面对DDoS的思考
分布式拒绝服务攻击DDoS是搞信息安全的人都非常头疼的问题。而且,悲观地看,从理论上看,拒绝服务攻击是难于彻底解决的。
从攻击者和攻击方式上看:
1、站在被攻击目标之前进行保护
2、挡在被攻击目标前面的区域性防护
3、针对攻击源(僵尸网络和幕后操作者)的反制
4、通过调整被攻击目标的服务模式来规避
从攻击者和攻击方式上看
从拒绝服务攻击的攻击方式分类来看:
1、利用被攻击目标的漏洞,以比较技术化的方式让被攻击目标不能提供服务。比如,将目标服务器中的一个应用系统服务进程搞宕。
2、以分布式的僵尸网络为攻击源,对于目标系统发起没有针对性的攻击。比如,一个大范围的分布式僵尸网发起一个ping或者TCP半连接攻击,造成目标系统的系统资源耗尽。
3、以分布式的僵尸网络为攻击源,实现用录制、脚本等方式模拟出一个非常真实的访问过程,然后让这个大规模僵尸网络同时向目标系统发起请求。
站在被攻击目标之前进行保护
如果针对这些拒绝服务攻击,第一种方式已经和一般性攻击的防护方式相同的。一般来说,用IDS、IPS和UTM等安全设备是可以基本解决这第一 种问题的。是否有效,就是看你能不能识别出这种攻击的特征,并且有针对性地阻断和处理。现在来说,这类的拒绝服务攻击已经不是大家最最头疼的问题了。
对于第二种攻击方式。已经比第一种攻击方式要难一些。但是,毕竟攻击流还是有特征可以总结出来的。判断至少有两个:其一是有攻击特征、其二是大 量的数据流没有业务意义。那么经过流量过滤和清洗就可以将这些恶意流分离出来。IPS系统或者IPS系统阵列,配合导流等机制可以在一定程度上解决这个问 题。
但是,如果攻击流没有特征,而且还和目标系统的业务有关联,这个时候就难于将攻击流和正常访问流量区别开。这个时候,系统拒绝服务完全是由于资 源耗尽导致的,可能是主机资源耗尽,可能是带宽资源耗尽。那么站在目标系统主机之前进行防护几乎是不能产生效果的。那么怎么办呢?
挡在被攻击目标前面的区域性防护
因为,面对大规模分布式拒绝服务攻击,在目标系统紧跟前难于有效地抵御攻击,防御体系常常被性能压力打垮。所以,要降低单点的性能压力,就有必要将防御机制前移。那么我们可能就有必要将防护区域拓展到目标系统更前面的纵深网络中。
对于第二种形态的分布式拒绝服务攻击,可以在前端的纵深网络地区,增加检测和过滤机制。只要能够在之前了解攻击流的部分特征,那么在前端的纵深区域较早地进行清洗。当然,这时解决攻击问题的难点就是如何能够检测清楚哪些是攻击流。
针对攻击源(僵尸网络和幕后操作者)的反制
对于第一种和第二种形态的拒绝服务攻击,可以在采用有效的检测机制支持下,在防御体系中加以一定程度的防范。但是,对于第三种攻击,就基本上无法在防御方有所作为了。
那么现在的方式仅仅防御地区前移已经无效了。那么,唯一的方式就是既前移防御区域,也要前移应对时间。也就是在攻击尚未发生的时候,就对于攻击 主体的僵尸网络和僵尸网络后面的幕后操纵者进行检测并处理。其实,从原理上说,如果有足够的检测覆盖度,发现在覆盖范围内的僵尸网络并不是技术上的难点。 也就是说,如果一个负责任的网络,是比较容易做到自己不成为僵尸网络的。所以,这个问题主要就变成了一个公共安全机制和法律依据问题了。
通过调整被攻击目标的服务模式来规避
分布式拒绝服务攻击的原理,就是因为攻击者掌握着一个非常大的僵尸网络资源。这个僵尸网络的资源规模与被攻击目标的服务能力不能匹配。也就是由 于出现N对1的关系,使得在1的位置会非常被动。那么,也许我们可以将这个1拆分开,这样可以分解整个目标服务体系的压力。比如CDN内容分布式网络 (Content Distributed Network),用分布式的服务来对抗分布式拒绝服务。
总之,分布式拒绝服务攻击这个难点,仍将在相当的时期内困扰着信息安全领域的从业者们。
- 相关信息
- 没有相关内容
-
- 网站统计
