6月13日,時隔四年的世界杯戰(zhàn)幕再次拉開。然而就在前一天,多個有關世界杯的網站、包括世界杯官網遭到DDos攻擊,導致用戶無法正常訪問。事前,就有黑客組織威脅,將在世界杯賽事期間,對世界杯相關網站發(fā)動攻擊。這使網絡安全問題再次成為全球關注的焦點,也給各大網站敲響了警鐘。
其實,DDos攻擊早已不是什么新鮮事,類似的攻擊幾乎每天都在上演。然而伴隨IT技術的不斷演變,DDos攻擊自身也在不斷變化。比如,攻擊復雜性日漸增加,從過去針對TCP協議本身發(fā)起攻擊逐漸轉向針對應用發(fā)起攻擊。攻擊流量日益增大,從過去的千兆到如今的上百Gb。攻擊更具組織化,從過去黑客自行發(fā)起攻擊到如今組織人員發(fā)起攻擊,而這些直接導致DDos攻擊越來越難以防范。
DDos攻擊是一種怎樣的攻擊方式、有著怎樣的特性、會造成什么樣的危害、企業(yè)該如何預防、當前有一些什么樣的技術可以預防?
問道DDos攻擊
根據維基百科對DDos攻擊的定義,DDoS攻擊即分散式阻斷服務攻擊(Distributed denial of service)。簡單而言,即利用網絡上已被攻陷的電腦作為“僵尸”,向某一特定的目標電腦發(fā)動密集式的“拒絕服務”式攻擊,從而耗盡目標電腦的網絡資源及系統(tǒng)資源,使之無法向正常請求的用戶提供服務。
按照TCP/IP協議的分層模型,目前主流DDos攻擊可分為四層DDos攻擊和七層DDos攻擊兩種。其中,四層DDos攻擊主要指在TCP傳輸層進行的攻擊,其主要利用TCP協議本身的特點發(fā)起攻擊;而七層DDos攻擊則是直接針對應用(主要是HTTP/HTTPS協議)發(fā)起攻擊。由于應用本身相對復雜,因此七層DDos攻擊相對而言也更加復雜和多樣化。
從攻擊手段及攻擊方式來看,DDos攻擊主要包括三類:一是大流量型攻擊,主要憑借大量的僵尸網絡和應用層DDoS來攻擊受害者,如大流量訪問需要消耗大量系統(tǒng)資源的url,從而導致Web應用崩潰。二是匿名者組織人員進行攻擊,其通過社交網絡組織大量人力并提供LOIC和JS LOIC工具,由于都是真實存在的人員而非僵尸主機,所以這種攻擊更加難以防范。三是慢客戶端攻擊,其利用HTTP協議本身的缺陷,只需要很少的資源即可快速攻陷目標站點,典型的工具如Slowloris。
從對DDos攻擊概念的解釋中不難看出,DDoS攻擊最終目的是通過各種手段消耗被攻擊對象的網絡帶寬和系統(tǒng)資源,從而造成網絡擁塞、服務器死機,影響受害主機與外界的正常通信。
因此,DDos造成的危害也顯而易見。華三公司相關負責人在接受采訪時表示,根據攻擊目標性質的不同,DDoS攻擊所造成的危害也不盡相同。例如,對于大型互聯網內容提供商,尤其是電商、咨詢網站,如淘寶、百度等,一旦遭受攻擊,將影響大量用戶的使用,對企業(yè)聲譽、用戶使用都會造成巨大的影響。針對ISP/ICP/IDC等網絡基礎提供商的攻擊影響更大,一旦其基礎設施被攻陷,一個或若干區(qū)域的用戶將受到影響。而針對國家級重要門戶網站的攻擊,一般帶有政治因素,影響面將更廣。
應對之策
毫無疑問,一旦遭受DDos攻擊,無論是國家、企業(yè)還是個人用戶,所面臨的損失都是巨大的。那我們究竟該如何應對DDos攻擊、預防DDos攻擊能否做到萬無一失呢?答案顯然是否定的。在記者對包括華三、梭子魚、Fortinet(飛塔)、山石網科等在內相關專家的采訪中,所有人都給出了一樣的答案,即防御DDoS攻擊,我們不可能做到萬無一失,但通過一些積極的措施可以防御大多數DDos攻擊,有效降低DDos攻擊所帶來的風險。
而從目前各廠商所推出的防御DDos攻擊解決方案來看,其原理也都大同小異,其中異常流量檢測、異常流量清洗基本屬于必需組件,其他方面各有千秋。
比如,華三在2007年就推出了防御DoS和DDoS攻擊的產品,專門針對運營商和行業(yè)客戶推出了流量清洗運營解決方案。該產品由三部分組成,包括異常流量檢測設備(AFD)、異常流量清洗設備(AFC)和可運營的清洗管理系統(tǒng)。
與華三單獨推出DDos防御解決方案不同,梭子魚則將該功能集成到了Web應用防火墻中。不過,雖然稱為Web應用防火墻,但其功能并非僅停留在防御七層的DDos攻擊上,梭子魚相關負責人在接受采訪時表示,梭子魚Web應用防火墻同樣能夠滿足用戶對四層DDos攻擊的防御需求。
Fortinet最新推出的FortiDDoS B系列產品,在應對DDoS攻擊方面同樣可圈可點。比如,在性能方面,Fortinet自行開發(fā)的FortiASIC-TPTM 芯片(流量處理器),單芯片可處理高達4Gbps的DDoS流量;在功能方面,其通過持續(xù)的流量自學習功能,可以為用戶網絡建立應用流量模型,并針對每種流量制定相應的閾值,對異常流量進行攔截。
另外,Fortinet公司技術工程師韓曄還給出了一些建議。他說,DDoS攻擊通常都由僵尸網絡發(fā)起,如果能從源頭對僵尸網絡進行攔截,將達到事半功倍的效果。而在這方面,Fortinet也有相應的產品線FortiGate,其可通過IP信譽庫、已知僵尸網絡應用程序檢查等方式,從源頭對僵尸網絡進行阻截。
除此之外,山石網科則明確地提出了智能防御DDos攻擊的概念。他們認為,從DDos的攻擊效果來看主要分為兩種,一種是阻塞出口帶寬,另一種則是消耗服務器資源。其中,阻塞出口帶寬只能通過運營商或CDN廠商在遠端引流清洗回注,消耗服務器資源則可以通過在本地部署高性能防火墻進行防御。據悉,目前山石網科高性能防火墻除了能夠做到基于會話數和包速率限制防御各種洪水攻擊、基于特征識別防御各種畸形報文攻擊外,還能支持SYN Cookie智能防御SYN Flood、HTTP Cookie智能防御HTTP Flood(CC)等。
不要覺得DDos攻擊離你還很遠,就像A10 Networks副總裁兼大中華區(qū)總經理蔡所說,“我們無法預知下一次DDos攻擊是在什么時間,黑客在發(fā)起下一波攻擊之前不會提前宣布,因此我們要時刻做好準備。”