558
中電雲集
DDoS拒絕服務攻擊和安全防範技術
一、DDOS拒絕服務攻擊簡介“拒絕服務(Denial-Of-Service)攻擊就是消耗目標主機或者網絡的資源,從而幹擾或者癱瘓其為合法用戶提供的服務。”國際權威機構“Security FAQ”給出的定義。
DDOS則是利用多台計算機機,采用了分布式對單個或者多個目標同時發起DoS攻擊。其特點是:目標是“癱瘓敵人”,而不是傳統的破壞和竊密;利用國際互聯網遍布全球的計算機發起攻擊,難於追蹤。
目前DDOS攻擊方式已經發展成為一個非常嚴峻的公共安全問題,被稱為“黑客終極武器”。但是不幸的是,目前對付拒絕服務攻擊的技術卻沒有以相同的速度發展,TCP/IP互聯網協議的缺陷和無國界性,導致目前的國家機製和法律都很難追查和懲罰DDOS攻擊者。DDOS攻擊也逐漸與蠕蟲、 Botnet相結合,發展成為自動化播、集中受控、分布式攻擊的網絡訛詐工具。據方正信息安全技術有限公司的有關專家介紹,DOS從防禦到追蹤,已經有了非常多的辦法和理論。比如SynCookie,HIP(History-based IP filtering)、ACC控製等,另外在追蹤方麵也提出許多理論方法,比如IP Traceback、ICMP Traceback、Hash-Based IP traceback、Marking等。但目前這些技術僅能起到緩解攻擊、保護主機的作用,要徹底杜絕DDOS攻擊將是一個浩大的工程技術問題。
二、攻擊原理
目前DDOS攻擊主要分為兩類:帶寬耗盡型和資源耗盡型。
帶寬耗盡型主要是堵塞目標網絡的出口,導致帶寬消耗不能提供正常的上網服務。例如常見的Smurf攻擊、UDP Flood攻擊、MStream Flood攻擊等。針對此類攻擊一般采取的措施就是QoS,在路由器或防火牆上針對此類數據流限製流量,從而保證正常帶寬的使用。單純帶寬耗盡型攻擊較易被識別,並被丟棄。
資源耗盡型是攻擊者利用服務器處理缺陷,消耗目標服務器的關鍵資源,例如CPU、內存等,導致無法提供正常服務。例如常見的Syn Flood攻擊、NAPTHA攻擊等。資源耗盡型攻擊利用係統對正常網絡協議處理的缺陷,使係統難於分辨正常流和攻擊流,導致防範難度較大,是目前業界最關注的焦點問題,例如方正SynGate產品就是專門防範此類的產品。
針對DDOS的攻擊原理,對DDOS攻擊的防範主要分為三層:Source-end攻擊源端防範、Router-based路由器防範、 Target-end目標端防範。其中攻擊端防護技術有DDOS工具分析和清除、基於攻擊源的防範技術;骨幹網防護技術有會推技術、IP追蹤技術;目標端防護措施有DDOS攻擊探測、路由器防範、網關防範、主機設置等方法。
據方正安全工程師的多次實踐分析,目標端防護技術得到最廣泛應用。由於目標端使被攻擊者,願意為防護付出相應代價,並且實施難度也較低。而骨幹網防範、攻擊端防範都難於實施,合作意願和難度上都有一定程度的問題
三、綜合防範方法綜述
目前基於目標計算機係統的防範方法主要三類:網關防範、路由器防範、主機防範。
1.網關防範
網關防範就是利用專門技術和設備在網關上防範DDOS攻擊,例如用透明橋接入網絡的方正防火牆或方正黑鯊等硬件產品。網關防範主要采用的技術有SynCookie方法、基於IP訪問記錄的HIP方法、客戶計算瓶頸方法等。
SynCookie方法是在建立TCP連接時,要求客戶端響應一個數字回執,來證明自己的真實性。SynCookie方法解決了目標計算機係統的半開連接隊列的有限資源問題,從而成為目前被最廣泛采用的DDOS防範方法,新的SCTP協議和DCCP協議也采用了類似的技術。SynCookie 方法的局限性在於,對於建立連接的每一個握手包,都要回應一個響應包,即該方法會產生1:1的響應流,會將攻擊流倍增,極大的浪費帶寬資源;此外,當分布式拒絕服務攻擊的發起者采用隨機源地址時,SynCookie方法產生的回應流的目標地址非常發散,從而會導致目標計算機係統及其周邊的路由設備的路由緩衝資源被耗盡,從而形成新的被攻擊點,在實際的網絡對抗中也產生了真實的路由雪崩事件。
HIP方法采用行為統計方法區分攻擊包和正常包,對所有訪問IP建立信任級別。當發生DDOS攻擊時,信任級別高的IP有優先訪問權,從而解決了識別問題。
客戶計算瓶頸方法則將訪問時的資源瓶頸從服務器端轉移到客戶端,從而大大提升分布式拒絕服務攻擊的代價,例如資源訪問定價方法。客戶計算瓶頸方法協議複雜,需要對現有操作係統和網絡結構進行很大的變動,這也在很大程度上影響了該方法的可操作性。
綜上所述,網關防範DDOS技術能夠有效緩解攻擊壓力,適合被攻擊者的自身防護。
2.路由器防範
基於骨幹路由的防範方法主要有pushback和SIFF方法。但由於骨幹路由器一般都有電信運營商管理,較難按照用戶要求進行調整;另外,由於骨幹路由的負載過大,其上的認證和授權問題難以解決,很難成為有效的獨立解決方案。因此,基於骨幹路由的方法一般都作為輔助性的追蹤方案,配合其他方法進行防範。
基於路由器的ACL和限流是比較有效的防範措施,例如對特征攻擊包進行訪問限製,發現攻擊者IP的包就丟棄;或者對異常流量進行限製等。也可以打開Intercept模式,由路由器代替服務器響應Syn包,並代表客戶機建立與服務器的連接。類似一種SynProxy技術,當兩個連接都成功實現後,路由器再將兩個連接透明合並。
四、防範技術發展和趨勢
DDOS攻擊的發展非常快,為增加攻擊威力,目前已經采用了許多新攻擊技術:偽造數據,消除攻擊包特征;綜合利用協議缺陷和係統處理缺陷;使用多種攻擊包混合攻擊;采用攻擊包預產生法,提高攻擊速率。目前已經出現的攻擊工具在單點情況下能發起6-7萬個/秒攻擊包,足以堵塞一個百兆帶寬的大中型網站。
DDOS防範技術主要向攻擊追蹤、網關防範發展。利用ICMP數據包追蹤、或是Burch 和 Cheswick提出的通過標誌數據包來追蹤的方法,都是目前研究的熱點。在骨幹網上攻擊追蹤研究的目標就是,在攻擊者剛開始發起攻擊時就能定位攻擊源,從而阻擋攻擊擴散和減輕目標損失。而網關DDOS防範技術將是未來產品發展的重點,將成為各類網站的DDOS防護盾牌,目前研究熱點的也是利用行為統計等方法區分攻擊包,例如方正黑鯊采用的CIP技術等。隨著技術的發展,網關DDOS防範產品將得到廣泛的應用。
最後更新:2017-01-04 22:34:55