抗DDoS攻击设备化解危机于无形

      2006年12月,网通(已与中国联通)北京亦庄机房遭受了最严重的攻击。当天,最高攻击流量超过12G,而亦庄机房的带宽约为7G,这造成了机房的间歇性瘫痪。根据CNCERT/CC的调查,黑客至少同时调集了2万台机器对亦庄机房进行攻击,这是CNCERT/CC所见过的最大的黑客攻击案。

      2008年7月,潍坊市网通公司城域网连续遭到黑客攻击,导致两天内全市网络线路全部瘫痪。黑客共使用了8000台被控制的傀儡机,此类大规模攻击网络运营商城域网的案件在全国也极为罕见。

      这两次攻击所使用的手段,正是现在普遍为黑客所使用的DDoS(分布式拒绝服务)攻击。DDoS攻击是一种基于DoS(拒绝服务)的特殊形式的拒绝服务攻击,是一种分布协作的大规模攻击方式,主要瞄准比较大的站点,像商业公司、搜索引擎和政府部门的站点等。DDoS攻击利用一批受控制的机器向一台机器发起攻击,这样来势迅猛的攻击令人难以防备,因此具有较大的破坏性。

      绿盟科技黑洞产品市场经理王卫东对记者说:“僵尸网络(Botnet)所造成的危害很多,从危害范围和严重程度来看,威胁最大的是DDoS攻击和垃圾邮件。”

      DDoS攻击目标并不局限于Web服务器,实际上互联网上任何可用的服务都可能成为这种攻击的目标。通过功能滥用的攻击,高层协议可用来更有效的提高负载,比如针对电子公告栏运行能耗尽资源的查询或者在受害网站上运行递归HTTP洪水攻击。递归HTTP洪水指的是僵尸工具从一个给定的HTTP链接开始,然后以递归的方式顺着指定网站上所有的链接访问,这也叫蜘蛛爬行。

      Radware公司资深网络安全技术顾问陈玉奇表示,要想防范DDoS攻击,最好使用专业的抗DDoS攻击设备。DDoS攻击的形式多种多样,可能是海量数据包的攻击,也可能是少量数据包针对特定应用的攻击,所以要求抗DDoS攻击设备必须能够防范各种DDoS攻击类型,从性能上能够保证设备在海量数据的攻击下屹立不倒,而且能够正常处理攻击;从功能上能够自动区分正常应用和攻击流量;从结果上能够实时对DDoS攻击流量进行阻断和过滤。
 
      专业的抗DDoS攻击产品的设计理念就是为了防范DDoS攻击,而其他设备设计的理念就完全不一样。一般设备基本上都是利用预定义的静态规则实现某些安全控制功能,但是DDoS攻击的多样性和突然性很容易突破静态规则的限制,这些设备无法区分突发的正常应用和攻击流量;另一方面,其他设备在设计的时候可能只考虑了现有正常应用所需要的性能参数,而DDoS攻击一旦发生,可以非常轻易地突破正常应用的性能限制,极有可能造成这个设备本身的性能问题。

      攻击手法翻新

      DDoS攻击已经存在发展了很多年,近来这类攻击方式发生了一些新的变化。

      传统的DDoS攻击是黑客通过大量僵尸主机针对目标发送海量伪造数据,阻塞用户网络或应用,这种大流量的、伪造数据包攻击方式很容易被侦测,在运营商层面就会被轻易过滤掉。

      黑客为了达成拒绝服务的目的,将攻击从传统方式逐渐变成了针对用户应用系统的拒绝服务,例如利用僵尸网络发起的针对Web应用的HTTP洪水攻击,通过短时间内大量的HTTP请求,导致Web服务器的拒绝服务;或者针对用户VoIP系统发起大量虚假请求,导致用户系统无法及时响应而宕机。由于此类攻击针对性很强,对用户应用系统的危害性甚至于要大于传统的攻击方式。

      这种新的攻击方式的特点在于攻击数据包量与传统方式相比较要少了很多,而且黑客在构造这些数据包的时候尽可能仿冒真实的数据请求包,使用户自己都难以区分,因而很难被侦测到。

      目前来看,DDoS攻击发生的频率不断提高,每次攻击之间没有什么必然的联系,由于新型DDoS攻击的兴起,用户很难判断是否真正遭受到了DDoS攻击;即使用户了解到自己的应用正在受到攻击,也很难清楚区分DDoS攻击数据流与正常数据流之间的差别。而且在防范DDoS攻击的过程中如何不误杀正常数据也是DDoS攻击防范的难点之一。

      高性能无惧数据洪流

      在防范DDoS攻击时,辨别攻击数据流很重要,但最关键的一点是:抗DDoS攻击设备必须具备高性能。

      Hillstone公司产品经理刘劲表示,防范DDoS攻击的难点在于如何早期发现僵尸网络,区分异常流量。攻击的流量越来越隐蔽,很难早期识别,而当发现的时候,服务已经濒临崩溃。

      随着DDoS攻击仿真程度不断提升,采用传统的报文检测和协议检测的方式已经不能有效区分DDoS攻击和正常的访问请求,需要引入一部分内容检测的手段,才能加以判断。而对现有的安全产品(包含专用的抗DDoS攻击设备、防火墙、IPS、UTM)来说,不论是X86架构还是ASIC架构,或者是NP架构,在引入内容检测以后都会导致设备性能急剧下降。

      在DDoS检测率和性能之间如何做选择呢?目前业界有两种解决方案:第一类是采用旁路方式,将异常流量进行牵引,通过检测以后再将误判的流量回注。这种方式避免了串行部署抗DDoS攻击设备,在性能不足时降低网络整体效率和可用性的风险,但性能和检测率的冲突问题并没有很好的解决,需要进一步通过多台设备形成完整的解决方案才能解决。第二类是通过采用新的硬件架构使得产品的性能得到大幅度提升。有效解决内容检测和协议检测带来的性能与检测率冲突的问题。在业界,大部分厂商采用多核硬件架构来达到要求。

      刘劲说:“Hillstone的DDoS攻击防范优势来自于稳定的系统运行和海量数据的处理能力。即便未能早期捕获异常流量,DDoS攻击也不会使网关因为负载过荷而崩溃。高性能给予了设备更长的判断时间,以便作出最后的响应,而不会误判流量,造成正常业务的中断。”

      Radware的设备采用了集成CPU、NP、ASIC、FPGA等多层次处理核心的交换机硬件构架,能够帮助用户在不影响正常应用转发的前提下抗击海量DDoS的攻击。

      据王卫东介绍,绿盟的抗DDoS攻击设备提供了流量限制特性,用于应对突发的流量异常变化,其采用了多个并行的专业高性能网络处理器,可以工作在4G线速分析环境并处理DDoS攻击。

      通过精心设计抗DDoS攻击整体方案,整个系统一般能够抵御十几G至数十G的海量DDoS攻击。

      除了高性能之外,抗DDoS攻击设备还具有一些独特的技术和智能学习能力。

      流量牵引技术是为了防御大规模DDoS攻击和避免单点故障问题而提出的。最初防御DDoS攻击是依靠防火墙上的抗DDoS模块来完成,后来人们意识到即使再优秀的防火墙产品,上面的抗DDoS模块的防御DDoS功能也都比较弱,由于防火墙自身构造原理造成了抗DDoS的瓶颈,这是一个根本上的障碍。这样人们才改变思路,开始在网络中部署专门的抗DDoS攻击设备。DDoS设备是串联在网络中的,而在网络中每增加一个节点就可能会增加一个潜在的故障点。可以设想一下,一旦抗DDoS攻击设备无力抵抗海量的DDoS攻击,那么很可能会造成设备失效,这样就导致了整个网络的断线。

      流量牵引技术的目的就是为了提高网络抗DDoS攻击的容错性,这好比我们祖先大禹治水时用的策略,一面堆堵,一面疏导。堵也罢,疏导也罢,手段虽然不同但目的始终是唯一的。流量牵引技术使用的都是我们已经熟知的成熟技术,只是换了一种思考的方式,将我们祖先治水的哲学思想用在了抗DDoS攻击中。

      例如,当针对服务器的DDoS攻击发生的时候,将攻击流量牵引到抗DDoS攻击设备上去,其他的流量继续沿原路转发,不受干扰。这样我们首先实现了一个目的,那就是保证多数正常流量不受攻击干扰。经过流量牵引后到达抗DDoS设备上的流量经过分流后必然有所减弱,流量越小抗DDoS攻击设备分析和防御能力就会越强,这样又实现了我们第二个目的,提高了抗DDoS设备的性能。当针对服务器的攻击流量到达抗DDoS设备的时候,我们面临两种可能,一种是能够防御的住,一种是防御不祝如果防御的住,那当然就不存在问题了。如果防御不住呢? 最多会造成一个地址不能被访问,将攻击所能造成的危害降低到最小,不至于因为一个点的攻击而导致整个网络不能通信,这个代价相比而言是最小的。

      据陈玉奇介绍,对DDoS攻击的侦测不应依赖于已有的数据特征,也不应依赖于流量的大小变化。Radware具有专利的行为分析决策专家系统,对用户流量行为、服务器行为实时学习,形成贴近于用户正常网络行为的数据模型,而后根据实时流量、服务器行为的变化来侦测DDoS攻击,使任何小流量的DDoS攻击都难逃侦测。

      对DDoS攻击的阻断必须是精确可表现的。DDoS的阻断策略是在不影响用户正常应用的情况下,多次优化后的最优策略,而且这些实时生成的策略能够直观的展现在用户的眼前,使用户能够了解DDoS攻击的特点和方式。

      为了防止受到DDoS攻击,用户可以对内部系统进行一些优化,提升其应用系统在DDoS攻击下的生存能力和生存时间。例如:
      * 加强路由器、防火墙上的访问控制列表,防止异常端口被利用;
      * 增加服务器负载均衡设备,提高应用系统服务能力;
      * Web站点尽可能使用静态页面,提高对HTTP页面访问的负载能力;
      * 加强对信息安全人员的培训,提高其对DDoS攻击的判断和分析能力;
      * 加强与运营商、安全厂商的合作,在DDoS攻击发生的时候能够得到他们的帮助。

      但是由于DDoS攻击的突然性,用户很难在攻击发生之前对攻击数据包进行甄别和阻止,或者设置相应的安全策略,因此从这个层面上来说,用户自身对DDoS攻击基本没有防范能力,还是需要采用专业的抗DDoS攻击设备进行防护。

      联手对抗DDoS攻击

      最近云安全被炒的火热,那么云安全是否对防范DDoS攻击有帮助呢?记者向有关人员询问之后却发现,面对DDoS攻击,云安全也有些无能为力。

      云安全的价值在于第一时间发现攻击特征或恶意代码特征,并进行相关的操作,特征的不断更新有利于发现那些传播比较广泛的DDoS攻击工具,在一定程度上遏制DDoS的发生。但是从DDoS攻击的特点来看,并不能够完全依靠预定义特征的方式进行DDoS攻击分析和阻断。DDoS的多样性和突然性要求防范设备能够实时分析攻击行为,自动实时地生成攻击特征,对攻击进行阻断。

      要想更好地防范DDoS攻击,需要有关厂商加强合作,协同收集攻击特征,加深对DDoS攻击行为分析的研究,结合多个方面共同遏制DDoS攻击的发生,降低其对用户的危害。