分布式拒絕服務(DDoS)攻擊的規(guī)模越來越大��。根據(jù)供應商Arbor Networks和Akamai Technologies的研究表明��,2012年DDoS攻擊的平均規(guī)模在1.77Gbps左右���。來自Prolexic的DDoS攻擊數(shù)據(jù)表明���,攻擊的平均帶寬最高達到48Gbps,與上一季度增幅超過700%��。
大多數(shù)組織都有近10Gbps的互聯(lián)網(wǎng)連接��。因此�����,1.77Gbps的DDoS攻擊影響并不小����,但是仍然在可控范圍。現(xiàn)在����,DDoS攻擊的平均范圍已經(jīng)大幅增長,如果一個組織完全沒有準備����,那么在遇到攻擊時,應急人員甚至完全無法使用互聯(lián)網(wǎng)連接�。
這種情況就發(fā)生在2013年3月18日����,垃圾郵件過濾公司Spamhaus成為百萬級DDoS的攻擊目標?����;ヂ?lián)網(wǎng)服務提供商報告說,攻擊的峰值吞吐量達到了300Gbps����。不僅單個攻擊的吞吐量達到了歷史最高值,而且它也發(fā)出一個警告:組織必須重新考慮自己的DDoS攻擊的防御方法���。在本文中����,我將回顧DDoS功能的基本概念,然后提出一些建議�����,幫助企業(yè)防御新出現(xiàn)的百萬級DDoS攻擊��。
DDoS攻擊的機制
傳統(tǒng)的拒絕服務攻擊通常是指讓信息系統(tǒng)變成無法提供正常服務。這可能包括從斷電到數(shù)據(jù)包淹沒等各種手段�����。DDoS之所以越來越難防御�����,主要是源于它名稱包含的一個內(nèi)在特性:分布式���。DDoS攻擊可以針對一個目標在多個位置的多個系統(tǒng)資源��,讓這些目標系統(tǒng)完全被擊垮�。
發(fā)起DDoS的方法有很多�����,但是最基本的方法是(也是Spamhaus遇到的那種)����,攻擊者偽裝出一個與攻擊目標相同的IP地址。然后�,攻擊者向一些預先選定的DNS服務器發(fā)送一個偽裝的DNS請求。當DNS服務器接收到DNS請求時�,服務器會檢查其數(shù)據(jù)庫,然后回復一個表示沒有包含欺騙性IP地址的DNS記錄的響應消息�。因為DNS響應被發(fā)送到欺騙IP地址,也就是說攻擊者設定的攻擊目標會接收到這個DNS響應,因此無法追蹤到攻擊者來源���。專業(yè)級DDoS會同時向大量不同位置的NDS服務器發(fā)送這樣的請求����,從而對攻擊目標網(wǎng)絡造成嚴重的影響——大部分網(wǎng)絡的到達流量處理容量都有一定的上限�。
防御百萬級DDoS攻擊
一旦企業(yè)理解了DDoS的攻擊方式,他們就必須決定如何應付這種攻擊�,這是現(xiàn)在幾乎不可避免的狀況。第一個方法是與一些DDoS防御供應商合作���,如Arbor�����、CloudFlare����、Akamai���、Prolexic等�����,這是應對最嚴重攻擊的一個可行方法���。這些公司專門研究如何防御和應付可能的惡意流量��。然而�����,如果一個組織沒有足夠資源購買第三方產(chǎn)品和服務,那么聰明的安全管理員也會采取下面這些步驟�,盡量減小DDoS攻擊的危害。
首先����,安全管理員應該先了解他們組織的互聯(lián)網(wǎng)連接����。正如前提所提到的����,一般組織的平均連接帶寬為10Gbps�����,所以管理員一定要謹慎處理����,保證他們至少要讓自己的產(chǎn)品服務使用其中大部分的可用吞吐量。此外�,安全人員還一定將安全需求報告給更高一級的管理人員��。即使資源很緊張�,也要定期向他們報告前面提到的統(tǒng)計信息,讓他們知道現(xiàn)DDoS攻擊的普遍性和潛在危害�����,這是百利而無一害的做法��。
此外���,無論網(wǎng)絡管理員是否遇到過攻擊�����,他們都應該部署一些防御機制���,檢查所有到達的DNS響應��。如果到達的一系列請求以前在本地服務器上從未記錄過,那么要丟棄這些數(shù)據(jù)包�,而不要向外部DNS服務器發(fā)送不必要的響應,從而避免加重問題��。
最后還有一個方法�,它有時候可以直接用于解決前面提到的資源缺乏問題����。管理員應該考慮更多地將他們的基礎架構部署到云上�。最初��,許多企業(yè)是出于節(jié)約空間的考慮而不想運營自己的獨立數(shù)據(jù)中心��,但是云解決方案現(xiàn)在更多是因為安全考慮而受到關注��。
在Spamhaus遇到的攻擊中����,Spamhaus使用CloudFlare的云服務來減輕DDoS的攻擊效果。CloudFlare��、Neustar等云服務提供商會在全世界的數(shù)據(jù)中心宣布一個指定客戶的IP地址�����。這個分散的方法會將DDoS流量分散到不同地理位置上�����,從而減輕攻擊的影響����。在出現(xiàn)像Spamhaus遇到的百萬級DDoS攻擊時�����,許多組織本身無法處理如此大規(guī)模的流量��,他們必須向云提供商尋找?guī)椭?/p>
結論
在防御和應對DDoS攻擊時�����,保持警惕是至關重要的����。安全管理員必須了解針對互聯(lián)網(wǎng)系統(tǒng)的最新攻擊趨勢�、策略和流程。各種統(tǒng)計信息表明��,百萬級DDoS攻擊的規(guī)模和頻率將繼續(xù)增長�����,所以要做好防御措施應對最壞的情況,比如Spamhaus遇到的攻擊��。提前做好準備是縮小DDoS攻擊范圍和強化潛在攻擊目標防御能力的一個重要步驟��。
當前題目:防御百萬級DDoS:如何應對更大規(guī)模DDoS攻擊
網(wǎng)頁鏈接:
http://uogjgqi.cn/article/copdgeo.html
