應對DDOS攻擊需要“多管齊下”
許多黑客專門破壞或竊取數據,還有不少黑客總是愿意破壞對數據的合法訪問。后者這種對信息可用性的攻擊被稱為DoS攻擊,這種攻擊與竊取信息一樣都會給企業帶來不可估量的損失。
高級DoS攻擊利用受控計算機組成的大型網絡(稱為僵尸網絡),同時從多個不同的地理位置來攻擊一個網站。這種攻擊稱為分布式拒絕服務攻擊(DDoS攻擊)。這種攻擊更陰險,因為我們很難將其通信與正常的網絡通信區分開來。
DDoS基礎
在一個網絡接收的數據超過了它的處理能力時,可能就發生了DDoS攻擊。執行一次成功的攻擊所要求的通信速率依賴于網絡的帶寬,以及保護設備的能力。其結果總是相同的,機器的互聯網連接陷于完全停頓。用戶們無法做任何操作,這就像下班高峰時的交通擁塞一樣。
并非所有的DDoS攻擊都針對網站。“有進取心”的黑客還會針對其它的基礎組件,如企業的DNS控制器等。筆者的一位客戶就曾遭受過DNS擴大攻擊,攻擊者將帶有受害者IP地址的DNS請求作為一個虛假的源發動攻擊。由于DNS響應可以比請求更強大,被欺騙的IP會收到大量的響應。該客戶在高峰時段每隔一段時間就會收到大量的攻擊,這嚴重地影響了該客戶繼續進行業務的能力。
雖然你企業的網絡沒有充足的資源來防御DDoS攻擊,但你可以尋求ISP的幫助。你可以設置網絡過濾器,為攻擊網絡的通信改變路線。在使用這種方法時要小心,因為ISP的首要責任是向所有的客戶提供服務,而不僅僅是某個用戶。
基本防御
首先,建議企業實施基礎架構的風險分析,這是一個很好的開始。例如,匿名攻擊在對許多企業的攻擊中獲得很大成功,這并不是因為攻擊者的工具如何高級,而是因為他們所攻擊的基礎架構本身就漏洞百出。
其次,禁止任何未用的服務,目的是將開放端口的數量最小化,從而減少攻擊者進入和利用已知漏洞的機會。
第三,為所有的軟件打上補丁,保持所有軟件的最新有助于漏洞數量的最少化。
第四,不要太依賴防火墻。防火墻只能阻止來自某些端口的洪水攻擊,但它卻無法防止基于Web的通信進入。
此外,如果禁用了IP廣播,就可以阻止基于ICMP的攻擊,如死亡之ping攻擊。
這些僅是從大體上保護網絡,抵御一般DDoS攻擊的方法,對于一些高級DDoS攻擊,這些措施遠遠不夠。說到專門的DDoS防御,企業不妨使用IP包過濾技術。
包過濾
描述過濾這種技術還是很容易的:判斷進入的數據包,看其是來自合法用戶,還是來自攻擊機器,若來自后者,則丟棄。但實際上實施這種方案并非易事。
企業往往建立能夠阻止非法通信的過濾器。但這種做法的困難在于,如何將攻擊包與合法請求區分開來,而且因為攻擊的目的是摧毀正在掃描通信的設備,數據包的數目如此多,從而造成保護網絡的設備無法應對。建議采用阻止假冒IP包的技術,如基于路由器的過濾,它可以跟蹤進入通信的源地址,一旦發現異常,就認為是欺詐而丟棄。事實上,很容易阻止欺詐,如今的高級攻擊不再使用這種伎倆。現在阻止假冒通信僅是一種簡單技術。#p#
抵制僵尸網絡的攻擊
但新威脅卻更為危險:在受感染的計算機作為僵尸網絡的一部分而協同動作時,數據包的源地址就不再是假冒的了,而是真實的IP地址。
針對僵尸攻擊,有一種更科學的IP過濾方法。這種技術試圖先記住曾經訪問過網站的善意數據包,然后找出惡意數據包,僅準許來自已知源的數據包進入。此時,邊緣路由器參照常用訪問者的IP地址數據庫,如果在通信源中找不到匹配的IP,就丟棄包。
基于歷史記錄的過濾有一個關鍵問題,就是地址數據庫是如何工作的。如果邊緣路由器花費太多的時間才能得到善意地址的列表,而攻擊又正在進行,網絡響應速度就會減少,其造成的效果與攻擊自身又有什么區別呢?
這種過濾還有一個問題:如果攻擊者知道了基于歷史的過濾,為了使僵尸計算機的IP地址合法化,僵尸控制系統很容易在真實攻擊發生之前將僵尸計算機指引到目標網站。這會欺騙過濾系統,使其信任更多的DDoS包,因為攻擊來自“熟悉的”地址。
虛擬路由器和安全設備
除過濾之外,新的DDoS防御技術還可以使用虛擬路由器和基于設備的系統,以此作為接收通信的基本方式,并應用清潔技術來過濾通信。這種自動化的系統將來勢必成為對付DDoS攻擊的重要防御工具,因為可以對基于云和基于虛擬化的系統進行調整,以滿足海量的通信要求。
根除DDoS之路漫漫而修遠,因為互聯網上有太多不安全的機器正在被“僵尸化”。雖然目前對付DDoS攻擊的防御已經很強大,但其針對性往往太強,而DDoS攻擊采取的是“群起而攻之”的戰術。因而,防御必須依靠綜合治理、協同努力。DDoS是IT管理者時刻需要關注的嚴重威脅。
其它方法
還有其它兩種技術可用來保護公司網絡。首先,可以增加網絡帶寬,使其可以簡單地“接收”小型DDoS攻擊的通信。其次,準備第二個網絡連接,你可以將它作為災難恢復計劃的一部分,在遭受攻擊期間,仍可以維持互聯網訪問。
小結
DDoS攻擊正在不斷演化,變得日益強大、隱密,更具針對性且更復雜,它已成為從事電子商務公司的重大威脅。真正有效地對付這種攻擊是一個系統工程,它需要全方位地綜合治理、協同努力,如從法律、技術(不限于IT)、ISP、公司、個人用戶等角度,多管齊下。特別是加強對個人用戶、雇員的教育,養成良好的上網習慣,防止其成為僵尸網絡的幫兇。
【編輯推薦】
