DDoS防范和全局網(wǎng)絡(luò)安全網(wǎng)絡(luò)的應(yīng)對(duì) |
發(fā)布時(shí)間: 2012/5/21 16:57:21 |
作為破壞力較強(qiáng)的黑客攻擊手段,DDoS是一種形式比較特殊的拒絕服務(wù)攻擊。作為一種分布、協(xié)作的大規(guī)模攻擊方式,它往往把受害目標(biāo)鎖定在大型Internet站點(diǎn),例如商業(yè)公司、搜索引擎或政府部門(mén)網(wǎng)站:(mszdt.com)。由于DDoS攻擊的惡劣性(往往通過(guò)利用一批受控制的網(wǎng)絡(luò)終端向某一個(gè)公共端口發(fā)起沖擊,來(lái)勢(shì)迅猛又令人難以防備,具有極大破壞力)難以被偵測(cè)和控制,因此也廣泛受到網(wǎng)絡(luò)安全業(yè)界的關(guān)注。從最初的入侵檢測(cè)系統(tǒng)(IDS)到目前新興的全局安全網(wǎng)絡(luò)體系,在防范DDoS攻擊的過(guò)程中先進(jìn)的網(wǎng)絡(luò)安全措施發(fā)揮作用,使對(duì)抗黑客攻擊的手段日益提升,向著智能化、全局化的方向大步邁進(jìn)。 知己知彼:全面解剖DDoS攻擊 分布式攻擊系統(tǒng)和我們?nèi)粘I钪兴究找?jiàn)慣的客戶(hù)機(jī)/億恩科技服務(wù)器模式非常相象,但是DDoS系統(tǒng)的日趨復(fù)雜性和隱蔽性使人難以發(fā)現(xiàn)。入侵者控制了一些節(jié)點(diǎn),將它們?cè)O(shè)計(jì)成控制點(diǎn),這些控制點(diǎn)控制了Internet大量的億恩科技主機(jī),將它們?cè)O(shè)計(jì)成攻擊點(diǎn),攻擊點(diǎn)中裝載了攻擊程序,正是由這些攻擊點(diǎn)計(jì)算機(jī)對(duì)攻擊目標(biāo)發(fā)動(dòng)的攻擊。DDoS攻擊的前奏是率先攻破一些安全性較差的電腦作為控制點(diǎn)億恩科技主機(jī)。因?yàn)檫@些電腦在標(biāo)準(zhǔn)網(wǎng)絡(luò)服務(wù)程序中存在眾所周知的缺陷,它們還沒(méi)有來(lái)得及打補(bǔ)丁或進(jìn)行系統(tǒng)升級(jí),還有可能是操作系統(tǒng)本身有Bug,這樣的系統(tǒng)使入侵者很容易闖入。 典型的DDoS攻擊包括帶寬攻擊和應(yīng)用攻擊。在帶寬攻擊中,網(wǎng)絡(luò)資源或網(wǎng)絡(luò)設(shè)備被高流量數(shù)據(jù)包所消耗。在應(yīng)用攻擊時(shí),TCP或HTTP資源無(wú)法被用來(lái)處理交易或請(qǐng)求。發(fā)動(dòng)攻擊時(shí),入侵者只需運(yùn)行一個(gè)簡(jiǎn)單的命令,一層一層發(fā)送命令到所有控制的攻擊點(diǎn)上,讓這些攻擊點(diǎn)一齊“開(kāi)炮”——向目標(biāo)傳送大量的無(wú)用的數(shù)據(jù)包,就在這樣的“炮火”下,攻擊目標(biāo)的網(wǎng)絡(luò)帶寬被占滿(mǎn),路由器處理能力被耗盡。而較之一般的黑客攻擊手段來(lái)說(shuō),DDoS的可怕之處有二:一是DDoS利用Internet的開(kāi)放性和從任意源地址向任意目標(biāo)地址提交數(shù)據(jù)包;二是人們很難將非法的數(shù)據(jù)包與合法的數(shù)據(jù)包區(qū)分開(kāi)。 屢戰(zhàn)屢敗:防范手段失效溯源 既然了解DDoS攻擊的起源結(jié)果,為什么還會(huì)讓它如此肆虐呢?平心而論,以往所采用的幾種防御形式的被動(dòng)和片面,是DDoS攻擊難以被遏止的真正原因。 在遭遇DDoS攻擊時(shí),一些用戶(hù)會(huì)選擇直接丟棄數(shù)據(jù)包的過(guò)濾手段。通過(guò)改變數(shù)據(jù)流的傳送方向,將其丟棄在一個(gè)數(shù)據(jù)“黑洞”中,以阻止所有的數(shù)據(jù)流。這種方法的缺點(diǎn)是所有的數(shù)據(jù)流(不管是合法的還是非法的)都被丟棄,業(yè)務(wù)應(yīng)用被中止。數(shù)據(jù)包過(guò)濾和速率限制等措施同樣能夠關(guān)閉所有應(yīng)用,拒絕為合法用戶(hù)提供接入。這樣做的結(jié)果很明顯,就是“因噎廢食”,可以說(shuō)是恰恰滿(mǎn)足了黑客的心愿。 既然“因噎廢食”不可取,那么路由器、防火墻和入侵檢測(cè)系統(tǒng)(IDS)的功效又怎樣呢?從應(yīng)用情況來(lái)看,通過(guò)配置路由器過(guò)濾不必要的協(xié)議可以阻止簡(jiǎn)單的ping攻擊以及無(wú)效的IP地址,但是通常不能有效阻止更復(fù)雜的嗅探攻擊和使用有效IP地址發(fā)起的應(yīng)用級(jí)攻擊。而防火墻可以阻擋與攻擊相關(guān)的特定數(shù)據(jù)流,不過(guò)與路由器一樣,防火墻不具備反嗅探功能,所以防范手段仍舊是被動(dòng)和不可靠的。目前常見(jiàn)的IDS能夠進(jìn)行異常狀況檢測(cè),但它不能自動(dòng)配置,需要技術(shù)水平較高的安全專(zhuān)家進(jìn)行手工調(diào)整,因此對(duì)新型攻擊的反應(yīng)速度較慢,終究不是解決之道。 全局安全:充分遏制DDoS魔爪 深究各種防范措施對(duì)DDoS攻擊束手無(wú)策的原因,變幻莫測(cè)的攻擊來(lái)源和層出不窮的攻擊手段是癥結(jié)所在。為了徹底打破這種被動(dòng)局面,目前業(yè)界領(lǐng)先的網(wǎng)絡(luò)安全技術(shù)廠(chǎng)商已然趨于共識(shí):那就是在網(wǎng)絡(luò)中配置整體聯(lián)動(dòng)的安全體系,通過(guò)軟件與硬件技術(shù)結(jié)合、深入網(wǎng)絡(luò)終端的全局防范措施,以加強(qiáng)實(shí)施網(wǎng)絡(luò)安全管理的能力。 以銳捷網(wǎng)絡(luò)2004年底推出的GSN??全局安全網(wǎng)絡(luò)解決方案為例,它在解決DDoS方面給出了自己獨(dú)特的見(jiàn)解。首先,GSN??在網(wǎng)絡(luò)中針對(duì)所有要求進(jìn)行網(wǎng)絡(luò)訪(fǎng)問(wèn)的行為進(jìn)行統(tǒng)一的注冊(cè),沒(méi)有經(jīng)過(guò)注冊(cè)的網(wǎng)絡(luò)訪(fǎng)問(wèn)行為將不被允許訪(fǎng)問(wèn)網(wǎng)絡(luò)。通過(guò)GSN??安全策略平臺(tái)的幫助,管理員可以有效的了解整個(gè)網(wǎng)絡(luò)的運(yùn)行情況,進(jìn)而對(duì)網(wǎng)絡(luò)中存在的危及安全行為進(jìn)行控制。在具體防范DDoS攻擊的過(guò)程中,每一個(gè)在網(wǎng)絡(luò)中發(fā)生的訪(fǎng)問(wèn)行為都會(huì)被系統(tǒng)檢測(cè)并判斷其合法性,一旦發(fā)覺(jué)這一行為存在安全威脅,系統(tǒng)將自動(dòng)調(diào)用安全策略,采取直接阻止訪(fǎng)問(wèn)、限制該終端訪(fǎng)問(wèn)網(wǎng)絡(luò)區(qū)域(例如避開(kāi)網(wǎng)絡(luò)內(nèi)的核心數(shù)據(jù)或關(guān)鍵服務(wù)區(qū),以及限制訪(fǎng)問(wèn)權(quán)限等)和限制該終端享用網(wǎng)絡(luò)帶寬速率的方式,將DDoS攻擊發(fā)作的危害降到最低。 在終端用戶(hù)的安全控制方面,GSN??能對(duì)所有進(jìn)入網(wǎng)絡(luò)的用戶(hù)系統(tǒng)安全性進(jìn)行評(píng)估,杜絕網(wǎng)絡(luò)內(nèi)終端用戶(hù)成為DDoS攻擊來(lái)源的威脅。從當(dāng)用戶(hù)終端接入網(wǎng)絡(luò)時(shí),安全客戶(hù)端會(huì)自動(dòng)檢測(cè)終端用戶(hù)的安全狀態(tài)。一旦檢測(cè)到用戶(hù)系統(tǒng)存在安全漏洞(未及時(shí)安裝補(bǔ)丁等),用戶(hù)會(huì)從網(wǎng)絡(luò)正常區(qū)域中隔離開(kāi),并自動(dòng)置于系統(tǒng)修復(fù)區(qū)域內(nèi)加以修復(fù),直到完成系統(tǒng)規(guī)定的安全策略,才能進(jìn)入正常的網(wǎng)絡(luò)環(huán)境中。這樣一來(lái),不僅可以杜絕網(wǎng)絡(luò)內(nèi)部各個(gè)終端產(chǎn)生安全隱患的威脅,也使網(wǎng)絡(luò)內(nèi)各個(gè)終端用戶(hù)的訪(fǎng)問(wèn)行為得到了有效控制。通過(guò)在接入網(wǎng)絡(luò)時(shí)進(jìn)行自動(dòng)“健康檢查”,DDoS再也不能潛藏在網(wǎng)絡(luò)中,并利用網(wǎng)絡(luò)內(nèi)的終端設(shè)備發(fā)動(dòng)攻擊了。 對(duì)于用戶(hù)來(lái)說(shuō),正常業(yè)務(wù)的開(kāi)展是最根本的利益所在。隨著人們對(duì)Internet的依賴(lài)性不斷增加,DDoS攻擊的危害性也在不斷加劇。不少安全專(zhuān)家都曾撰文指出:及早發(fā)現(xiàn)系統(tǒng)存在的攻擊漏洞、及時(shí)安裝系統(tǒng)補(bǔ)丁程序,以及不斷提升網(wǎng)絡(luò)安全策略,都是防范DDoS攻擊的有效辦法。而先進(jìn)的全局安全網(wǎng)絡(luò)體系的出現(xiàn),實(shí)現(xiàn)了將系統(tǒng)層面和網(wǎng)絡(luò)層面相結(jié)合來(lái)有效的進(jìn)行安全解決方案的自動(dòng)部署,進(jìn)一步提高了對(duì)于DDoS這類(lèi)“行蹤飄渺”的惡性網(wǎng)絡(luò)攻擊的自動(dòng)防范能力。盡管目前以DDoS為代表的黑客攻擊仍舊氣焰囂張,但是在可以預(yù)見(jiàn)的將來(lái),廣大用戶(hù)手中握緊的安全利刃必定可以斬?cái)郉DoS的魔爪。 本文出自:億恩科技【mszdt.com】 服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |