wù)并不能有效地幫助公司抵御那些”低緩“的DDoS攻擊。因?yàn)樵谶@類攻擊中，傳入網(wǎng)絡(luò)的數(shù)據(jù)包會慢慢消耗掉服務(wù)器資源，并且讓合法數(shù)據(jù)無法得到及時的響應(yīng)和處理。在這種場景下，攻擊者根本無需對目標(biāo)網(wǎng)絡(luò)進(jìn)行洪泛攻擊?！?/section>

本站是提供個人知識管理的網(wǎng)絡(luò)存儲空間，所有內(nèi)容均由用戶發(fā)布，不代表本站觀點(diǎn)。請注意甄別內(nèi)容中的聯(lián)系方式、誘導(dǎo)購買等信息，謹(jǐn)防詐騙。如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請點(diǎn)擊一鍵舉報(bào)。

一区二区三区日韩精品-日韩经典一区二区三区-五月激情综合丁香婷婷-欧美精品中文字幕专区

DDoS攻擊現(xiàn)狀與防御機(jī)制淺析