簡述DDOS防御步驟
DDOS是替代DOS攻擊之后的新型的攻擊方式,DDOS攻擊已經(jīng)成為了主流的攻擊模式。那么如果企業(yè)安全管理員發(fā)現(xiàn)企業(yè)網(wǎng)絡(luò)受到DDOS攻擊時,應(yīng)該果斷采取措施。那么如何進行DDOS防御呢?本文將為您簡述一下DDOS防御的幾個步驟。
1、首先檢測到有DDOS發(fā)生,并了解到victim。
2、Guard發(fā)送BGP通告到遠(yuǎn)端路由器(在victim的BGP通告設(shè)置前綴,并得到比原始BGP通告更高的優(yōu)先權(quán)),表示從遠(yuǎn)端路由器到victim有新的路由,并且路由到Guard的loopback interface,所有到victim的都經(jīng)過附屬路由器轉(zhuǎn)移到了Guard上。
3、Guard檢查流量,并且清除其中的攻擊流量,然后把安全的流量轉(zhuǎn)發(fā)到附屬路由器上,在回到victim其中核心就是Guard,技術(shù)就是白皮書中描述的MVP架構(gòu)(Multi-Verification Process),也就是下面5個層次過濾(Filtering) :這個模塊包含靜態(tài)和動態(tài)的DDOS過濾。靜態(tài)過濾,攔截non-esse ntial流量,可以是用戶定義的,或者是riverhead默認(rèn)提供的。動態(tài)過濾則基于行為分析和流量的細(xì)節(jié)分析,通過增加對可疑流量的確認(rèn)或攔截已經(jīng)確認(rèn)的惡意流量,來進行實時更新反欺騙(Anti-Spoofing):這個模塊驗證進入系統(tǒng)的數(shù)據(jù)包是否被欺騙的。Guard使用了獨有的、有專利的源驗證機制來避免欺騙。也通過一些機制來確認(rèn)合法流量,消除合法數(shù)據(jù)包被拋棄異常檢測(Anomaly Recognition):該模塊監(jiān)視所有沒有被過濾和反欺騙模塊拋棄的流量,將流量同平常紀(jì)錄的基線行為進行比較,發(fā)現(xiàn)異常。基本原理就是通過模式匹配,區(qū)別來自black-hat和合法通訊之間的不同。該原理用來識別攻擊源和類型,而且提出攔截這類流量的指南。
異常檢測包括: 攻擊流量速率大小 包大小和端口的分布 包到達時間的分布 并發(fā)流量數(shù) 高級協(xié)議特征 出、入的速率 流量分類: 源IP 源端口 目的端口 協(xié)議類型 連接量(每天、每周) 協(xié)議分析(Protocol Analysis):本模塊處理異常檢測中發(fā)現(xiàn)的可疑的應(yīng)用方面的攻擊,比如http攻擊。協(xié)議分析也檢測一些協(xié)議錯誤行為。
流量限制(Rate Limiting):主要是處理那些消耗太多資源的源頭流量。
所以,實際上最主要的內(nèi)容就是異常檢測中的統(tǒng)計分析,但是從上面看似乎沒有多少特別的地方,但是,一定有很好的算法。比如FILTER,實際是對付一些很熟悉的有明顯特征的攻擊,反欺騙,就是對付syn flood這樣的,說不定也是一個syn cookie模塊,,但也許有更專利的技術(shù)。
協(xié)議分析其實應(yīng)該來說就比較弱了,但可以針對一些常見協(xié)議中的特定攻擊,檢測識別一些協(xié)議錯誤行為只是協(xié)議校驗,這個很簡單。流量限制則就是一種隨機丟包,最無奈的辦法,所以也是最后一個層次了。
因為這個產(chǎn)品主要是作Mitigation的,而不是ip traceback。但是可以判定還是有重要的問題,比如:
1、如何對付真正的bandwidth flood。如果路由器是千兆的,但是,攻擊流量已經(jīng)占了90%,只流下10%讓合法使用,路由器已經(jīng)先與Guard開始進行隨機丟包了。(沒辦法,這是所有防御技術(shù)的瓶頸)
2、真正的攻擊。真正的攻擊是很難或者無法識別的。比如,基本跟正常形式一樣的,如果和統(tǒng)計數(shù)據(jù)很接近,那么很難區(qū)別出來。還有一些攻擊,比如反射式的郵件攻擊等,這是完全合法的,但是很難分類出來。
【編輯推薦】
