簡述DDOS防御步驟
DDOS是替代DOS攻擊之后的新型的攻擊方式,DDOS攻擊已經成為了主流的攻擊模式。那么如果企業安全管理員發現企業網絡受到DDOS攻擊時,應該果斷采取措施。那么如何進行DDOS防御呢?本文將為您簡述一下DDOS防御的幾個步驟。
1、首先檢測到有DDOS發生,并了解到victim。
2、Guard發送BGP通告到遠端路由器(在victim的BGP通告設置前綴,并得到比原始BGP通告更高的優先權),表示從遠端路由器到victim有新的路由,并且路由到Guard的loopback interface,所有到victim的都經過附屬路由器轉移到了Guard上。
3、Guard檢查流量,并且清除其中的攻擊流量,然后把安全的流量轉發到附屬路由器上,在回到victim其中核心就是Guard,技術就是白皮書中描述的MVP架構(Multi-Verification Process),也就是下面5個層次過濾(Filtering) :這個模塊包含靜態和動態的DDOS過濾。靜態過濾,攔截non-esse ntial流量,可以是用戶定義的,或者是riverhead默認提供的。動態過濾則基于行為分析和流量的細節分析,通過增加對可疑流量的確認或攔截已經確認的惡意流量,來進行實時更新反欺騙(Anti-Spoofing):這個模塊驗證進入系統的數據包是否被欺騙的。Guard使用了獨有的、有專利的源驗證機制來避免欺騙。也通過一些機制來確認合法流量,消除合法數據包被拋棄異常檢測(Anomaly Recognition):該模塊監視所有沒有被過濾和反欺騙模塊拋棄的流量,將流量同平常紀錄的基線行為進行比較,發現異常。基本原理就是通過模式匹配,區別來自black-hat和合法通訊之間的不同。該原理用來識別攻擊源和類型,而且提出攔截這類流量的指南。
異常檢測包括: 攻擊流量速率大小 包大小和端口的分布 包到達時間的分布 并發流量數 高級協議特征 出、入的速率 流量分類: 源IP 源端口 目的端口 協議類型 連接量(每天、每周) 協議分析(Protocol Analysis):本模塊處理異常檢測中發現的可疑的應用方面的攻擊,比如http攻擊。協議分析也檢測一些協議錯誤行為。
流量限制(Rate Limiting):主要是處理那些消耗太多資源的源頭流量。
所以,實際上最主要的內容就是異常檢測中的統計分析,但是從上面看似乎沒有多少特別的地方,但是,一定有很好的算法。比如FILTER,實際是對付一些很熟悉的有明顯特征的攻擊,反欺騙,就是對付syn flood這樣的,說不定也是一個syn cookie模塊,,但也許有更專利的技術。
協議分析其實應該來說就比較弱了,但可以針對一些常見協議中的特定攻擊,檢測識別一些協議錯誤行為只是協議校驗,這個很簡單。流量限制則就是一種隨機丟包,最無奈的辦法,所以也是最后一個層次了。
因為這個產品主要是作Mitigation的,而不是ip traceback。但是可以判定還是有重要的問題,比如:
1、如何對付真正的bandwidth flood。如果路由器是千兆的,但是,攻擊流量已經占了90%,只流下10%讓合法使用,路由器已經先與Guard開始進行隨機丟包了。(沒辦法,這是所有防御技術的瓶頸)
2、真正的攻擊。真正的攻擊是很難或者無法識別的。比如,基本跟正常形式一樣的,如果和統計數據很接近,那么很難區別出來。還有一些攻擊,比如反射式的郵件攻擊等,這是完全合法的,但是很難分類出來。
【編輯推薦】
