這些案例表明,近年來大規模DDoS攻擊呈上升趨勢,影響越來越大。據統計,2008年中國DDoS攻擊的峰值流量甚至達到了40Gps,是壹個省級運營商帶寬的40%。客戶未能訪問,服務質量受損,網絡服務商遭受名譽和金錢的巨大損失。那麽,有沒有什麽技術方案可以徹底解決這個問題呢?
2009年7月的壹天下午,大批遊戲玩家罵罵咧咧地從“綠色網吧”出來,網管立即在門口掛上了“停業”的牌子。“又是這個樣子。玩著玩著突然掉線,重新登錄服務器完全沒有反應。這已經是壹個月內第三次發生了。解決不了就不要做。把門關上就行了。”壹個剛走出網吧的男生在喃喃自語。他把香煙扔在地上,跺著腳。
“沒辦法,我們已經安裝了防火墻,做了專門的網絡維護。我們已經盡力了。黑客攻擊防不勝防,我們對這些攻擊真的很無奈。”網吧老板顯得很無奈。
事實上,“綠色網吧”遭遇了壹輪DDoS攻擊,網速變得極慢,玩家無法正常上網。雖然最終無法查出是誰組織了這次襲擊,但網吧老板懷疑這是不遠處另壹家網吧采取的惡性競爭。
“低投入高收益”的“洪水襲擊”
近年來,隨著互聯網的快速發展和上網人數的不斷增加,DDoS攻擊似乎開始呈現大規模爆發的趨勢。東軟網絡安全產品營銷中心產品經理姚衛東給出了這樣壹組數據:2006年,中國DDoS攻擊的峰值流量只有2.5 GPS,2007年達到24 GPS,2008年達到40 Gbps,每年以2倍以上的速度遞增。“國內某省級電信運營商出口帶寬100 GPS,DDOS攻擊流量占總流量的40%,相當驚人。”他說。2009年8月,推特、臉書和YouTube賬戶也遭到拒絕服務攻擊。據報道,數以百萬計的企業應用正面臨著DDoS攻擊的威脅。
那麽,發動DDoS攻擊的人的目的是什麽呢?他們是怎麽開始的?真的如某些人所說,DDoS攻擊是互聯網上的頑疾,很難防禦嗎?為了搞清楚這些問題,記者走訪了業內幾家知名的信息安全廠商。
“DDoS攻擊大多是為了惡性競爭。比如,網吧為了爭奪客戶資源,有時會采取壹些惡意攻擊手段,導致被攻擊網吧的網絡癱瘓,無法正常運營,給網吧經營者造成直接經濟損失。”神州呂蒙科技有限公司產品營銷經理崔告訴記者。“壹開始,黑客攻擊某個企業,然後勒索錢財;後來演變成壹些公司付錢給這些黑客攻擊另壹個競爭對手,竊取商業機密或者讓對方網絡無法正常工作。”
記者了解到,黑客發起DDoS攻擊時,需要找到大量“肉雞”組成僵屍網絡。通過操縱僵屍網絡,所有的“肉雞”可以壹起攻擊目標,向受害主機發送大量看似合法的網絡數據包,從而造成網絡擁塞或服務器資源耗盡,導致拒絕服務。分布式拒絕服務攻擊壹旦實施,攻擊的網絡數據包就會像洪水壹樣湧向受害主機,從而淹沒合法用戶的網絡數據包,導致合法用戶無法正常訪問。因此,拒絕服務攻擊也被稱為“洪水攻擊”。
姚衛東認為,除了惡意商業競爭導致DDoS攻擊的快速發展,另壹個刺激因素是攻擊的成本越來越低,而收益越來越高。以每只肉雞貢獻1 MPs計算,1,000只肉雞可以達到1 gp。目前圈內最低可以接受的價格是壹個流量1 GPS,時間1小時的攻擊只要2000元到3000元,實際攻擊成本遠低於這個市場價,只有壹些高級攻擊成本。
“比如在網上,買壹只‘肉雞’只需要0.8元人民幣,壹個由1萬只‘肉雞’組成的僵屍網絡只需要8000元,形成的DDoS攻擊流量可以達到10個GPS,從中獲得的商業利益可能達到上億元。”姚衛東說。據了解,現在壹些黑客利用漏洞入侵大型知名遊戲網絡刷數據庫,盜取賬號等級和道具,壹次獲利數百萬元。
防禦性追蹤很難。
DDoS攻擊發起簡單,但防範非常困難,這也是DDoS攻擊在互聯網上被稱為“腫瘤”的重要原因。
到目前為止,防禦DDoS攻擊是非常困難的。“最重要的原因是這種攻擊的特點是利用TCP/IP協議的漏洞。除非不使用TCP/IP協議,否則完全抵禦DDoS攻擊是可能的。”安徽眾信軟件股份有限公司企業發展部總監徐航講解DDoS攻擊的防禦問題。
“黑客巧妙地利用了TCP協議的三次握手,DDoS攻擊使得TCP三次握手中的第三步無法完成,即沒有向服務器發送連接確認信息。”姚衛東說。這樣,服務器無法完成三次握手,但也不會馬上放棄。而是會不斷的再次嘗試,等待壹定的時間後才會放棄未完成的連接,壹般持續30秒到兩分鐘左右。用戶出現連接問題導致服務器的壹個線程等待壹兩分鐘並不是什麽大事,但是如果有人用專門的軟件大量模擬這種情況,後果可想而知。如果服務器壹直在處理大量的半連接信息,消耗了大量的系統資源和網絡帶寬,那麽就不再能夠自由處理普通用戶的正常請求,那麽服務器就無法正常工作。
壹般來說,常見的網絡設備,如防火墻、入侵檢測設備、路由器等。,對DDoS攻擊有壹定的防範作用,但壹旦遇到有組織的大規模攻擊,往往無能為力。而且由於設計上的缺陷,這些設備在面對大量攻擊時很容易首先癱瘓。至於讓步策略或系統優化,只能應對小規模的DDoS攻擊,但仍然無法對大規模的DDoS攻擊提供有效的防護。
另外,雖然黑客也知道發起DDoS攻擊是違法的,但是因為追查的難度,黑客來勢洶洶。崔說,網站被攻擊後,通過網絡追查源頭找到攻擊背後的人是個大問題。通常情況下,黑客會建立很多僵屍網絡,大概國內幾個,國外幾個。這是壹種跳躍式分布,壹下子從國內跳到國外,然後再跳回來。就算妳壹層壹層往下走,也很難找到頂級的僵屍主機。此外,黑客還會把壹個龐大的“肉雞”系統分成很多部分。即使妳找到壹個部分,他們也可以簡單的丟棄,其他部分仍然可以繼續工作。這樣的搜查,即使最終能查出幕後黑手是誰,也要耗費巨大的人力和財力。只有關系到國家重大聲譽或經濟損失,才能徹底追查,壹般情況不了了之。
廠商的方案不壹樣。
目前業界普遍認為沒有100%有效防禦DDoS攻擊。但由於攻擊者要付出比防禦者多得多的資源和努力才有這樣的“動力”,所以積極部署防禦措施仍然可以在很大程度上緩解和抵禦這樣的安全威脅。那麽,可以采取哪些技術措施來預防呢?目前,東軟、華為、賽門鐵克、思科、呂蒙、中新軟件等公司都推出了不同的解決方案。
東軟提出壹種通過流量變化檢測是否受到DDoS攻擊的方法。據姚衛東介紹,東軟的抗DDoS攻擊方式與其他廠商的方案不同。壹般廠商通過特征碼判斷是否被DDoS攻擊,東軟通過異常流量判斷是否被DDoS攻擊。兩者最大的區別在於,前者只能判斷已知的DDoS攻擊,如果攻擊數據庫中沒有攻擊就無法判斷;後者可以判斷和抵禦未知的DDoS攻擊。
對於已經檢測到的DDoS攻擊,東軟采用設置保護線和限制線的處理方式:當設備判斷當前流量異常,發生DDoS攻擊時,將納入流量分析,進入保護線;當流量達到壹定水平觸發限流線時,將采取強制措施限制流量。“東軟的反DDoS攻擊方案主要是針對電信運營商級別的DDoS攻擊,因為電信運營商很容易成為黑客攻擊的目標,被DDoS攻擊後影響會非常大。”姚衛東說,“中小企業的抗DDoS攻擊,可以用防火墻、IPS、UTM來完成。”
華為賽門鐵克安全解決方案部總監吳鵬介紹了華賽的抗DDoS攻擊解決方案,華賽提出了異常流量監控解決方案ATIC。其中心思想是檢測中心發現異常流量時通知管理中心,管理中心控制清洗中心的引流,清洗中心準確區分異常流量和正常流量,丟棄異常流量,重新註入正常流量。其中,管理中心用於集中策略管理和報告呈現,動態控制攻擊流量,消除對網絡結構和網絡性能的影響。
據了解,華賽的抗DDoS設備是針對全網異常流量清洗的分層部署、逐層防護解決方案。該設備采用“NP+多核+分布式”架構,每塊單板可清洗10G DDoS攻擊流量。骨幹網部署的清洗方案側重於帶寬DDoS攻擊流量的清洗;接入端清理方案側重於小流量和應用攻擊,以實現基於業務和帶寬資源的深度防禦。“這樣不僅可以防禦DDoS攻擊,還可以解決非法訪問、安全傳輸、系統安全等問題。”吳鵬強調,華賽的解決方案是多方案解決方案,保證網絡安全。
呂蒙認為,該公司已經基本解決了DDoS攻擊的問題。崔彭雲介紹,抗DDoS攻擊最大的難點是DDoS攻擊的識別和流量清洗,因為DDoS攻擊的很多訪問看起來都是正常的報文。因此,針對這些難點,呂蒙的產品自主研發了識別拒絕服務攻擊的獨特算法,可以有效識別SYN Flood、UDP Flood、UDP DNS查詢Flood、(M)Stream Flood、ICMP Flood、HTTP Get Flood、連接耗盡等常見攻擊,並通過集成機制實時阻斷這些攻擊。“我們的解決方案是將DDoS攻擊攔截在門外,使其無法闖入服務器,過濾正常和異常訪問,從而防止惡意攻擊,保證用戶正常訪問。”崔彭雲總結了呂蒙抗DDoS攻擊解決方案的原理。
眾信軟件主要針對小用戶遇到的DDoS攻擊提出解決方案。采用的方法有:對於TCP協議消息,使用連接跟蹤模塊進行防禦攻擊;對於UDP和ICMP協議報文,流量控制模塊主要用於防禦攻擊。所有進出連接同時被跟蹤和保護,以解決針對TCP協議的各種攻擊。同時,針對不同的端口應用,中國和新加坡還提供了不同的防護手段,使得運行在同壹臺服務器上的不同服務能夠獲得完美的攻擊防護。這可以有效地檢測攻擊,並針對不同的流量觸發不同的保護機制,從而在確保準確性的同時提高效率徐航說。
部署模式是關鍵。
僅僅使用抗DDoS攻擊的產品,並不能完全保護網絡或應用免受DDoS攻擊。這些設備在網絡中的部署方式也非常重要,將直接決定應用的效果。
姚衛東認為,設備部署在不同層級時,抗DDoS攻擊的效果是不壹樣的。他建議設備應該部署在盡可能遠的地方。“比如對於市級運營商網絡,最好在省級出口部署防DDoS攻擊設備;對於跨區域的大型企業網絡,最好在每個互聯網出口部署防DDoS設備,再加上網絡管理,可以降低被攻擊的可能性。”姚衛東說,“對於中小企業來說,目前還沒有引起黑客的註意。針對這種情況,可以使用合適的防火墻、IPS和UTM設備。”
“即使都是運營商網絡反DDoS攻擊,由於運營商為企業提供的帶寬服務類型不同,其針對DDoS攻擊產品的部署方案和部署模式也不同。”吳鵬認為。例如,針對運營商希望保護帶寬資源、緩解MAN出口壓力、清洗基於帶寬的DDoS攻擊的情況,建議部署骨幹網方案:netflow檢測中心+清洗中心+管理中心的動態引流清洗方案;鑒於運營商為企業提供安全寬帶運營的增值服務,建議采用DPI檢測中心+清洗中心+管理中心的動態排水清洗方案。此時要特別註意在企業附近部署設備,保證網絡流量異常時的實時清理。
02
崔指出,針對不同類型的客戶,呂蒙提供了不同的部署方案。對於大型運營商,可以通過系統支持旁路的部署模式牽引DDoS攻擊流量,同時部署多個黑洞設備形成集群,增強系統抵禦大規模DDoS攻擊的能力,保證正常流量的暢通。對於小型企業,可以采用嵌入式部署方案,在遇到異常流量時直接阻斷攻擊,及時保障企業網絡安全。
在談到中小企業抗DDoS攻擊時,中新雙方相關負責人提到,如果對操作系統參數進行設置和優化,也可以提高系統抵禦DDoS攻擊的能力。如果能通過購買負載均衡設備來改變IP、改變域名或者找到攻擊源,是從源頭解決攻擊的最好辦法。但是目前的攻擊壹般都是使用偽造的源地址,並且存在大量的傀儡機,這使得這種方法不可行。因此,中新雙方認為,中小企業自己做好網絡維護和系統清理是最重要的。
雖然安全廠商提出了各種防範DDoS攻擊的設備和解決方案,也提出了部署和實施的關鍵措施,但要從1,000%防範DDoS攻擊似乎非常困難,需要廠商進壹步的技術探索,需要用戶加強網絡檢測和管理,需要政府和公安部門的大力支持,打擊這個“網絡黑社會”集團。壹般來說,DDoS攻擊的防範真的是壹個很大的問題,因為它攻擊的突然性和數據流的無限膨脹。雖然安全廠商提出了相對完善的解決方案,但實際效果還有待市場檢驗。