抗拒絕服務攻擊(DDoS):是疏還是堵
DoS攻擊方式有很多種,最基本的DoS攻擊就是利用合理的服務請求來占用過多的服務資源,從而使服務器無法處理合法用戶的指令。
而抗DDoS攻擊系統是針對業務系統的穩定、持續運行以及網絡帶寬的高可用率提供防護能力進行維護。然而,自1999年Yahoo、eBay等電子商務網站遭到拒絕服務攻擊之后,DDoS就成為Internet上一種新興的安全威脅,其危害巨大且防護極為困難。
尤其是隨著黑客技術的不斷發展,DDoS攻擊更是出現了一些新的動向和趨勢:
高負載—DDoS攻擊通過和蠕蟲、Botnet相結合,具有了一定的自動傳播、集中受控、分布式攻擊的特征,由于感染主機數量眾多,所以DDoS攻擊可以制造出高達1G的攻擊流量,對于目前的網絡設備或應用服務都會造成巨大的負載。
復雜度—DDoS攻擊的本身也從原來利用三層/四層協議,轉變為利用應用層協議進行攻擊,如DNS UDP Flood、CC攻擊等。某些攻擊可能流量很小,但是由于協議相對復雜,所以效果非常明顯,而防護難度也很高,如針對網游服務器的CC攻擊,就是利用了網游本身的一些應用協議漏洞。
損失大—DDoS攻擊的危害也發生了一些變化,以往DDoS主要針對門戶網站進行攻擊,如今攻擊對象已經發生了變化。如DNS服務器、VoIP的驗證服務器或網游服務器,互聯網或業務網的關鍵應用都已經成為攻擊的對象,針對這些服務的攻擊,相對于以往會給客戶帶來更大的損失。
疏與堵的博弈
近幾年來,蠕蟲病毒是Internet上最大的安全問題,某些蠕蟲病毒除了具有傳統的特征之外,還嵌入了DDoS攻擊代碼,加之Botnet的出現,黑客可以掌握大量的傀儡主機發動DDoS攻擊,從而導致其流量巨大。在2004年唐山黑客針對北京某知名音樂網站發動的DoS攻擊中,其攻擊流量竟然高達700M,對整個業務系統造成了極大的損失。
目前絕大部分的抗拒絕服務攻擊系統雖然都號稱是硬件產品,但實際上都是架構在X86平臺的服務器或是工控機之上,其關鍵部件都是采用Intel或AMD的通用CPU,運行在經過裁剪的操作系統(通常是Linux或BSD)上,所有數據包解析和防護工作都由軟件完成。由于CPU處理能力以及PCI總線速度的制約,這類產品的處理能力受到了很大的限制,通常這類抗拒絕服務攻擊產品的處理能力最高不會超過80萬pps。
然而,面對DDoS攻擊,傳統X86架構下的DDoS防護設備在性能及穩定性上都很難滿足防護要求,更何況在傳統抗DDoS攻擊方案中,基本上都采用了串聯部署(即:接在防火墻、路由器或交換機與被保護網絡之間)的模式,這種模式存在較多的缺陷:
一方面增加了網絡中的單點故障,同時可能造成性能方面的瓶頸,尤其在攻擊流量和背景流量同時存在的情況下,可能導致設備負載過高,從而影響正常業務的運行;
另一方面,以往的DDoS防護設備和防火墻系統都有著千絲萬縷的聯系,所以其防護功能主要在協議棧的三層/四層實現,這類設備針對目前承載在應用層協議之上的DDoS攻擊防護乏力。
正是因為如此,我們應該從架構上對整個抗拒絕服務攻擊設備進行重新設計,以達到從性能、功能以及穩定性上滿足目前DDoS防護的進一步需要。抗海量拒絕服務攻擊,可謂疏與堵的一場博弈。
DDoS攻擊深深的危害著我們的網絡生活,我們也在嘗試采用各種防護措施。
【編輯推薦】
