- 掛牌上市企業(yè)
- 60秒人工響應(yīng)
- 99.99%連通率
- 7*24h人工
- 故障100倍補(bǔ)償
DDoS拒絕服務(wù)攻擊和安全防范技術(shù) |
| 發(fā)布時(shí)間: 2012/8/12 20:14:12 |
|
一、DDOS拒絕服務(wù)攻擊簡(jiǎn)介“拒絕服務(wù)(Denial-Of-Service)攻擊就是消耗目標(biāo)主機(jī)或者網(wǎng)絡(luò)的資源,從而干擾或者癱瘓其為合法用戶提供的服務(wù)。”國際權(quán)威機(jī)構(gòu)“Security FAQ”給出的定義。 DDOS則是利用多臺(tái)計(jì)算機(jī)機(jī),采用了分布式對(duì)單個(gè)或者多個(gè)目標(biāo)同時(shí)發(fā)起DoS攻擊。其特點(diǎn)是:目標(biāo)是“癱瘓敵人”,而不是傳統(tǒng)的破壞和竊密;利用國際互聯(lián)網(wǎng)遍布全球的計(jì)算機(jī)發(fā)起攻擊,難于追蹤。 目前DDOS攻擊方式已經(jīng)發(fā)展成為一個(gè)非常嚴(yán)峻的公共安全問題,被稱為“黑客終極武器”。但是不幸的是,目前對(duì)付拒絕服務(wù)攻擊的技術(shù)卻沒有以相同的速度發(fā)展,TCP/IP互聯(lián)網(wǎng)協(xié)議的缺陷和無國界性,導(dǎo)致目前的國家機(jī)制和法律都很難追查和懲罰DDOS攻擊者。DDOS攻擊也逐漸與蠕蟲、 Botnet相結(jié)合,發(fā)展成為自動(dòng)化播、集中受控、分布式攻擊的網(wǎng)絡(luò)訛詐工具。據(jù)方正信息安全技術(shù)有限公司的有關(guān)專家介紹,DOS從防御到追蹤,已經(jīng)有了非常多的辦法和理論。比如SynCookie,HIP(History-based IP filtering)、ACC控制等,另外在追蹤方面也提出許多理論方法,比如IP Traceback、ICMP Traceback、Hash-Based IP traceback、Marking等。但目前這些技術(shù)僅能起到緩解攻擊、保護(hù)主機(jī)的作用,要徹底杜絕DDOS攻擊將是一個(gè)浩大的工程技術(shù)問題。 二、攻擊原理 目前DDOS攻擊主要分為兩類:帶寬耗盡型和資源耗盡型。 帶寬耗盡型主要是堵塞目標(biāo)網(wǎng)絡(luò)的出口,導(dǎo)致帶寬消耗不能提供正常的上網(wǎng)服務(wù)。例如常見的Smurf攻擊、UDP Flood攻擊、MStream Flood攻擊等。針對(duì)此類攻擊一般采取的措施就是QoS,在路由器或防火墻上針對(duì)此類數(shù)據(jù)流限制流量,從而保證正常帶寬的使用。單純帶寬耗盡型攻擊較易被識(shí)別,并被丟棄。 資源耗盡型是攻擊者利用服務(wù)器處理缺陷,消耗目標(biāo)服務(wù)器的關(guān)鍵資源,例如CPU、內(nèi)存等,導(dǎo)致無法提供正常服務(wù)。例如常見的Syn Flood攻擊、NAPTHA攻擊等。資源耗盡型攻擊利用系統(tǒng)對(duì)正常網(wǎng)絡(luò)協(xié)議處理的缺陷,使系統(tǒng)難于分辨正常流和攻擊流,導(dǎo)致防范難度較大,是目前業(yè)界最關(guān)注的焦點(diǎn)問題,例如方正SynGate產(chǎn)品就是專門防范此類的產(chǎn)品。 針對(duì)DDOS的攻擊原理,對(duì)DDOS攻擊的防范主要分為三層:Source-end攻擊源端防范、Router-based路由器防范、 Target-end目標(biāo)端防范。其中攻擊端防護(hù)技術(shù)有DDOS工具分析和清除、基于攻擊源的防范技術(shù);骨干網(wǎng)防護(hù)技術(shù)有會(huì)推技術(shù)、IP追蹤技術(shù);目標(biāo)端防護(hù)措施有DDOS攻擊探測(cè)、路由器防范、網(wǎng)關(guān)防范、主機(jī)設(shè)置等方法。 據(jù)方正安全工程師的多次實(shí)踐分析,目標(biāo)端防護(hù)技術(shù)得到最廣泛應(yīng)用。由于目標(biāo)端使被攻擊者,愿意為防護(hù)付出相應(yīng)代價(jià),并且實(shí)施難度也較低。而骨干網(wǎng)防范、攻擊端防范都難于實(shí)施,合作意愿和難度上都有一定程度的問題。 三、綜合防范方法綜述 目前基于目標(biāo)計(jì)算機(jī)系統(tǒng)的防范方法主要三類:網(wǎng)關(guān)防范、路由器防范、主機(jī)防范。 1.網(wǎng)關(guān)防范 網(wǎng)關(guān)防范就是利用專門技術(shù)和設(shè)備在網(wǎng)關(guān)上防范DDOS攻擊,例如用透明橋接入網(wǎng)絡(luò)的方正防火墻或方正黑鯊等硬件產(chǎn)品。網(wǎng)關(guān)防范主要采用的技術(shù)有SynCookie方法、基于IP訪問記錄的HIP方法、客戶計(jì)算瓶頸方法等。 SynCookie方法是在建立TCP連接時(shí),要求客戶端響應(yīng)一個(gè)數(shù)字回執(zhí),來證明自己的真實(shí)性。SynCookie方法解決了目標(biāo)計(jì)算機(jī)系統(tǒng)的半開連接隊(duì)列的有限資源問題,從而成為目前被最廣泛采用的DDOS防范方法,新的SCTP協(xié)議和DCCP協(xié)議也采用了類似的技術(shù)。SynCookie 方法的局限性在于,對(duì)于建立連接的每一個(gè)握手包,都要回應(yīng)一個(gè)響應(yīng)包,即該方法會(huì)產(chǎn)生1:1的響應(yīng)流,會(huì)將攻擊流倍增,極大的浪費(fèi)帶寬資源;此外,當(dāng)分布式拒絕服務(wù)攻擊的發(fā)起者采用隨機(jī)源地址時(shí),SynCookie方法產(chǎn)生的回應(yīng)流的目標(biāo)地址非常發(fā)散,從而會(huì)導(dǎo)致目標(biāo)計(jì)算機(jī)系統(tǒng)及其周邊的路由設(shè)備的路由緩沖資源被耗盡,從而形成新的被攻擊點(diǎn),在實(shí)際的網(wǎng)絡(luò)對(duì)抗中也產(chǎn)生了真實(shí)的路由雪崩事件。 HIP方法采用行為統(tǒng)計(jì)方法區(qū)分攻擊包和正常包,對(duì)所有訪問IP建立信任級(jí)別。當(dāng)發(fā)生DDOS攻擊時(shí),信任級(jí)別高的IP有優(yōu)先訪問權(quán),從而解決了識(shí)別問題。 客戶計(jì)算瓶頸方法則將訪問時(shí)的資源瓶頸從服務(wù)器端轉(zhuǎn)移到客戶端,從而大大提升分布式拒絕服務(wù)攻擊的代價(jià),例如資源訪問定價(jià)方法。客戶計(jì)算瓶頸方法協(xié)議復(fù)雜,需要對(duì)現(xiàn)有操作系統(tǒng)和網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行很大的變動(dòng),這也在很大程度上影響了該方法的可操作性。 綜上所述,網(wǎng)關(guān)防范DDOS技術(shù)能夠有效緩解攻擊壓力,適合被攻擊者的自身防護(hù)。 2.路由器防范 基于骨干路由的防范方法主要有pushback和SIFF方法。但由于骨干路由器一般都有電信運(yùn)營商管理,較難按照用戶要求進(jìn)行調(diào)整;另外,由于骨干路由的負(fù)載過大,其上的認(rèn)證和授權(quán)問題難以解決,很難成為有效的獨(dú)立解決方案。因此,基于骨干路由的方法一般都作為輔助性的追蹤方案,配合其他方法進(jìn)行防范。 基于路由器的ACL和限流是比較有效的防范措施,例如對(duì)特征攻擊包進(jìn)行訪問限制,發(fā)現(xiàn)攻擊者IP的包就丟棄;或者對(duì)異常流量進(jìn)行限制等。也可以打開Intercept模式,由路由器代替服務(wù)器響應(yīng)Syn包,并代表客戶機(jī)建立與服務(wù)器的連接。類似一種SynProxy技術(shù),當(dāng)兩個(gè)連接都成功實(shí)現(xiàn)后,路由器再將兩個(gè)連接透明合并。 四、防范技術(shù)發(fā)展和趨勢(shì) DDOS攻擊的發(fā)展非常快,為增加攻擊威力,目前已經(jīng)采用了許多新攻擊技術(shù):偽造數(shù)據(jù),消除攻擊包特征;綜合利用協(xié)議缺陷和系統(tǒng)處理缺陷;使用多種攻擊包混合攻擊;采用攻擊包預(yù)產(chǎn)生法,提高攻擊速率。目前已經(jīng)出現(xiàn)的攻擊工具在單點(diǎn)情況下能發(fā)起6-7萬個(gè)/秒攻擊包,足以堵塞一個(gè)百兆帶寬的大中型網(wǎng)站。 DDOS防范技術(shù)主要向攻擊追蹤、網(wǎng)關(guān)防范發(fā)展。利用ICMP數(shù)據(jù)包追蹤、或是Burch 和 Cheswick提出的通過標(biāo)志數(shù)據(jù)包來追蹤的方法,都是目前研究的熱點(diǎn)。在骨干網(wǎng)上攻擊追蹤研究的目標(biāo)就是,在攻擊者剛開始發(fā)起攻擊時(shí)就能定位攻擊源,從而阻擋攻擊擴(kuò)散和減輕目標(biāo)損失。而網(wǎng)關(guān)DDOS防范技術(shù)將是未來產(chǎn)品發(fā)展的重點(diǎn),將成為各類網(wǎng)站的DDOS防護(hù)盾牌,目前研究熱點(diǎn)的也是利用行為統(tǒng)計(jì)等方法區(qū)分攻擊包,例如方正黑鯊采用的CIP技術(shù)等。隨著技術(shù)的發(fā)展,網(wǎng)關(guān)DDOS防范產(chǎn)品將得到廣泛的應(yīng)用。 本文出自:億恩科技【www.czbl888.cn】 服務(wù)器租用/服務(wù)器托管中國五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |
0371-60135900
京公網(wǎng)安備41019702002023號(hào)
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
