防御DDoS分布式拒绝服务保证业务的永继性

DDoS 分布式停止服务攻击作为黑客、政治黑客行为和国际计算机恐怖分子可选择的一种武器而出现。 DDoS 攻击目标并不仅仅是个人网站或其他网络边缘的服务器，他们征服的是网络本身。攻击明确地指向网络的基础设施，例如提供商网络中的集中或核心路由器、 DNS 服务器等。 2002 年 10 月，一次拙劣的 DDoS 攻击影响了 13 个根 DNS(Domain Name Sevice) 服务器中的 8 个，作为整个 Internet 通信路标的关键系统遭到严重的破坏，无法提供有效服务，业务的永继性无法得到保证。

服务提供商、企业和政府机关对因特网依赖的加剧，使得成功的 DDoS 攻击（经济和其它方面）能造成更加严重的破坏。新近以来，出现了更多功能更为强大的 DDoS 工具，使得将来的攻击破坏性更大。

由于 DDoS 攻击往往采取合法的数据请求技术，再加上一些傀儡机器，造成 DDoS 攻击是目前最难防御的互联网攻击之一，如何用最合适的、有效的方法来响应它们，给依赖于因特网的组织和机构提出了一个巨大的挑战。传统的网络设备和周边安全技术，例如防火墙和 IDSs(Intrusion Detection Systems) ， 速率限制，接入限制等均无法提供非常有效的针对 DDoS 攻击的保护。面对当前 DDoS 的冲击，要保护因特网持续有效性，需要一个能检测和阻止日益狡猾、复杂、欺骗性攻击的下一代体系结构和技术。

本文将详细描述：

• 日益增长的 DDoS 威胁及成功攻击的严重影响。
• 为何当前的路由器和周边安全技术不能提供足够的 DDoS 保护。
• 防御 DDoS 攻击需要满足的基本要求 .
• 创新技术和体系结构如何提供有效的 DDoS 保护。

DDoS 威胁

DDoS 攻击指挥成百上千的傀儡主机攻击某一个目标。这些傀儡主机是从数以百万计未受保护的计算机中被不知情地征用，这些计算机往往是通过高带宽（ ADSL, Cable ）访问因特网并总是与网络保持连接。通过在这些机器中植入“沉睡”代码，黑客可快速的建立一支傀儡军团，等待适当的时机命令发动 DDoS 停止服务攻击。如果有足够傀儡主机的加入，攻击的规模令人惊骇。

DDoS 攻击的影响

成功的 DDos 攻击影响是很广泛的。网络站点的表现尤其受影响，可以造成客户和其它使用者访问失败，运营商无法实施 SLAs （服务水平承诺），服务信用损失惨重，用户投诉增加，公司名誉受损，有时甚至是永久的影响。以及收益下滑、生产率降低、 IT 开销增加、诉讼花销等等——这些损失在不断的增加。

损失的数目令人难以置信。来自 Forrester 、 IDC 和 Yankee Group 的评测估计一个象思科公司这样的公司网络中断 24 小时的损失大约是三千万美元。据 Yankee Group 估计， 2000 年 2 月， DDoS 洪流攻击了 Amazon 、 Yahoo 、 eBay 和其它门户网站，造成的损失累计达到 12 亿美元。 2001 年 1 月，对 Microsoft 网站几天的 DDoS 攻击，损失大约为五千万。显然，商业公司必须采取措施来保护自己免遭恶意攻击。

DDoS 攻击揭秘

DDoS 攻击是如何进行的？主要是利用了 internet 协议和 internet 基本优点——无偏差地从任何的源头传送数据包到任意目的地。

实质上，以下数据报包行为描述了 DDoS 攻击：要么大数据，大流量以至压垮网络设备和服务器，要么有意制造大量无法完成的不完全请求来快速消耗服务器资源。防止 DDoS 攻击的关键困难是无法将攻击包从合法包中区分出来，造成检测困难； IDS 进行的典型“签名”模式匹配起不到有效的作用。许多这样的攻击也使用源 IP 地址欺骗来逃脱源识别，这种识别由基于反常事件的，很难搜寻特定的攻击源头。

有两类最基本的 DDoS 攻击：

• 带宽攻击 ：这种攻击消耗网络带宽或使用大量数据包淹没一个或另一个（或两者）。路由器、服务器和防火墙——都只有有限的处理资源——在这种负重下不能处理合法事务并最终导致崩溃。
  带宽攻击的普遍形式是大量数据包攻击，大量表面看合法的 TCP 、 UDP 或 ICMP 数据包被传送到特定目的地。为了使检测更加困难，这种攻击也常常使用源地址欺骗——篡改成产生避免验证请求的 IP 地址。
• 应用攻击： 这种 DDoS 攻击利用 TCP 和 HTTP 等协议定义的行为来不断占用计算资源以阻止它们处理正常事务和请求。 HTTP 半开和 HTTP 错误就是应用攻击的两个典型例子。

图一说明 ：

• Multiple point of vulnerability and failtures ：多个易损点和故障点
• peering point ：对等点
• Hackers activate zombies on innocent computers ：黑客激活傀儡主机
• ISP Backbone ： ISP 骨干网
• Attacked server ：被攻击的服务器
• Infrastruture-level DDoS attacks,including routers and DNS servers ：基础设施的 DDoS 攻击，包括路由器和 DNS 服务器
• Sever-level DDoS attacks,including HTTP,DNS and other services ：服务器水平的 DDoS 攻击，包括 HTTP 、 DNS 和其它服务
• Bandwidth-level DDoS attacks,including worm storms ： 带宽水平的 DDoS 攻击，包括蠕虫风暴

DDoS 威胁日益致命

DDoS 攻击的一个致命趋势是使用复杂的欺骗技术和基本协议，如 HTTP ， Email 等协议，而不是采用可被阻断的非基本协议或高端口协议，使得 DDoS 攻击更加隐蔽和致命。这种使用合法应用协议和服务的攻击非常难识别和防御； 通常采用的包过滤或限制速率的措施只是通过停止服务来简单停止攻击任务，但同时合法用户的请求也被拒绝，造成业务的中断或服务质量的下降。

现在的 DDoS 防御手段不够完善

不管哪种 DDoS 攻击，，当前的技术都不足以很好的缓解和确保商务持续进行。不幸的是，现在流行的 DDoS 防御手段——例如黑洞技术和路由器过滤，限速——均无法处理复杂性日益增加的攻击。这些防御手段不仅慢，消耗大，而且也阻断有效业务。 IDSs 可以提供一些检测性能但并不能缓解 DDoS 攻击，防火墙提供的保护也受到其技术弱点的限制。还有其它策略，例如大量部署服务器，冗余设备，保证足够的响应能力来提供攻击防护，但这样作为阻止 DDoS 攻击的手段代价过于高昂。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有