如果應(yīng)用層 DDOS 攻擊吞噬大量帶寬,可能給 DDOS 前置防御帶來(lái)麻煩。
安全研究人員近期觀察了一次大型應(yīng)用層 DDOS 攻擊。黑客在這次攻擊中使用了新技術(shù),能夠輕松擊破 DDOS 防御。這可能成為 Web 應(yīng)用運(yùn)營(yíng)商未來(lái)需要面對(duì)的大問(wèn)題。
這次攻擊的目標(biāo)是中國(guó)的一家博彩網(wǎng)站,峰值達(dá)到 8.7Gbps ,受害站點(diǎn)使用了來(lái)自 Imperva 公司的 DDOS 防御服務(wù)。如今是一個(gè) DDOS 攻擊帶寬頻頻超過(guò) 100Gbps 的時(shí)代, 8.7Gbps 似乎算不上什么大威脅,然而這次事件在應(yīng)用層攻擊的歷史上是前所未有的。
DDOS 攻擊會(huì)在網(wǎng)絡(luò)層和應(yīng)用層之間擇一進(jìn)行攻擊。在網(wǎng)絡(luò)層攻擊中,攻擊者的目標(biāo)是通過(guò)各種網(wǎng)絡(luò)協(xié)議發(fā)送惡意數(shù)據(jù)包,吞噬目標(biāo)的全部帶寬,使其網(wǎng)絡(luò)阻塞。
應(yīng)用層攻擊也被稱(chēng)為 HTTP 洪泛,其目的是吞噬目標(biāo)的 CPU 和內(nèi)存等計(jì)算資源,讓 Web 服務(wù)器疲于應(yīng)對(duì)請(qǐng)求。一旦達(dá)到請(qǐng)求上限,服務(wù)器將停止響應(yīng)新請(qǐng)求,對(duì)正常用戶(hù)造成 DDOS 攻擊效果。
相比之下, HTTP 洪泛攻擊與網(wǎng)絡(luò)層攻擊有所不同。 HTTP 洪泛并不依靠發(fā)送數(shù)據(jù)包的體積來(lái)造成破壞,而是依靠目標(biāo) Web 應(yīng)用需要處理的請(qǐng)求數(shù)量。迄今為止,最大規(guī)模的 HTTP 洪泛能制造每秒20萬(wàn)次請(qǐng)求,但由于每個(gè)請(qǐng)求包的體積都非常小,其帶寬占用從未超過(guò) 500Mbps 。
大多數(shù)企業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的設(shè)計(jì)上限是每秒處理100個(gè)請(qǐng)求。 Imperva 公司的研究人員表示,如果沒(méi)有部署反 DDOS 服務(wù),對(duì)仿冒請(qǐng)求進(jìn)行檢測(cè)和過(guò)濾,黑客將很容易擾亂其運(yùn)作。
要防御網(wǎng)絡(luò)層攻擊,企業(yè)通常需要將所有流量首先導(dǎo)給 DDOS 防御方案運(yùn)營(yíng)商。運(yùn)營(yíng)商將過(guò)濾其中的惡意數(shù)據(jù)包,只向客戶(hù)傳輸合法包。
防御應(yīng)用層攻擊的過(guò)程則不同:一般通過(guò)在客戶(hù)的 Web 服務(wù)器前方增加特制的硬件設(shè)備實(shí)現(xiàn)。
混合型 DDOS 防御方案由上述兩種方案組成:基于云的網(wǎng)絡(luò)層防御和前置型的應(yīng)用層防御。但它有可能對(duì)此次出現(xiàn)的 8.7Gbps 之大的 HTTP 洪泛攻擊無(wú)能為力。
由 Nitol 惡意軟件感染設(shè)備組成的僵尸網(wǎng)絡(luò)發(fā)起了這次攻擊,它們發(fā)送模擬成百度搜索引擎爬蟲(chóng)的 HTTP POST 請(qǐng)求。請(qǐng)求數(shù)量達(dá)到每秒16.3萬(wàn)次,試圖向服務(wù)器上傳隨機(jī)生成的大體積文件。這產(chǎn)生了相當(dāng)巨大的攻擊帶寬腳印。
Imperva 公司研究人員在發(fā)布的博文中寫(xiě)道:“只有在建立 TCP 連接之后,才能過(guò)濾應(yīng)用層流量。這意味著惡意流量將被允許接入,這種大帶寬攻擊將產(chǎn)生很大破壞,只有當(dāng)企業(yè)使用外部防御方案時(shí)才能解決這一問(wèn)題。”
這意味著網(wǎng)絡(luò)層 DDOS 防御服務(wù)將放過(guò)這些流量,讓企業(yè)的前置型防御方案解決,但后者的功能本來(lái)是處理應(yīng)用層攻擊。不過(guò),惡意數(shù)據(jù)包實(shí)際上不會(huì)到達(dá)應(yīng)用層,因?yàn)槠髽I(yè)網(wǎng)絡(luò)上行帶寬無(wú)法處理它們生成的流量。這有點(diǎn)像是在應(yīng)用層攻擊后邊藏了網(wǎng)絡(luò)層攻擊。
“的確,當(dāng)今的一些大型機(jī)構(gòu)已經(jīng)配備了 10Gb 的突發(fā)上行能力。然而攻擊者可以輕松發(fā)起更多請(qǐng)求,或者調(diào)用更多僵尸網(wǎng)絡(luò)資源,增大攻擊規(guī)模。因此第二波攻擊可以輕松達(dá)到 12到15Gbps 。非通信運(yùn)營(yíng)商的存在機(jī)機(jī)構(gòu)極少擁有能夠解決這類(lèi)前置攻擊的基礎(chǔ)設(shè)施。”
有些行業(yè)很難應(yīng)對(duì)這種高帶寬應(yīng)用層攻擊,比如金融行業(yè)。金融機(jī)構(gòu)的 Web 應(yīng)用需要使用 HTTPS 加密數(shù)據(jù)傳輸,此外,出于監(jiān)管合規(guī)的要求,為了保護(hù)財(cái)務(wù)和個(gè)人數(shù)據(jù),它們還必須在企業(yè)內(nèi)部,用自己的基礎(chǔ)設(shè)施終止惡意 HTTPS 鏈接。
因此,應(yīng)用層 DDOS 防護(hù)方案也只能在數(shù)據(jù)解密之后過(guò)濾請(qǐng)求。而且,他們必須在機(jī)構(gòu)內(nèi)部做到這一點(diǎn)。