|
|
发表于 2008-10-20 12:00:18
|
显示全部楼层
电子商务网站经常是黑客实施DDoS攻击的对象,其在DDoS防护方面的投资非常有必要。如果一个电子商务网站遭受了DDoS攻击,则在系统无法提供正常服务的时间内,由此引起的交易量下降、广告损失、品牌损失、网站恢复的代价等等,都应该作为其经济损失计算在内,甚至目前有些黑客还利用DDoS攻击对网站进行敲诈勒索,这些都给网站的正常运营带来极大的影响,而DDoS防护措施就可以在很大程度上减小这些损失;另一方面,这些防护措施又避免了遭受攻击的网站购买额外的带宽或是设备,节省了大量重复投资,为客户带来了更好的投资回报率。
对于运营商而言,保证其网络可用性是影响ROI的决定因素。如果运营商的基础网络遭受攻击,那么所有承载的业务都会瘫痪,这必然导致服务质量的下降甚至失效。同时,在目前竞争激烈的运营商市场,服务质量的下降意味着客户资源的流失,尤其是那些高ARPU值的大客户,会转投其他的运营商,这对于运营商而言是致命的打击。所以,有效的DDoS防护措施对于保证网络服务质量有着重要意义。另一方面,对运营商或是IDC而言,DDoS防护不仅仅可以避免业务损失,还能够作为一种增值服务提供给最终用户,这给运营商带来了新的利益增长点,也增强了其行业竞争能力。
DDoS应对之道
虽然目前网络安全产品的种类非常多,但是对于DDoS攻击却一筹莫展。常见的防火墙、入侵检测、路由器等,由于涉及之初就没有考虑相应的DDoS防护,所以无法针对复杂的DDoS攻击进行有效的检测和防护, 所以依靠对现有的产品增加简单的功能或是系统调优等方法只能应付简单的DDoS攻击,对大规模DDoS攻击还是无法提供有效的防护。
(1)增强防御力
对用户而言,首先要增强防御力。使用更大的带宽及提升相关设备的性能是面对DDoS攻击最直接的处理方法。虽然这必定需要耗用一定的资源,但是对于那些将生存寄托于这些在线系统的企业来说,进行这种投入是具备足够理由的。除了对其目标的硬件能力进行增强之外,同样应该充分发挥系统自身的潜能。通过对目标系统的针对性处理,可以有效地放大现有资源的能量。其中,最基本的任务是做好更新补丁的工作,及时使解决一些操作系统的通讯协议堆栈存在的问题。业务系统的健壮性也应该重视,在业务系统开发阶段就应该考虑到对应用型flood攻击的防御能力,如Web网站的架构设计不但要考虑到网站的性能,还要考虑到数据库服务器可承受的连接数,以避免数据库连接耗尽型攻击。
(2)产品选购要点
其次,要充分发挥安全产品的安全功能。发挥防火墙、UTM和IPS甚至路由器的安全功能,根据源目的IP和端口做的访问控制是必要的,防火墙、UTM和IPS上也都有一定的DDoS防御功能,应该尽可能充分的利用。联想网御异常流量管理系统产品经理王伟建议用户使用专业的防DDoS攻击产品。“尽管防火墙、UTM和IPS上也都有一定的DDoS防御功能,但只能解决一部分问题,一般只具有流量型flood防御功能,SYN flood的防御采用SYN代理或Cookie的机制,性能较低,其他抗攻击功能基于简单的统计丢包算法,不能有效区分攻击流量和正常流量。特别是对于应用型flood攻击,一般都不能有效防护。专业的抗DDoS产品具有灵活的部署方式,一般既支持透明接入,也支持旁路模式,当旁路部署时,只有发生攻击时,才把被攻击目标的流量进行牵引,清洗后的流量再送回原有网络,这样就可以不改变用户原先的拓扑结构,而且避免了单点故障,一旦有不可预测的设备故障发生,因为旁路的特点,将不会对网络服务造成中断。而且可以采取针对目标的保护方式,只对目标相关的流量进行牵引和处理,对其他的流量完全没有影响。
在这里,Radware资深技术工程师张向东提示用户可以从三个方面考虑产品选购。首先,用户要注意对攻击的防范。防护设备必须能够在无需人为干预的状态下实时阻止各种不同类型的攻击。需要操作人员检查日志之后来手工设定防范措施的产品,显然无法在网络上出现新型攻击时提供真正的实时防范能力。此外,业务连续性也很重要。防护设备必须提供细致精确的检测和防范措施,在阻止攻击的同时不能影响合法流量。而这一点对于在遭受大量攻击的情况下来保证关键业务应用显得尤为重要。最后,简单的操作必不可少。复杂的配置和不停的维护更改可能会导致错误的配置,最终引起识别错误和误判。为了保证持续稳定的高效防范,防护设备必须尽量避免特征或策略的更新和其他维护措施。
(3)产品部署之道
在产品部署方面,东软网络安全产品营销中心产品经理姚伟栋认为,用户可以从三个方面防范和抵御DDoS攻击:(1)路由器访问控制:采用ACL(Access Control List)过滤能够灵活实现针对源目的IP地址、协议类型、端口号等各种形式的过滤,但同时也存在控制手段粗暴的缺陷,比如可能会为了过滤蠕虫病毒(SQL Slammer)而同时也阻挡了针对SQL Server的正常访问。这就需要有一种可以根据攻击数据包特征提供更细化过滤策略的技术。(2)网关类安全设备过滤:通过防火墙等安全设备所内置的防DDoS功能,对过往流量进行全文查询和特征匹配,对于命中的DDoS流量进行实时过滤。这种技术的缺陷在于,一是检测手段较为机械,只能针对已知DDoS行为进行识别控制,二是处理性能较低,通常不超过1G bps。(3)Flow检测和流量清洗技术:通过Flow技术,利用动态基线和固定阀值两种方式提供异常流量检测服务,其中动态基线和固定阀值分别描述了链路流量分布的“正常”和“异常”。
(4)联合防御策略
防范DDoS攻击不能仅依靠在单个节点部署产品,企业用户和为其提供Internet连接的电信运营商必须密切配合,采取联合防御的策略。作为企业用户需要重点考虑防御针对其关键服务的DDoS攻击,如SYN Flood、UDP DNS Query Flood,此外要特别注意对HTTP Get Flood,CC(Challenge Collapsar,一种专门规避黑洞DDoS防护器的服务层面DDoS方式)等应用层面DDoS攻击的防护,这些攻击仅需要利用自己极少的资源就能够造成对方较大的资源消耗,所以企业用户需要部署如IPS等设备来确保自己服务器,特别是Web和数据库服务器的资源不被这些DDoS攻击耗尽。防御上述攻击,需要采用专用硬件架构,比如基于NP+ASIC+CPU的混合架构,而不是基于Intel的开放架构,因为如果采用X86架构可以防御此类DDoS攻击,则理论上被攻击的服务器也采用了同样的架构,也应该能够防御此类DDoS攻击才对,而事实证明这种设计是失败的。
企业用户可以采取上述措施来保护自己数据中心的服务器免遭攻击,但是却无法有效地防御带宽耗尽型的海量DDOS攻击,如UDP Flood、(M)Stream Flood、ICMP Flood,以及某些Bonet发起的攻击,因为企业用户处于攻击的最下游,这也就是为什么需要企业和运营商采取联合防御策略的原因,理论上如果运营商的在其接入、或者汇聚以及网间互联层面部署了相应的DDoS系统,则到达企业用户数据中心的流量基本都是干净的,因为运营商在源头遏制了DDoS攻击。运营商检测带宽耗尽型的DDoS主要依靠全网流量分析和监测系统来识别异常的流量,然后采用流量监测系统和路由交换、防火墙设备协同工作的方式将异常流量牵引至路由黑洞,使其无法到达攻击目标,运营商在全网部署此类系统需要较大的投入。 |
|
