關于冰盾 | 使用條款 | 網站地圖
 
深入淺出分析一下DDOS攻擊及服務器安全防范技術
深入淺出分析一下DDOS攻擊及服務器安全防范技術
作者:冰盾防火墻 網站:www.1604100.live 日期:2014-12-30
 

一、DDOS拒絕服務攻擊簡介“拒絕服務(Denial-Of-Service)攻擊就是消耗目標主機或者網絡的資源,從而干擾或者癱瘓其為合法用戶提供的服務。”國際權威機構“Security FAQ”給出的定義。

DDOS則是利用多臺計算機機,采用了分布式對單個或者多個目標同時發起DoS攻擊。其特點是:目標是“癱瘓敵人”,而不是傳統的破壞和竊密;利用國際互聯網遍布全球的計算機發起攻擊,難于追蹤。

目前DDOS攻擊方式已經發展成為一個非常嚴峻的公共安全問題,被稱為“黑客終極武器”。但是不幸的是,目前對付拒絕服務攻擊的技術卻沒有以相同的 速度發展,TCP/IP互聯網協議的缺陷和無國界性,導致目前的國家機制和法律都很難追查和懲罰DDOS攻擊者。DDOS攻擊也逐漸與蠕蟲、 Botnet相結合,發展成為自動化播、集中受控、分布式攻擊的網絡訛詐工具。據方正信息安全技術有限公司的有關專家介紹,DOS從防御到追蹤,已經有了 非常多的辦法和理論。比如SynCookie,HIP(History-based IP filtering)、ACC控制等,另外在追蹤方面也提出許多理論方法,比如IP Traceback、ICMP Traceback、Hash-Based IP traceback、Marking等。但目前這些技術僅能起到緩解攻擊、保護主機的作用,要徹底杜絕DDOS攻擊將是一個浩大的工程技術問題。

二、攻擊原理

目前DDOS攻擊主要分為兩類:帶寬耗盡型和資源耗盡型。

帶寬耗盡型主要是堵塞目標網絡的出口,導致帶寬消耗不能提供正常的上網服務。例如常見的Smurf攻擊、UDP Flood攻擊、MStream Flood攻擊等。針對此類攻擊一般采取的措施就是QoS,在路由器或防火墻上針對此類數據流限制流量,從而保證正常帶寬的使用。單純帶寬耗盡型攻擊較易 被識別,并被丟棄。

資源耗盡型是攻擊者利用服務器處理缺陷,消耗目標服務器的關鍵資源,例如CPU、內存等,導致無法提供正常服務。例如常見的Syn Flood攻擊、NAPTHA攻擊等。資源耗盡型攻擊利用系統對正常網絡協議處理的缺陷,使系統難于分辨正常流和攻擊流,導致防范難度較大,是目前業界最 關注的焦點問題,例如方正SynGate產品就是專門防范此類的產品。

針對DDOS的攻擊原理,對DDOS攻擊的防范主要分為三層:Source-end攻擊源端防范、Router-based路由器防范、 Target-end目標端防范。其中攻擊端防護技術有DDOS工具分析和清除、基于攻擊源的防范技術;骨干網防護技術有會推技術、IP追蹤技術;目標端 防護措施有DDOS攻擊探測、路由器防范、網關防范、主機設置等方法。

據方正安全工程師的多次實踐分析,目標端防護技術得到最廣泛應用。由于目標端使被攻擊者,愿意為防護付出相應代價,并且實施難度也較低。而骨干網防范、攻擊端防范都難于實施,合作意愿和難度上都有一定程度的問題

三、綜合防范方法綜述

目前基于目標計算機系統的防范方法主要三類:網關防范、路由器防范、主機防范。

1.網關防范

網關防范就是利用專門技術和設備在網關上防范DDOS攻擊,例如用透明橋接入網絡的方正防火墻或方正黑鯊等硬件產品。網關防范主要采用的技術有SynCookie方法、基于IP訪問記錄的HIP方法、客戶計算瓶頸方法等。

SynCookie方法是在建立TCP連接時,要求客戶端響應一個數字回執,來證明自己的真實性。SynCookie方法解決了目標計算機系統的半 開連接隊列的有限資源問題,從而成為目前被最廣泛采用的DDOS防范方法,新的SCTP協議和DCCP協議也采用了類似的技術。SynCookie 方法的局限性在于,對于建立連接的每一個握手包,都要回應一個響應包,即該方法會產生1:1的響應流,會將攻擊流倍增,極大的浪費帶寬資源;此外,當分布 式拒絕服務攻擊的發起者采用隨機源地址時,SynCookie方法產生的回應流的目標地址非常發散,從而會導致目標計算機系統及其周邊的路由設備的路由緩 沖資源被耗盡,從而形成新的被攻擊點,在實際的網絡對抗中也產生了真實的路由雪崩事件。

HIP方法采用行為統計方法區分攻擊包和正常包,對所有訪問IP建立信任級別。當發生DDOS攻擊時,信任級別高的IP有優先訪問權,從而解決了識別問題。

客戶計算瓶頸方法則將訪問時的資源瓶頸從服務器端轉移到客戶端,從而大大提升分布式拒絕服務攻擊的代價,例如資源訪問定價方法??蛻粲嬎闫款i方法協議復雜,需要對現有操作系統和網絡結構進行很大的變動,這也在很大程度上影響了該方法的可操作性。

綜上所述,網關防范DDOS技術能夠有效緩解攻擊壓力,適合被攻擊者的自身防護。

2.路由器防范

基于骨干路由的防范方法主要有pushback和SIFF方法。但由于骨干路由器一般都有電信運營商管理,較難按照用戶要求進行調整;另外,由于骨 干路由的負載過大,其上的認證和授權問題難以解決,很難成為有效的獨立解決方案。因此,基于骨干路由的方法一般都作為輔助性的追蹤方案,配合其他方法進行 防范。

基于路由器的ACL和限流是比較有效的防范措施,例如對特征攻擊包進行訪問限制,發現攻擊者IP的包就丟棄;或者對異常流量進行限制等。也可以打開 Intercept模式,由路由器代替服務器響應Syn包,并代表客戶機建立與服務器的連接。類似一種SynProxy技術,當兩個連接都成功實現后,路 由器再將兩個連接透明合并。

四、防范技術發展和趨勢

DDOS攻擊的發展非???,為增加攻擊威力,目前已經采用了許多新攻擊技術:偽造數據,消除攻擊包特征;綜合利用協議缺陷和系統處理缺陷;使用多種 攻擊包混合攻擊;采用攻擊包預產生法,提高攻擊速率。目前已經出現的攻擊工具在單點情況下能發起6-7萬個/秒攻擊包,足以堵塞一個百兆帶寬的大中型網 站。

DDOS防范技術主要向攻擊追蹤、網關防范發展。利用ICMP數據包追蹤、或是Burch 和 Cheswick提出的通過標志數據包來追蹤的方法,都是目前研究的熱點。在骨干網上攻擊追蹤研究的目標就是,在攻擊者剛開始發起攻擊時就能定位攻擊源, 從而阻擋攻擊擴散和減輕目標損失。而網關DDOS防范技術將是未來產品發展的重點,將成為各類網站的DDOS防護盾牌,目前研究熱點的也是利用行為統計等 方法區分攻擊包,例如方正黑鯊采用的CIP技術等。隨著技術的發展,網關DDOS防范產品將得到廣泛的應用。

 

 
最新內容:
怎樣快速清除郵件病毒[2014-12-29]
內網安全需控制終端[2014-12-29]
WINDOWS無法加入域的問題淺談[2014-12-29]
析防火墻防止分布式拒絕服務攻擊(DDOS)[2014-12-29]
選擇DDoS流量清洗解決方案七大誤區[2014-12-29]
小型DDoS的攻擊與防御[2014-12-29]
相關內容:
时时彩连挂赚钱 新联电子股票 股票价格趋势 股票论坛软件下载 微信股票收费群 股市大盘行情 英国股市实时行情 新三板股票交易规则 股票指数怎么看 京新药业股票 股票投资平台

合作伙伴: 黑基網 補天科技 威盾科技 站長下載 新飛金信 北京電信 ZOL應用下載
中華人民共和國增值電信業務經營許可證京ICP備14024464 公安備案號 京1081234 
版權所有©2003-2014 冰盾防火墻  www.1604100.live 法律聲明
總機:(010)51661195
新联电子股票 股票价格趋势 股票论坛软件下载 微信股票收费群 股市大盘行情 英国股市实时行情 新三板股票交易规则 股票指数怎么看 京新药业股票 股票投资平台