【51CTO.com 獨家特稿】近日，有媒體報道稱，瑞典40余家媒體網站遭大規模DDoS攻擊，其中一家名叫Adeprimo媒體網站的請求最高時達到40萬次/秒。類似的DDoS攻擊事件在最近時有發生，其實，DDoS攻擊并非什么新鮮玩意。但不可否認的是，它向來都是一件令安全人士很頭痛的事，因為到目前為止，進行DDoS攻擊的防御還是相對比較困難的。

從其攻擊原理上說，傳統基于包過濾的防火墻只能分析每個數據包，及其連接狀態來判斷和阻止DDoS攻擊，所以對于類似SYN-Flood洪水攻擊有一定的防范效果。

但是，現在比較流行的DDoS攻擊手段，越來越多的針對應用層協議漏洞。比如通過分析協議，然后偽造正常數據包發送，甚至干脆模擬正常的數據流，由于防火墻不能分析TCP、UDP，以及http等應用層的協議，所以無法對新型的DDoS攻擊進行有效的防護。

很多DDoS攻擊的目的是讓網絡應用負載過大，導致癱瘓。從攻擊目標上看，只要網絡中的應用服務器存在漏洞，很有可能成為黑客構建僵尸網絡的傀儡機，如有利可圖，還有可能成為DDoS的攻擊目標。

既然傳統的防火墻抵御不住常見的DDoS攻擊，是否有其他技術和產品在抵御DDoS攻擊方面有不錯的表現呢？

Radware公司安全產品市場總監Meyran先生認為有辦法對DDoS攻擊進行有效防御。他認為，通過IPS+基于行為的檢測技術就是眾多方法中的一個。

據Meyran介紹，在IPS針對已知威脅行為進行監測的特征對比引擎基礎上，增加針對未知威脅行為的實時特征引擎，就能夠解決常見的DDoS攻擊問題。他認為，通過異常探測及行為分析，基于行為且自動生成的實時動態特征碼，可防范應用誤用攻擊、服務器蠻力攻擊、應用和網絡淹沒攻擊等非漏洞威脅，甚至零日攻擊。

這在某種意義上說，IPS從簡單針對攻擊特征的簽名檢測轉化為增加了基于漏洞特征的簽名檢測，以及不依靠簽名的攻擊檢測能力，確保了IPS在線速運行的情況下，實現串聯式布局方式的自動攔截和攻擊處理。也避免了傳統IPS由于不能及時更新特征碼而帶來的問題，從而大大提高了網絡的抗攻擊能力。

據Meyran介紹，Radware一直致力于解決這方面問題，并且在業界已經有了很好的證明。據51CTO.com記者了解，前不久，Radware公司推出了基于獨有硬件平臺的新版IPS——DefensePro 5.0。

Meyran表示，與市場上其他IPS的不同之處在于，DefensePro 5.0所包含的是基于IPS特征漏洞的自適應行為分析，能夠有效支持針對新型攻擊的實時、智能防護。這意味著企業在確保正常使用不被中斷的前提下，就能夠有效地攔截諸如DDoS這樣的惡意流量、以及零日漏洞和攻擊，很大程度上保障企業網絡應用的業務連續性。

據記者了解，DefensePro 采用的是多層安全架構，分別檢測和抵抗不同類型的攻擊，確保只有“清潔”流量進入收保護的區域。下面是有關其主要技術特點的描述：

Dosshield實現已知攻擊工具防范：

DefensePro的DoSShield模塊借助高級的取樣機制和基準流量行為監測來識別異常流量，提供了實時的、數千兆位速度 的DoS防范。

該機制會對照DefensePro 攻擊數據庫中的DoS攻擊特征列表（潛在攻擊）來比較流量樣本。一旦達到了某個潛在攻擊的激活閾值，該潛在攻擊的狀態就會變為Currently Active （當前活動），這樣就會使用該潛在攻擊的特征文件來比較各個數據包。如果發現匹配的特征，相應的數據包就會被丟棄。反之，則會將數據包轉發給網絡。
 
借助高級的取樣機制檢測DoS 攻擊，DoSShield只在出現了嚴重帶寬濫用的情況下，才會判斷攻擊的存在，它會外科手術般地采用逐包過濾除去攻擊流量。而當攻擊不再活躍時，DoS Shield也能檢測到相應狀態并停止逐包過濾的操。這樣不僅可實現完全的DoS和DDos 防范能力，而且還保持了大型網絡的高吞吐量。

Dosshield的主要優勢：
監聽和采樣機制，只有在出現嚴重攻擊時才采取防范措施，保證了大型網絡的高性能和高吞吐量；
基于特征碼的防范策略，對正常應用無影響，保持了極低的誤判率。
DoS Shield作為第一道防范體系，負責在抵御已知Flood攻擊的同時傳輸其他流量，而這些其他流量中還可能包含未知的新型攻擊，它們將由第二道防范體系－Behavioral DoS 模塊來實現防護。

Behavioral DoS基于網絡行為模式實現自動攻擊防范：
借助于先進的統計分析、模糊邏輯和新穎的閉環反饋過濾技術，Radware B-DoS 防范模塊能夠自動和提前防范網絡Flood攻擊和高速自我繁殖的病毒，避免危害的發生。

 Radware的自適應Behavioral DoS防范模塊自動學習網絡上的行為模式，建立正常基準，并通過先進的模糊關系邏輯運算判斷背離正常行為的異常流量。

通過概率分析，該模塊使用一系列提取自數據包包頭和負荷的參數，例如ID (packet identification number), TTL (Time to Live), Packet size, DNS 查詢, Packet Checksum值等共17 個參數，來實時定義即時異常流量的特點。為了避免誤判而阻止合法用戶的正常流量，該模塊還會采用“與”“或”邏輯運算來盡量精確攻擊的防范策略。
 
所有上述流程都由DefensePro自動完成，無需人為干預，能夠在數千兆位的網絡環境中精確防范已知攻擊、零日漏洞、Dos/DDos攻擊和自我繁殖網絡蠕蟲。

Behavioral DoS 防護模塊的攻擊檢索機制即不使用特征碼，也不依賴于用戶定義的行為策略和閥值。它還可以自動適應網絡中的正常流量變化，因此它不會影響網絡中的正常應用行為。

Behavioral DoS的主要優勢：
零日漏洞 Dos/DDos的未知攻擊防范，無需認為手工干涉；
對DoS攻擊的完全防范，較低的CPU資源消耗；
自適應的行為判別模式，將誤判率降至最低；
完全自適應功能，無需策略配置，無需維護成本。

綜述：

不管怎么說，事實上，大規模DDoS攻擊是黑客操縱的僵尸網絡所發起的，而隨著僵尸網絡的迅速發展，逐漸成為攻擊行為的基本渠道，成為網絡安全的最大隱患之一。攻擊者既可以利用僵尸網絡發起DDoS 攻擊、發送大量垃圾郵件和傳播惡意代碼等，又可以通過僵尸系統收集受感染主機中用戶的敏感信息或進一步組建成更大的僵尸網絡。

所以對于防御DDoS來說，并不是一人一己之力可以完成的，在51CTO記者看來，我們需要更廣泛的合作，才能在抵御DDoS攻擊的路上走得更遠。