流量攻擊[最難防御的網(wǎng)絡(luò)攻擊之一]

好漢勃士 2022-11-27 發(fā)布于廣東

展開全文

流量攻擊

最難防御的網(wǎng)絡(luò)攻擊之一

由于DDoS攻擊往往采取合法的數(shù)據(jù)請(qǐng)求技術(shù)，再加上傀儡機(jī)器，造成DDoS攻擊成為目前最難防御的網(wǎng)絡(luò)攻擊之一。據(jù)美國(guó)最新的安全損失調(diào)查報(bào)告，DDoS攻擊所造成的經(jīng)濟(jì)損失已經(jīng)躍居第一。

傳統(tǒng)的網(wǎng)絡(luò)設(shè)備和周邊安全技術(shù)，例如防火墻和IDSs(Intrusion Detection Systems)，速率限制，接入限制等均無法提供非常有效的針對(duì)DDoS攻擊的保護(hù)，需要一個(gè)新的體系結(jié)構(gòu)和技術(shù)來抵御復(fù)雜的DDoS拒絕服務(wù)攻擊。 DDoS攻擊主要是利用了internet協(xié)議和internet基本優(yōu)點(diǎn)——無偏差地從任何的源頭傳送數(shù)據(jù)包到任意目的地。

基本信息

中文名	流量攻擊
外文名	traffic attack
別名	分布式拒絕服務(wù)攻擊
定義	造成DDoS攻擊成為目前最難防御的網(wǎng)絡(luò)攻擊之一
類型	壓垮網(wǎng)絡(luò)設(shè)備或耗盡服務(wù)器資源

攻擊揭秘

DDoS攻擊分為兩種：要么大數(shù)據(jù)，大流量來壓垮網(wǎng)絡(luò)設(shè)備和服務(wù)器，要么有意制造大量無法完成的不完全請(qǐng)求來快速耗盡服務(wù)器資源。有效防止DDoS攻擊的關(guān)鍵困難是無法將攻擊包從合法包中區(qū)分出來：IDS進(jìn)行的典型“簽名”模式匹配起不到有效的作用；許多攻擊使用源IP地址欺騙來逃脫源識(shí)別，很難搜尋特定的攻擊源頭。

有兩類最基本的DDoS攻擊：

帶寬攻擊：這種攻擊消耗網(wǎng)絡(luò)帶寬或使用大量數(shù)據(jù)包淹沒一個(gè)或多個(gè)路由器、服務(wù)器和防火墻；帶寬攻擊的普遍形式是大量表面看合法的TCP、UDP或ICMP數(shù)據(jù)包被傳送到特定目的地；為了使檢測(cè)更加困難，這種攻擊也常常使用源地址欺騙，并不停地變化。

應(yīng)用攻擊：利用TCP和HTTP等協(xié)議定義的行為來不斷占用計(jì)算資源以阻止它們處理正常事務(wù)和請(qǐng)求。HTTP半開和HTTP錯(cuò)誤就是應(yīng)用攻擊的兩個(gè)典型例子。

危害

DDoS攻擊的一個(gè)致命趨勢(shì)是使用復(fù)雜的欺騙技術(shù)和基本協(xié)議，如HTTP，Email等協(xié)議，而不是采用可被阻斷的非基本協(xié)議或高端口協(xié)議，非常難識(shí)別和防御，通常采用的包過濾或限制速率的措施只是通過停止服務(wù)來簡(jiǎn)單停止攻擊任務(wù)，但同時(shí)合法用戶的請(qǐng)求也被拒絕，造成業(yè)務(wù)的中斷或服務(wù)質(zhì)量的下降；DDoS事件的突發(fā)性，往往在很短的時(shí)間內(nèi)，大量的DDoS攻擊數(shù)據(jù)就可使網(wǎng)絡(luò)資源和服務(wù)資源消耗殆盡。

防御方式

目前流行的黑洞技術(shù)和路由器過濾、限速等手段，不僅慢，消耗大，而且同時(shí)也阻斷有效業(yè)務(wù)。如IDS入侵監(jiān)測(cè)可以提供一些檢測(cè)性能但不能緩解DDoS攻擊，防火墻提供的保護(hù)也受到其技術(shù)弱點(diǎn)的限制。其它策略，例如大量部署服務(wù)器，冗余設(shè)備，保證足夠的響應(yīng)能力來提供攻擊防護(hù)，代價(jià)過于高昂。

1、黑洞技術(shù)描述了一個(gè)服務(wù)提供商將指向某一目標(biāo)企業(yè)的包盡量阻截在上游的過程，將改向的包引進(jìn)“黑洞”并丟棄，以保全運(yùn)營(yíng)商的基礎(chǔ)網(wǎng)絡(luò)和其它的客戶業(yè)務(wù)。但是合法數(shù)據(jù)包和惡意攻擊業(yè)務(wù)一起被丟棄，所以黑洞技術(shù)不能算是一種好的解決方案。被攻擊者失去了所有的業(yè)務(wù)服務(wù)，攻擊者因而獲得勝利。

2、路由器許多人運(yùn)用路由器的過濾功能提供對(duì)DDoS攻擊的防御，但對(duì)于復(fù)雜的DDoS攻擊不能提供完善的防御。路由器只能通過過濾非基本的不需要的協(xié)議來停止一些簡(jiǎn)單的DDoS攻擊，例如ping攻擊。這需要一個(gè)手動(dòng)的反應(yīng)措施，并且往往是在攻擊致使服務(wù)失敗之后。另外，DDoS攻擊使用互聯(lián)網(wǎng)必要的有效協(xié)議，很難有效的濾除。路由器也能防止無效的或私有的IP地址空間，但DDoS攻擊可以很容易的偽造成有效IP地址?；诼酚善鞯腄DoS預(yù)防策略——在出口側(cè)使用uRPF來停止IP地址欺騙攻擊——這同樣不能有效防御現(xiàn)在的DDoS攻擊，因?yàn)閡RPF的基本原理是如果IP地址不屬于應(yīng)該來自的子網(wǎng)網(wǎng)絡(luò)阻斷出口業(yè)務(wù)。然而，DDoS攻擊能很容易偽造來自同一子網(wǎng)的IP地址，致使這種解決法案無效。本質(zhì)上，對(duì)于種類繁多的使用有效協(xié)議的欺騙攻擊，路由器ACLs是無效的。包括：SYN、SYN-ACK、FIN等洪流。服務(wù)代理。因?yàn)橐粋€(gè)ACL不能辨別來自于同一源IP或代理的正當(dāng)SYN和惡意SYN，所以會(huì)通過阻斷受害者所有來自于某一源IP或代理的用戶來嘗試停止這一集中欺騙攻擊。DNS或BGP。當(dāng)發(fā)起這類隨機(jī)欺騙DNS服務(wù)器或BGP路由器攻擊時(shí)，ACLs——類似于SYN洪流——無法驗(yàn)證哪些地址是合法的，哪些是欺騙的。 ACLs在防御應(yīng)用層（客戶端）攻擊時(shí)也是無效的，無論欺騙與否，ACLs理論上能阻斷客戶端攻擊——例如HTTP錯(cuò)誤和HTTP半開連接攻擊，假如攻擊和單獨(dú)的非欺騙源能被精確的監(jiān)測(cè)——將要求用戶對(duì)每一受害者配置數(shù)百甚至數(shù)千ACLs，這其實(shí)是無法實(shí)際實(shí)施的。防火墻首先防火墻的位置處于數(shù)據(jù)路徑下游遠(yuǎn)端，不能為從提供商到企業(yè)邊緣路由器的訪問鏈路提供足夠的保護(hù)，從而將那些易受攻擊的組件留給了DDoS 攻擊。此外，因?yàn)榉阑饓偸谴?lián)的而成為潛在性能瓶頸，因?yàn)榭梢酝ㄟ^消耗它們的會(huì)話處理能力來對(duì)它們自身進(jìn)行DDoS攻擊。其次是反常事件檢測(cè)缺乏的限制，防火墻首要任務(wù)是要控制私有網(wǎng)絡(luò)的訪問。一種實(shí)現(xiàn)的方法是通過追蹤從內(nèi)側(cè)向外側(cè)服務(wù)發(fā)起的會(huì)話，然后只接收“不干凈”一側(cè)期望源頭發(fā)來的特定響應(yīng)。然而，這對(duì)于一些開放給公眾來接收請(qǐng)求的服務(wù)是不起作用的，比如Web、DNS和其它服務(wù)，因?yàn)楹诳涂梢允褂谩氨徽J(rèn)可的”協(xié)議（如HTTP）。第三種限制，雖然防火墻能檢測(cè)反常行為，但幾乎沒有反欺騙能力——其結(jié)構(gòu)仍然是攻擊者達(dá)到其目的。當(dāng)一個(gè)DDoS攻擊被檢測(cè)到，防火墻能停止與攻擊相聯(lián)系的某一特定數(shù)據(jù)流，但它們無法逐個(gè)包檢測(cè)，將好的或合法業(yè)務(wù)從惡意業(yè)務(wù)中分出，使得它們?cè)谑聦?shí)上對(duì)IP地址欺騙攻擊無效。 IDS入侵監(jiān)測(cè) IDS解決方案將不得不提供領(lǐng)先的行為或基于反常事務(wù)的算法來檢測(cè)現(xiàn)在的DDoS攻擊。但是一些基于反常事務(wù)的性能要求有專家進(jìn)行手動(dòng)的調(diào)整，而且經(jīng)常誤報(bào)，并且不能識(shí)別特定的攻擊流。同時(shí)IDS本身也很容易成為DDoS攻擊的犧牲者。作為DDoS防御平臺(tái)的IDS最大的缺點(diǎn)是它只能檢測(cè)到攻擊，但對(duì)于緩和攻擊的影響卻毫無作為。IDS解決方案也許能托付給路由器和防火墻的過濾器，但正如前面敘述的，這對(duì)于緩解DDoS攻擊效率很低，即便是用類似于靜態(tài)過濾串聯(lián)部署的IDS也做不到。 DDoS攻擊的手動(dòng)響應(yīng) 作為DDoS防御一部分的手動(dòng)處理太微小并且太緩慢。受害者對(duì)DDoS攻擊的典型第一反應(yīng)是詢問最近的上游連接提供者——ISP、宿主提供商或骨干網(wǎng)承載商——嘗試識(shí)別該消息來源。對(duì)于地址欺騙的情況，嘗試識(shí)別消息來源是一個(gè)長(zhǎng)期和冗長(zhǎng)的過程，需要許多提供商合作和追蹤的過程。即使來源可被識(shí)別，但阻斷它也意味同時(shí)阻斷所有業(yè)務(wù)——好的和壞的。

3、其他策略為了忍受DDoS攻擊，可能考慮了這樣的策略，例如過量供應(yīng)，就是購買超量帶寬或超量的網(wǎng)絡(luò)設(shè)備來處理任何請(qǐng)求。這種方法成本效益比較低，尤其是因?yàn)樗蟾郊尤哂嘟涌诤驮O(shè)備。不考慮最初的作用，攻擊者僅僅通過增加攻擊容量就可擊敗額外的硬件，互聯(lián)網(wǎng)上上千萬臺(tái)的機(jī)器是他們?nèi)≈粌舻墓羧萘抠Y源。有效抵御DDoS攻擊從事于DDoS攻擊防御需要一種全新的方法，不僅能檢測(cè)復(fù)雜性和欺騙性日益增加的攻擊，而且要有效抵御攻擊的影響。

保護(hù)關(guān)鍵主題

完整的DDoS保護(hù)圍繞四個(gè)關(guān)鍵主題建立：

1．要緩解攻擊，而不只是檢測(cè)；

2．從惡意業(yè)務(wù)中精確辨認(rèn)出好的業(yè)務(wù)，維持業(yè)務(wù)繼續(xù)進(jìn)行，而不只是檢測(cè)攻擊的存在；

3．內(nèi)含性能和體系結(jié)構(gòu)能對(duì)上游進(jìn)行配置，保護(hù)所有易受損點(diǎn)；

4．維持可靠性和成本效益可升級(jí)性。

防御保護(hù)性質(zhì)

通過完整的檢測(cè)和阻斷機(jī)制立即響應(yīng)DDoS攻擊，即使在攻擊者的身份和輪廓不斷變化的情況下。

與現(xiàn)有的靜態(tài)路由過濾器或IDS簽名相比，能提供更完整的驗(yàn)證性能。

提供基于行為的反常事件識(shí)別來檢測(cè)含有惡意意圖的有效包。

識(shí)別和阻斷個(gè)別的欺騙包，保護(hù)合法商務(wù)交易。

提供能處理大量DDoS攻擊但不影響被保護(hù)資源的機(jī)制。

攻擊期間能按需求部署保護(hù)，不會(huì)引進(jìn)故障點(diǎn)或增加串聯(lián)策略的瓶頸點(diǎn)。

內(nèi)置智能只處理被感染的業(yè)務(wù)流，確?？煽啃宰畲蠡突ㄤN比例最小化。

避免依賴網(wǎng)絡(luò)設(shè)備或配置轉(zhuǎn)換。

所有通信使用標(biāo)準(zhǔn)協(xié)議，確?；ゲ僮餍院涂煽啃宰畲蠡?。

1.通過完整的檢測(cè)和阻斷機(jī)制立即響應(yīng)DDoS攻擊，即使在攻擊者的身份和輪廓不斷變化的情況下。

2.與現(xiàn)有的靜態(tài)路由過濾器或IDS簽名相比，能提供更完整的驗(yàn)證性能。

3.提供基于行為的反常事件識(shí)別來檢測(cè)含有惡意意圖的有效包。

4.識(shí)別和阻斷個(gè)別的欺騙包，保護(hù)合法商務(wù)交易。

5.提供能處理大量DDoS攻擊但不影響被保護(hù)資源的機(jī)制。

6.攻擊期間能按需求部署保護(hù)，不會(huì)引進(jìn)故障點(diǎn)或增加串聯(lián)策略的瓶頸點(diǎn)。

7.內(nèi)置智能只處理被感染的業(yè)務(wù)流，確保可靠性最大化和花銷比例最小化。

8.避免依賴網(wǎng)絡(luò)設(shè)備或配置轉(zhuǎn)換。

9.所有通信使用標(biāo)準(zhǔn)協(xié)議，確?；ゲ僮餍院涂煽啃宰畲蠡?/span>

保護(hù)技術(shù)體系

1．時(shí)實(shí)檢測(cè)DDoS停止服務(wù)攻擊攻擊。

2．轉(zhuǎn)移指向目標(biāo)設(shè)備的數(shù)據(jù)業(yè)務(wù)到特定的DDoS攻擊防護(hù)設(shè)備進(jìn)行處理。

3．從好的數(shù)據(jù)包中分析和過濾出不好的數(shù)據(jù)包，阻止惡意業(yè)務(wù)影響性能，同時(shí)允許合法業(yè)務(wù)的處理。

4．轉(zhuǎn)發(fā)正常業(yè)務(wù)來維持商務(wù)持續(xù)進(jìn)行。

本站是提供個(gè)人知識(shí)管理的網(wǎng)絡(luò)存儲(chǔ)空間，所有內(nèi)容均由用戶發(fā)布，不代表本站觀點(diǎn)。請(qǐng)注意甄別內(nèi)容中的聯(lián)系方式、誘導(dǎo)購買等信息，謹(jǐn)防詐騙。如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請(qǐng)點(diǎn)擊一鍵舉報(bào)。

轉(zhuǎn)藏 分享

QQ空間 QQ好友新浪微博微信

獻(xiàn)花（0） +1

來自：好漢勃士 > 《網(wǎng)絡(luò)安全》

舉報(bào)/認(rèn)領(lǐng)