抗拒絕服務(wù)攻擊(DDoS):是疏還是堵
DoS攻擊方式有很多種,最基本的DoS攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源,從而使服務(wù)器無法處理合法用戶的指令。
而抗DDoS攻擊系統(tǒng)是針對業(yè)務(wù)系統(tǒng)的穩(wěn)定、持續(xù)運行以及網(wǎng)絡(luò)帶寬的高可用率提供防護能力進行維護。然而,自1999年Yahoo、eBay等電子商務(wù)網(wǎng)站遭到拒絕服務(wù)攻擊之后,DDoS就成為Internet上一種新興的安全威脅,其危害巨大且防護極為困難。
尤其是隨著黑客技術(shù)的不斷發(fā)展,DDoS攻擊更是出現(xiàn)了一些新的動向和趨勢:
高負載—DDoS攻擊通過和蠕蟲、Botnet相結(jié)合,具有了一定的自動傳播、集中受控、分布式攻擊的特征,由于感染主機數(shù)量眾多,所以DDoS攻擊可以制造出高達1G的攻擊流量,對于目前的網(wǎng)絡(luò)設(shè)備或應(yīng)用服務(wù)都會造成巨大的負載。
復雜度—DDoS攻擊的本身也從原來利用三層/四層協(xié)議,轉(zhuǎn)變?yōu)槔脩?yīng)用層協(xié)議進行攻擊,如DNS UDP Flood、CC攻擊等。某些攻擊可能流量很小,但是由于協(xié)議相對復雜,所以效果非常明顯,而防護難度也很高,如針對網(wǎng)游服務(wù)器的CC攻擊,就是利用了網(wǎng)游本身的一些應(yīng)用協(xié)議漏洞。
損失大—DDoS攻擊的危害也發(fā)生了一些變化,以往DDoS主要針對門戶網(wǎng)站進行攻擊,如今攻擊對象已經(jīng)發(fā)生了變化。如DNS服務(wù)器、VoIP的驗證服務(wù)器或網(wǎng)游服務(wù)器,互聯(lián)網(wǎng)或業(yè)務(wù)網(wǎng)的關(guān)鍵應(yīng)用都已經(jīng)成為攻擊的對象,針對這些服務(wù)的攻擊,相對于以往會給客戶帶來更大的損失。
疏與堵的博弈
近幾年來,蠕蟲病毒是Internet上最大的安全問題,某些蠕蟲病毒除了具有傳統(tǒng)的特征之外,還嵌入了DDoS攻擊代碼,加之Botnet的出現(xiàn),黑客可以掌握大量的傀儡主機發(fā)動DDoS攻擊,從而導致其流量巨大。在2004年唐山黑客針對北京某知名音樂網(wǎng)站發(fā)動的DoS攻擊中,其攻擊流量竟然高達700M,對整個業(yè)務(wù)系統(tǒng)造成了極大的損失。
目前絕大部分的抗拒絕服務(wù)攻擊系統(tǒng)雖然都號稱是硬件產(chǎn)品,但實際上都是架構(gòu)在X86平臺的服務(wù)器或是工控機之上,其關(guān)鍵部件都是采用Intel或AMD的通用CPU,運行在經(jīng)過裁剪的操作系統(tǒng)(通常是Linux或BSD)上,所有數(shù)據(jù)包解析和防護工作都由軟件完成。由于CPU處理能力以及PCI總線速度的制約,這類產(chǎn)品的處理能力受到了很大的限制,通常這類抗拒絕服務(wù)攻擊產(chǎn)品的處理能力最高不會超過80萬pps。
然而,面對DDoS攻擊,傳統(tǒng)X86架構(gòu)下的DDoS防護設(shè)備在性能及穩(wěn)定性上都很難滿足防護要求,更何況在傳統(tǒng)抗DDoS攻擊方案中,基本上都采用了串聯(lián)部署(即:接在防火墻、路由器或交換機與被保護網(wǎng)絡(luò)之間)的模式,這種模式存在較多的缺陷:
一方面增加了網(wǎng)絡(luò)中的單點故障,同時可能造成性能方面的瓶頸,尤其在攻擊流量和背景流量同時存在的情況下,可能導致設(shè)備負載過高,從而影響正常業(yè)務(wù)的運行;
另一方面,以往的DDoS防護設(shè)備和防火墻系統(tǒng)都有著千絲萬縷的聯(lián)系,所以其防護功能主要在協(xié)議棧的三層/四層實現(xiàn),這類設(shè)備針對目前承載在應(yīng)用層協(xié)議之上的DDoS攻擊防護乏力。
正是因為如此,我們應(yīng)該從架構(gòu)上對整個抗拒絕服務(wù)攻擊設(shè)備進行重新設(shè)計,以達到從性能、功能以及穩(wěn)定性上滿足目前DDoS防護的進一步需要。抗海量拒絕服務(wù)攻擊,可謂疏與堵的一場博弈。
DDoS攻擊深深的危害著我們的網(wǎng)絡(luò)生活,我們也在嘗試采用各種防護措施。
【編輯推薦】
