簡介
防禦DDOS是一個系統工程,現在的DDOS攻擊是分布、協奏更為廣泛的大規模攻擊陣勢,當然其破壞能力也是前所不及的。這也使得DDOS的防範工作變得更加困難。
想僅僅依靠某種系統或高防防流量攻擊服務器防住DDOS是不現實的,可以肯定的是,完全杜絕DDOS目前是不可能的,但通過适當的措施抵禦99.9%的DDOS攻擊是可以做到的,基于攻擊和防禦都有成本開銷的緣故,若通過适當的辦法增強了抵禦DDOS的能力,也就意味着加大了攻擊者的攻擊成本,那麼絕大多數攻擊者将無法繼續下去而放棄,也就相當于成功的抵禦了DDOS攻擊。
近年來随着網絡的不斷普及,流量攻擊在互聯網上的大肆泛濫,DDOS攻擊的危害性不斷升級,面對各種潛在不可預知的攻擊,越來越多的企業顯的不知所措和力不從心。單一的高防防流量攻擊服務器就像一個大功率的防火牆一樣能解決的問題是有限的,而集群式的高防防流量攻擊技術,也不是一般企業所能掌握和使用的。怎麼樣可以确保在遭受DDOS攻擊的條件下,服務器系統能夠正常運行呢或是減輕DDOS攻擊的危害性?
對于企業來講,這個系統工程往往要投入大量的網絡設備、購買大的網絡帶寬,而且還需要把網站做相應的修改,還要配備相關人員去維護,這個工程過完成後,能不能夠抵擋住外部攻擊可能還是未知數。
亞洲數據認為防禦DDOS攻擊應綜合考慮到基于BGP的流量清洗技術的多層面、多角度、多結構的多元立體系安全防護體系的構建和從主動防禦、安全應急、安全管理、物理安全、數據容災幾大體系入手,從而整合“高防服務器”“高防智能DNS”“高防服務器集群”“集群式防火牆架構”“網絡監控系統”“高防智能路由體系”從而實現智能的、完善的、快速響應機制的“一線式”安全防護架構。DDOS防禦不是靠廣告來的,請不要發廣告。
攻擊的三種形式
SYN/ACKFlood攻擊
這種攻擊方法是經典最有效的DDOS方法,可通殺各種系統的網絡服務,主要是通過向受害主機發送大量僞造源IP和源端口的SYN或ACK包,導緻主機的緩存資源被耗盡或忙于發送回應包而造成拒絕服務,由于源都是僞造的故追蹤起來比較困難,缺點是實施起來有一定難度,需要高帶寬的僵屍主機支持。
少量的這種攻擊會導緻主機服務器無法訪問,但卻可以Ping的通,在服務器上用Netstat-na命令會觀察到存在大量的SYN_RECEIVED狀态,大量的這種攻擊會導緻Ping失敗、TCP/IP棧失效,并會出現系統凝固現象,即不響應鍵盤和鼠标。普通防火牆大多無法抵禦此種攻擊。
TCP全連接攻擊
這種攻擊是為了繞過常規防火牆的檢查而設計的,一般情況下,常規防火牆大多具備過濾TearDrop、Land等DOS攻擊的能力,但對于正常的TCP連接是放過的,殊不知很多網絡服務程序(如:IIS、Apache等Web服務器)能接受的TCP連接數是有限的,一旦有大量的TCP連接。
即便是正常的,也會導緻網站訪問非常緩慢甚至無法訪問,TCP全連接攻擊就是通過許多僵屍主機不斷地與受害服務器建立大量的TCP連接,直到服務器的内存等資源被耗盡而被拖跨,從而造成拒絕服務,這種攻擊的特點是可繞過一般防火牆的防護而達到攻擊目的,缺點是需要找很多僵屍主機,并且由于僵屍主機的IP是暴露的,因此容易被追蹤。
刷Script腳本攻擊
這種攻擊主要是針對存在ASP、JSP、PHP、CGI等腳本程序,并調用MSSQLServer、MySQLServer、Oracle等數據庫的網站系統而設計的,特征是和服務器建立正常的TCP連接,并不斷的向腳本程序提交查詢、列表等大量耗費數據庫資源的調用,典型的以小博大的攻擊方法。
一般來說,提交一個GET或POST指令對客戶端的耗費和帶寬的占用是幾乎可以忽略的,而服務器為處理此請求卻可能要從上萬條記錄中去查出某個記錄,這種處理過程對資源的耗費是很大的,常見的數據庫服務器很少能支持數百個查詢指令同時執行,而這對于客戶端來說卻是輕而易舉的,因此攻擊者隻需通過Proxy代理向主機服務器大量遞交查詢指令,隻需數分鐘就會把服務器資源消耗掉而導緻拒絕服務。
常見的現象就是網站慢如蝸牛、ASP程序失效、PHP連接數據庫失敗、數據庫主程序占用CPU偏高。這種攻擊的特點是可以完全繞過普通的防火牆防護,輕松找一些Proxy代理就可實施攻擊,缺點是對付隻有靜态頁面的網站效果會大打折扣,并且有些Proxy會暴露攻擊者的IP地址。
防禦方法簡述
異常流量的清洗過濾:
通過DDOS硬件防火牆對異常流量的清洗過濾,通過數據包的規則過濾、數據流指紋檢測過濾、及數據包内容定制過濾等頂尖技術能準确判斷外來訪問流量是否正常,進一步将異常流量禁止過濾。單台負載每秒可防禦800-927萬個syn攻擊包。
分布式集群防禦:
這是目前網絡安全界防禦大規模DDOS攻擊的最有效辦法。分布式集群防禦的特點是在每個節點服務器配置多個IP地址,并且每個節點能承受不低于10G的DDOS攻擊,如一個節點受攻擊無法提供服務,系統将會根據優先級設置自動切換另一個節點,并将攻擊者的數據包全部返回發送點,使攻擊源成為癱瘓狀态,從更為深度的安全防護角度去影響企業的安全執行決策。
高防智能DNS解析:
高智能DNS解析系統與DDOS防禦系統的完美結合,為企業提供對抗新興安全威脅的超級檢測功能。它颠複了傳統一個域名對應一個鏡像的做法,智能根據用戶的上網路線将DNS解析請求解析到用戶所屬網絡的服務器。同時智能DNS解析系統還有宕機檢測功能,随時可将癱瘓的服務器IP智能更換成正常服務器IP,為企業的網絡保持一個永不宕機的服務狀态。
