6月13日,时隔四年的世界杯战幕再次拉开。然而就在前一天,多个有关世界杯的网站、包括世界杯官网遭到DDos攻击,导致用户无法正常访问。事前,就有黑客组织威胁,将在世界杯赛事期间,对世界杯相关网站发动攻击。这使网络安全问题再次成为全球关注的焦点,也给各大网站敲响了警钟。
其实,DDos攻击早已不是什么新鲜事,类似的攻击几乎每天都在上演。然而伴随IT技术的不断演变,DDos攻击自身也在不断变化。比如,攻击复杂性日渐增加,从过去针对TCP协议本身发起攻击逐渐转向针对应用发起攻击。攻击流量日益增大,从过去的千兆到如今的上百Gb。攻击更具组织化,从过去黑客自行发起攻击到如今组织人员发起攻击,而这些直接导致DDos攻击越来越难以防范。
DDos攻击是一种怎样的攻击方式、有着怎样的特性、会造成什么样的危害、企业该如何预防、当前有一些什么样的技术可以预防?
问道DDos攻击
根据维基百科对DDos攻击的定义,DDoS攻击即分散式阻断服务攻击(Distributed denial of service)。简单而言,即利用网络上已被攻陷的电脑作为“僵尸”,向某一特定的目标电脑发动密集式的“拒绝服务”式攻击,从而耗尽目标电脑的网络资源及系统资源,使之无法向正常请求的用户提供服务。
按照TCP/IP协议的分层模型,目前主流DDos攻击可分为四层DDos攻击和七层DDos攻击两种。其中,四层DDos攻击主要指在TCP传输层进行的攻击,其主要利用TCP协议本身的特点发起攻击;而七层DDos攻击则是直接针对应用(主要是HTTP/HTTPS协议)发起攻击。由于应用本身相对复杂,因此七层DDos攻击相对而言也更加复杂和多样化。
从攻击手段及攻击方式来看,DDos攻击主要包括三类:一是大流量型攻击,主要凭借大量的僵尸网络和应用层DDoS来攻击受害者,如大流量访问需要消耗大量系统资源的url,从而导致Web应用崩溃。二是匿名者组织人员进行攻击,其通过社交网络组织大量人力并提供LOIC和JS LOIC工具,由于都是真实存在的人员而非僵尸主机,所以这种攻击更加难以防范。三是慢客户端攻击,其利用HTTP协议本身的缺陷,只需要很少的资源即可快速攻陷目标站点,典型的工具如Slowloris。
从对DDos攻击概念的解释中不难看出,DDoS攻击最终目的是通过各种手段消耗被攻击对象的网络带宽和系统资源,从而造成网络拥塞、服务器死机,影响受害主机与外界的正常通信。
因此,DDos造成的危害也显而易见。华三公司相关负责人在接受采访时表示,根据攻击目标性质的不同,DDoS攻击所造成的危害也不尽相同。例如,对于大型互联网内容提供商,尤其是电商、咨询网站,如淘宝、百度等,一旦遭受攻击,将影响大量用户的使用,对企业声誉、用户使用都会造成巨大的影响。针对ISP/ICP/IDC等网络基础提供商的攻击影响更大,一旦其基础设施被攻陷,一个或若干区域的用户将受到影响。而针对国家级重要门户网站的攻击,一般带有政治因素,影响面将更广。
应对之策
毫无疑问,一旦遭受DDos攻击,无论是国家、企业还是个人用户,所面临的损失都是巨大的。那我们究竟该如何应对DDos攻击、预防DDos攻击能否做到万无一失呢?答案显然是否定的。在记者对包括华三、梭子鱼、Fortinet(飞塔)、山石网科等在内相关专家的采访中,所有人都给出了一样的答案,即防御DDoS攻击,我们不可能做到万无一失,但通过一些积极的措施可以防御大多数DDos攻击,有效降低DDos攻击所带来的风险。
而从目前各厂商所推出的防御DDos攻击解决方案来看,其原理也都大同小异,其中异常流量检测、异常流量清洗基本属于必需组件,其他方面各有千秋。
比如,华三在2007年就推出了防御DoS和DDoS攻击的产品,专门针对运营商和行业客户推出了流量清洗运营解决方案。该产品由三部分组成,包括异常流量检测设备(AFD)、异常流量清洗设备(AFC)和可运营的清洗管理系统。
与华三单独推出DDos防御解决方案不同,梭子鱼则将该功能集成到了Web应用防火墙中。不过,虽然称为Web应用防火墙,但其功能并非仅停留在防御七层的DDos攻击上,梭子鱼相关负责人在接受采访时表示,梭子鱼Web应用防火墙同样能够满足用户对四层DDos攻击的防御需求。
Fortinet最新推出的FortiDDoS B系列产品,在应对DDoS攻击方面同样可圈可点。比如,在性能方面,Fortinet自行开发的FortiASIC-TPTM 芯片(流量处理器),单芯片可处理高达4Gbps的DDoS流量;在功能方面,其通过持续的流量自学习功能,可以为用户网络建立应用流量模型,并针对每种流量制定相应的阈值,对异常流量进行拦截。
另外,Fortinet公司技术工程师韩晔还给出了一些建议。他说,DDoS攻击通常都由僵尸网络发起,如果能从源头对僵尸网络进行拦截,将达到事半功倍的效果。而在这方面,Fortinet也有相应的产品线FortiGate,其可通过IP信誉库、已知僵尸网络应用程序检查等方式,从源头对僵尸网络进行阻截。
除此之外,山石网科则明确地提出了智能防御DDos攻击的概念。他们认为,从DDos的攻击效果来看主要分为两种,一种是阻塞出口带宽,另一种则是消耗服务器资源。其中,阻塞出口带宽只能通过运营商或CDN厂商在远端引流清洗回注,消耗服务器资源则可以通过在本地部署高性能防火墙进行防御。据悉,目前山石网科高性能防火墙除了能够做到基于会话数和包速率限制防御各种洪水攻击、基于特征识别防御各种畸形报文攻击外,还能支持SYN Cookie智能防御SYN Flood、HTTP Cookie智能防御HTTP Flood(CC)等。
不要觉得DDos攻击离你还很远,就像A10 Networks副总裁兼大中华区总经理蔡所说,“我们无法预知下一次DDos攻击是在什么时间,黑客在发起下一波攻击之前不会提前宣布,因此我们要时刻做好准备。”