针对WEB的DDoS有何危险,要怎么防?

随着Web2.0、社交网络、微博等等一系列新型的互联网产品的诞生,基于Web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在Web平台上,Web业务的迅速发展也引起黑客们的强烈关注,接踵而至的就是Web安全威胁的凸显。

黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是耗尽Web服务器资源的DDoS攻击。这也使得越来越多的用户开始关注应用层的DDoS问题。

根据华为安全能力中心统计,针对Web服务攻击占攻击总量的67.71%,攻击方式主要集中在SYN Flood、HTTP Get Flood、CC攻击、重传攻击等方面,Web服务仍是DDOS主要攻击目标。

此类攻击利用应用协议的自身设计缺陷发送精心构造的应用报文,或通过智能的应用交互来耗尽系统性能。目前易受攻击的应用服务器主要集中在HTTP,DNS,HTTPS和SIP。著名的SSL-DDoS攻击就是以不断的SSL密钥重协商来耗尽HTTPS服务器性能的一种攻击。

由于此类攻击发起者往往都支持完整的传输层协议栈,所以对攻击防范也提出了更多挑战。

就拿业界流行的CC攻击举例,这类攻击者往往会使用一些手段来隐藏发起攻击的傀儡网络或防止攻击被轻易识别。比如伪造攻击报文源IP、利用网络中大量的代理服务器、随机变化字段等方式。

CC攻击的攻击技术含量低,利用工具和一些IP代理,一个初、中级的电脑水平的用户就能够实施攻击。不过,如果了解了CC攻击的原理,那就不难针对CC攻击实施一些有效的防范措施。

根据该类DDoS攻击的情况,华为推出了一套有效遏制其威胁的Anti-DDoS系统,其功能涵盖了检测,清洗,管理,统计等多个方面。性能覆盖 2G-200G各个区段。由检测设备,清洗设备,管理中心三部分组成。

华为Anti-DDoS产品组成

华为Anti-DDoS产品组成

其内部集成了DDoS防护必备的7层防护算法,逐层对攻击流量进行清洗过滤,实现对流量型攻击和应用层攻击的全面防护。

7层防护由畸形包过滤,特征过滤,虚假源认证,应用层认证,会话分析,行为分析,智能限速组成。畸形报文过滤针对违反协议标准的报文进行检查和丢弃。特征过滤则使用了华为强大的指纹学习和匹配算法,可以识别带有指纹的攻击流量,同时可以针对自定义报文特征,如IP,端口等信息对报文进行过滤。

虚假源认证和应用层源认证则能够验证流量源IP的访问意图和真实性。会话分析和行为分析则能够针对DDoS攻击经常性的spoof行为特点和多变的攻击规律进行统计分析,对隐藏较深的僵尸网络攻击拥有良好的防范效果。最后的智能限速则可以针对大流量正常行为进行限制和控制保证服务器的可用性。

华为Anti-DDoS七层防御模型

华为Anti-DDoS七层防御模型

提供众多防护算法的同时,华为清洗引擎可以有效降低对正常流量的误判和错判,避免了一些传统防护设备存在的影响客户业务,干扰正常访问等问题。

为了能够提供一个更加安全可靠的网络,一种专业的DDoS防护设备变得极为必要。它必须要能够防范大规模的DDoS攻击,同时保护正常业务的访问,要能够应对不断变化的DDoS攻击形式,保证网络服务的高可用性。