寫在前面的話
對于企業(yè)和組織而言,分布式拒絕服務攻擊(DDoS)不僅是非常痛苦的,而且還會給公司打來巨大的損失。那么我們應該如何防御這種攻擊呢?在此之前,我們可以通過帶外系統(tǒng)或流量清洗中心來抵御DDoS攻擊。但是現(xiàn)在我們又多了一種防御方法,即內(nèi)聯(lián)緩解(inline mitigation),這也是一種可行的自動化解決方案。
DDoS攻擊概述
實際上,DDoS攻擊完全可以被當作“大規(guī)模網(wǎng)絡攻擊”的代名詞。而且在某些特殊的攻擊場景中,攻擊流量可以達到每秒鐘好幾百Gbits,但是這種情況相對來說比較罕見。在大多數(shù)情況下,攻擊者可以用每秒鐘1Gbit(或者更少)的流量來對企業(yè)或組織的網(wǎng)絡系統(tǒng)發(fā)動洪泛攻擊。而且這些攻擊的持續(xù)時間一般不會太長,大多數(shù)DDoS攻擊只會持續(xù)三十分鐘左右。攻擊者可以通過DDoS攻擊來拖垮目標網(wǎng)絡系統(tǒng),而且往往會使整個網(wǎng)絡系統(tǒng)中所有的服務器全部下線。不僅如此,我們通常很難追蹤到攻擊者,而且這種攻擊也沒有什么很明顯的前兆,這也就使得企業(yè)和組織很難去檢測和防御DDoS攻擊。
2015年5月份,安全咨詢機構波耐蒙研究所(Ponemon Institute)發(fā)布了一份針對金融領域的網(wǎng)絡安全威脅分析報告。據(jù)統(tǒng)計,金融機構檢測分布式拒絕服務攻擊平均需要花費27天的時間,然后還需要花13天的時間去消除DDoS攻擊所帶來的影響。
但是,這些攻擊的成本通常也比較高。根據(jù)波耐蒙研究所的另一份調(diào)查報告,DDoS攻擊的平均成本約為一百五十萬美元左右,但是如果公司無法向客戶提供服務的話,公司的實際損失金額一般都會超過DDoS攻擊成本的三倍之多。目前,DDoS攻擊平均每小時的成本約為38美金。所以無論如何,我們都應該考慮一下到底應該如何防御DDoS攻擊了。
內(nèi)聯(lián)vs帶外
在最開始,行業(yè)內(nèi)在防御DDoS攻擊時普遍采用的是帶外DDoS保護。在這種防御機制下,網(wǎng)絡中的設備是獨立于路由器的。路由器負責傳輸來自互聯(lián)網(wǎng)的流量數(shù)據(jù),然后發(fā)送元數(shù)據(jù)樣本,并向設備描述流量數(shù)據(jù)的內(nèi)容。如果系統(tǒng)檢測到了可疑的數(shù)據(jù)包或者探測到了DDoS攻擊的苗頭,那么便會立刻向用戶發(fā)出警報。
與之相反,帶內(nèi)DDoS保護機制需要直接面對所有的通信數(shù)據(jù)流,并且在對流量進行分析和處理的過程中,判斷哪些數(shù)據(jù)包需要丟棄,然后將有效的數(shù)據(jù)包發(fā)送給終端設備或用戶。
內(nèi)聯(lián)系統(tǒng)可以查看到從某個網(wǎng)絡節(jié)點流向另外一個網(wǎng)絡節(jié)點的通信流量,并且可以實時過濾和處理這些網(wǎng)絡流量。相對而言,帶外設備幾乎無法獲取到通信流量的樣本,而且這些數(shù)據(jù)早就已經(jīng)到達目的地址了。
信息安全咨詢公司MWR Infosecurity的安全顧問Nick LeMesurier解釋稱:“雖然帶外流量分析可以允許安全人員在不影響通信數(shù)據(jù)流的情況下來對流量進行更加復雜的分析,但是在檢測到攻擊和防御規(guī)則的實施之間會有一定的時間延遲。”因此,帶外解決方案通常對DDoS攻擊模式反應較慢,而且這種防御機制本身并不會做任何實際的事情,而是會提醒其他的系統(tǒng)來采取相應的防御措施。
Dave Larson是Corero網(wǎng)絡安全公司的首席運營官兼首席技術官,他解釋稱:“部署一個內(nèi)聯(lián)的自動化DDoS攻擊緩解方案將允許安全技術團隊搶在攻擊者的前面,總是領先一步于攻擊者。”
通常情況下,當攻擊流量通過不斷轉發(fā)最終到達帶外DDoS攻擊緩解服務時,網(wǎng)站服務器都已經(jīng)下線超過三十分鐘了,而此時攻擊所造成的損失已經(jīng)無法挽回了?,F(xiàn)在隨著時間的推移和技術的發(fā)展,DDoS不僅變得越來越復雜了,而且攻擊所造成的直接經(jīng)濟損失也在不斷增加。為了應對這一日益嚴峻的安全趨勢,我們就需要設計出一種高效的解決方案。當攻擊發(fā)生時,能夠自動消除惡意流量給網(wǎng)絡系統(tǒng)所帶來的影響,并且能夠允許管理員實時觀測到網(wǎng)絡系統(tǒng)的運行情況。
商業(yè)問題
信息安全咨詢公司ECS的首席技術官Nathan Dornbrook認為:“重定向是帶外系統(tǒng)中的一個關鍵功能。網(wǎng)絡通信流量必須要從路由器重定向至DDoS攻擊防御設備上,這樣防御系統(tǒng)才可以對數(shù)據(jù)包進行深層次地分析。如果你是一家大型公司,而且你有兩家互聯(lián)網(wǎng)服務提供商(ISP)來幫助你進行網(wǎng)絡流量的均衡負載。這往往意味著,如果你想要實現(xiàn)這種“重定向”的話,就必須要求其中一家服務提供商向另外一家服務提供商提供訪問自家網(wǎng)絡核心設施的途徑,而這是業(yè)內(nèi)的一種大忌。”
Nathan Dornbrook警告稱:“如果你允許你的競爭對手去訪問你自家網(wǎng)絡基礎設施中的路由表,這將有可能影響自身網(wǎng)絡服務的穩(wěn)定性。除此之外,這也往往意味著大量的惡意流量將有可能全部進入服務提供商的核心網(wǎng)絡設施中。這對于網(wǎng)絡服務提供商和客戶來說,都是一件無比頭疼的事情。”
處理復雜的攻擊
Dornbrook指出:“隨著技術的進步,內(nèi)聯(lián)緩解方案已經(jīng)逐漸發(fā)展成為一種不錯的選擇了,而且在實現(xiàn)方式上我們也有多種選擇。有的人在進行DDoS攻擊防御時,會使用到內(nèi)容分布網(wǎng)絡(CDN)和流量過濾功能,他們會對網(wǎng)絡通信流量進行過濾,并且將最終的數(shù)據(jù)發(fā)送給你。這種服務雖然也有一定的作用,但是它們更適合網(wǎng)絡規(guī)模較小的客戶使用。”
在這篇關于如何防御DDoS攻擊的文章中,系統(tǒng)與網(wǎng)絡安全協(xié)會(SANS Institute)指出:“基于云的防護服務并不能有效地幫助公司抵御那些“低緩”的DDoS攻擊。因為在這類攻擊中,傳入網(wǎng)絡的數(shù)據(jù)包會慢慢消耗掉服務器資源,并且讓合法數(shù)據(jù)無法得到及時的響應和處理。在這種場景下,攻擊者根本無需對目標網(wǎng)絡進行洪泛攻擊。”
在這類攻擊場景中,攻擊者往往使用的是類似RUDY和Slowloris這樣的黑客工具。這種工具可以通過創(chuàng)建出數(shù)量相對較低(速度也非常慢)的通信請求來慢慢拖垮目標服務器。由于Web服務器對于并發(fā)的連接數(shù)通常都有一定的上限,如果這些惡意連接一直都在嘗試與服務器通信,那么Web服務器的所有可用鏈接都會被惡意鏈接所占用,從而無法接受新的請求,導致拒絕服務。這種攻擊往往都是在網(wǎng)絡棧的應用層(OSI模型的第七層)發(fā)生的。
Nimbus DDoS公司是一家專門幫助客戶研究及模擬DDoS攻擊活動的咨詢企業(yè),該公司的首席執(zhí)行官Andy Shoemaker表示:“針對應用層的攻擊往往是最棘手的,因為它們利用的是系統(tǒng)架構中的設計缺陷。”
結束語
如果你正在設計一種內(nèi)聯(lián)的解決方案,那么你必須要針對網(wǎng)絡系統(tǒng)的流量需求來規(guī)劃整體方案的框架大小。服務器的性能是至關重要的,因為如果內(nèi)聯(lián)解決方案會限制服務器性能的話,那么這個方案可能就會成為網(wǎng)絡流量的瓶頸了。因此,能否正確地管控網(wǎng)絡系統(tǒng)中的數(shù)據(jù)流就顯得十分重要了。
我希望大家的網(wǎng)絡系統(tǒng)不要被這些眼中只有金錢利益的網(wǎng)絡犯罪分子們拖垮。雖然有些人可能只是為了搗亂,但是DDoS所帶來的損失卻是無法挽回的。