您的位置: 主页 > 人工智能学家 > 异世逍遥神:预防遭受DDoS威胁

异世逍遥神:预防遭受DDoS威胁

时间: 2018-12-06阅读:

当前DDoS攻击层出不穷,它虽然是网络空间中一种最为简单粗暴的攻击方式,但却让全球大型服务提供商谈虎色变。

当前DDOS攻击层出不穷,它虽然是网络空间中一种最为简单粗暴的攻击方式,但却让全球大型服务提供商谈虎色变。为企业应对未来威胁,助力行业发展,特此列举几个2016年全年中最为严重的DDoS攻击事件以供参考分析。

首先是暴雪受DDoS攻击事件。2016年4月,Lizard Squad组织对暴雪公司战网服务器发起DDoS攻击,包括《星际争霸2》、《魔兽世界》、《暗黑破坏神3》在内的重要游戏作品离线宕机,玩家无法登录。

名为“Poodle Corp”的黑客组织也曾针对暴雪发起多次DDoS攻击,三起事件在8月,还有一起攻击事件在9月。攻击不仅导致战网服务器离线,平台多款游戏均受到影响,包括《守望先锋》、《魔兽世界》、《暗黑3》以及《炉石传说》等,甚至连接主机平台的玩家也遇到了登录困难的问题。

紧接着是Mirai僵尸网络攻击Krebson Security事件。2016年9月20日,安全研究机构KrebsonSecurity遭遇Mirai攻击,当时被认为是有史以来最大的一次网络攻击之一。然而没过多久,法国主机服务供应商OVH也遭到了两次攻击,罪魁祸首同为Mirai。KrebsonSecurity被攻击时流量达到了665GB,而OVH被攻击时总流量则超过了1TB。

Mirai是一个十万数量级别的僵尸网络,由互联网上的物联网设备(网络摄像头等)构 成,8月开始构建,9月出现高潮。攻击者通过猜测设备的默认用户名和口令控制系统,将其纳入到Botnet中,在需要的时候执行各种恶意操作,包括发起DDoS攻击,对互联网造成巨大的威胁。而在美国的互联网环境中造成了巨大影响。

2016年10月21日,提供動态DNS服务的Dyn DNS遭到了大规模DDoS攻击,攻击主要影响其位于美国东区的服务。此次攻击导致许多使用DynDNS服务的网站遭遇访问问题,其中包括GitHub、Twitter、Airbnb、Reddit、Freshbooks、Heroku、SoundCloud、Spotify和Shopify。攻击导致这些网站一度瘫痪,Twitter甚至出现了近24小时无法访问的局面。

而我国的DDoS攻击事件虽没有上述事件那么引人注目,但实际上多家机构也遭受到类似的影响。国内不少历来对DDoS攻击事件采取保守保密处理,并不对外大力宣扬,基本上都倾向于持极力“封锁消息”态度据业内人士爆料,从2009年著名的“7·18”事件—上海出租车牌照拍卖系统遭受DDoS攻击,到中越网络大战,以及南方几个电信大省DNS系统被DDoS攻击严重干扰,国人对于DDoS攻击谈虎色变。

近年来,即便都在加强对DDoS防御的投入,但国内一些大型著名的金融机构也受到DDoS攻击的伤害,虽然在行业内的攻防演习每年都搞,还是出现过南方某知名交易所网站被模拟演习攻击,双“11”某银行信用卡交易系统瘫痪几个小时,银联下属某机构遭受 https类型的DDoS攻击,等等。

就在今年年中,多家证券公司及互联网金融公司又遭受“无敌舰队”组织发起的DDoS攻击勒索,这是继“永恒之蓝”勒索蠕虫攻击事件刚刚平息之后的国内又一起著名的攻击事件。这种巨量DDoS攻击对目前主流的抗DDoS攻击方式提出了严峻的挑战。

据Arbor全球威胁情报系统ATLAS统计,“无敌舰队”攻击时,企业官网被大量的DDoS攻击流量堵塞导致网站无法访问,攻击流量基本在1Gbps~60Gbps不等,攻击时间在20分钟到1个小时左右。勒索者会给企业发送邮件并要求支付10个比特币(当时市值大约18万人民币),如果企业未在规定时间内支付比特币,将增加勒索比特币的额度要求,并将DDoS攻击流量增加到最大1Tbps。

受DDoS攻击影响所及,市场上蕴含 DDoS防御功能的安全设备,一时之间成为抢手货,产品需求瞬间激增。

回顾近年来的DDoS风暴,却有诸多值得深思之处,而过程中遗留的威胁线索,更加让人怵目惊心。

过往的DDoS事件,仅出现流量攻击单一形态,黑客借由大量封包塞爆客户端的最后一公里(Last Mile)与电信骨干,纵然来势凶猛,但一般安全管理者对它较为熟悉,若干专业底蕴较深的人士,也比较懂得防治之道;然而此次DDoS事件有所不同,在流量攻击(Volumetric Attack)之外,惊见针对安全设备的状态耗尽攻击(State Exhaustion Attack)、网页服务的应用层攻击(Application Attack)等先前少见的型态,尤其状态耗尽攻击现身的频率,更堪称三种形态之冠。

DDoS 趋势出现变化更加令人猝不及防

随着攻击形态演变,再搭配这波DDoS事件显露的其他征兆,即可据以分析今后DDoS攻击趋势。

趋势之一是“攻击量不断攀升”,早年黑客动用数十Mbps、甚至1Gbps攻击流量,便能发挥强大杀伤力,但现今用户防御实力升级,黑客也顺势加码,因而在2013年创造史上最大300Gbps攻击流量,2014年更上层楼达到500Gbps,未来再破记录的概率不低。

趋势之二是“攻击复杂度愈来愈高”,如前所述,黑客首次利用单一事件混搭多种攻击形态,例如先发动状态耗尽攻击,接着发动流量攻击,总之不管排列组合如何变化,都足以营造猝不及防之威胁性。

趋势之三则是“攻击频率增加”。以往一年若出现2~3次DDoS攻击,便颇具威胁效果,但如今可能一季时间,就发生高于过去一年总量的攻击事件,特别是银行,从前从未被DDoS攻击者染指,但从2017年第二季度开始,发生于该产业的攻击事件却层出不穷,甚至出现一家家轮流挨打的场景,教人直觉事态不妙。

研究机构所见略同一致提倡多层次防御,面对急速升高的DDoS威胁,企业或机构如何应对?

来自全球各大权威性研究机构的专业建议,其实已点亮指路明灯,因为不管是 Gartner、IDC、Frost & Sullivan、Ovum还是Infonetics,皆不约而同倡议“Layered DDoS Attack Protection”概念,即借由多层次防御手段,达到阻挡DDoS攻击的效果。

细究各大研究机构的见解,可归纳出多层次防御机制理应包含的两个关键组件,其一是驻地端防护设备,另一则是云端清洗服务,二者都很重要且缺一不可。

不少厂商打着防御DDoS的旗号,推出琳琅满目的解决方案,归纳它们处理DDoS攻击流量的手段,大致不脱几个主要“门派”。

第一是内容传递网络(CDN)。许多企业或机构对外提供联机服务的主要门户,无非就是网站,所以有部分用户认为,只要把与端口80或443相关的Web服务置于第三方CDN平台,平时CDN服务供货商会透过Proxy协助响应外来请求,确保联机服务运作如昔,而在遭受DDoS 攻击时,CDN服务商将出手救援,巧妙利用”转进”方式,让用户的Web服务转换跑道至正常主机运行,维持服务不中断。

第二是提供流量清洗服务的区域型电信运营商,标榜就近解决大流量攻击威胁。第三 门派是国际流量清洗中心,因为具备世界级规模,所以能够应付的攻击流量,自然远大过区域型电信运营商。

最后一种门派,是防火墙、入侵防御系统(IPS)、网页应用程序防火墙(WAF)或广域网负载均衡器(WANLinkLoadBalancer)等设备供货商,纷纷利用既有产品基础,增添DDoS防护的附加功能。看来防御实力各擅所长、百家争鸣,令人眼花缭乱。

各大DDoS防护门派全都潜藏先天弱点

只不过,上述各门派都有滞碍难解的弱点,换言之,企业或机构若一味倚赖这些产品或服务,恐将徒留防御缝隙,让黑客有机可乘。

针对CDN,算是蕴藏最多“迷思”的一环。理由之一,运用转进方式闪避DDoS侵袭,对于静态网页极具保护功效,但对于需要与后台实时联机撮合的动态网页,则相对不适用;因为 CDN与后台主机的联机信道中,会充斥大量对话(Session),尽管大多是正常的交易请求,但也不乏恶意流量鱼目混珠,此时谁能挡得下这些恶意流量?

答案是没有!理由之二,只要是金融联机服务,都涉及SSL加解密,所以欲将服务交付予第三方CDN平台执行,必须一并递交私钥,明显有违金融法规,因此对于金融机构,CDN这条路行不通。理由之三,CDN业者仅能协助提供HTTP或HTTPS等相关服务,但企业的关键应用,绝不仅止于这些类型,一旦跳脱HTTP或HTTPS,CDN业者便爱莫能助;而现今越来越多黑客,都锁定目标对象的真实IP发动攻击,并非凭借DNS,如此黑客即可直接攻进企业家门。由此可见,不论非属HTTP(S)服务或遭黑客锁定真实IP,都让CDN业者鞭长莫及,所以只要被打,幸存机会就不大。

至于区域性电信运营商,由于无法主动侦测应用层攻击或状态耗损攻击,再加上即使勉可强过滤攻击流量,但因容量有限,只要容量用尽便无法执行清洗,恐导致后续正常封包,也将被丢弃在“黑洞”之中。

而国际流量清洗中心皆利用海外机房执行清洗任务,迫使用户必须绕一大段路才能接受过滤服务,难免造成延迟(Latency),损及服务质量;且由于国际流量清洗服务多建构在“OnDemand”基础,而非“AlwaysOn”性质,所以用户把流量导向清洗中心的过程,需历经通报时间、路由收敛时间,及清洗中心启动过滤的时间,合计形成约0.5~1个小时空窗期,迫使用户必须中断服务。

谈到防火墙或IPS等设备商提供的附加防御功能,则清一色陷入相同弱点,即是背负“最大连接数限制”这个先天宿命,所以黑客只要针对此弱点穷追猛打,仅需1~2分钟,便可能瘫痪设备功能,使DDoS防护功能消失不见。

善用驻地“滤水器“”发挥预防疾病妙效

看到这里,不免让人忧心,多种防御机制都出了问题,看似没有任何一项可提供完整保护,该如何是好?

用户必须承认,仅靠单一方案不足以解决问题,所以必须借重多层次防御架构,至于个中关键组件的甄选标准,实有必要跳脱绝大多数安全方案(包含上述提及所有产品或服务)所聚焦的“治疗”,转而思考如何借由适当组件的组合运用,及早发挥“预防”效果,毕竟预防重于治疗,是不变的真理。

若以风灾过后的水质问题作为比喻,解决问题之道,即是先在家中装设滤水器,滤除杂质、重金属等有害人体健康的污染物,减少患疾病的概率,但如果无法单靠滤水器有效过滤,便需进入第二层防护机制,委托自来水厂从源头进行过滤。滤水器与自来水厂,其关系好比驻地端防护设备、云端清洗服务。

以DDoS防御方案世界领导厂商ArborNetworks为例,屡次见证用户陷入相同迷思,一般客户认为只要接受云端清洗,便可滤除有害流量,怎料一经架设Arbor的PravailAvailability ProtectionSystem(以下简称APS)设备,仍可从云端清洗过后的“干净”流量,滤出攻击封包,其余约莫1%~3%看似微小流量,更潜藏了夹带PortScan或HostScan等任务的“探子马”,不断刺探目标对象的漏洞,借以描绘日后攻击脚本,危害性甚至高于SYNFlood,而这些“污染物”,都被Arbor设备实时拦阻。

在此前提下,不论如同SYNFlood具有立即侵害性的病菌,或是伺机在人体器官潜伏扩散的有毒探子马,都无法造成显著危害,所以对用户而言,便可靠着此一“预防”机制,让大事化小、小事变无,不会任令小感冒演變成重感冒、肺炎甚至肺癌。

如果尝试入侵的菌种数量过多,超越驻地设备的过滤容量,此时才动用“健保”机制,意即结合后端ArborCloud云端清洗服务,获取必要的医疗资源,借由中央过滤而拦阻这些有害物质。

有效的多层次防御应具备六大特征

综上所述,面对DDoS攻击,有效的多层次防御机制,理当具备六大特征。

第一,驻地端防护设备必须24小时全天候主动侦测各类型DDoS攻击,包括流量攻击、状态耗尽攻击与应用层攻击。

第二,驻地端防护设备只要侦测到攻击流量,皆可立即阻档。

第三,如同前述Arbor设备的实例,必须自动挡下探子马,借此推迟黑客刺探军情的频率,以绝后患。

第四,为了避免出现如同防火墙等设备附加功能的弱点,因此用户务必慎选“无状态表”架构(Stateless Architecture)的防护设备,以免让黑客耗尽连接数量上限而攻击得逞 APS即是典型例子。

第五,用户宜跳脱设备规格的军事竞赛思维,不需过度计较其吞吐流量多大、操作界面多强,而应关注其是否深具智慧,智慧的高低,取决于设备原厂是否有能力搜集大量资料,借由云端大数据分析萃取攻击样本,继而以最快速度产生攻击特征码,终至回馈到前端设备;同样以Arbor为例,它拥有全球95%一线电信运营商客户,通过全世界300多电信运营商合作关系,Arbor的研究中心可以实时接收这些电信运营商提供的样本流量信息,因此Arbor掌握了全球逾四成因特网实时流量信息,拥有最大机会,比竞争对手更快察觉新型攻击样态,从而实时建立指纹知识库(Signature Database),协助用户得以及时侦测并阻档顽强的恶意攻击。

第六,顾名思义,多层次防御理应蕴含一个以上层次,也就是不宜仅靠驻地设备独挑大梁,当APS遭遇难以自力排除的粗鲁的攻击流量,便应在第一时间自动向云端清洗中心主动发送求救讯号,便于远程流量清洗中心缩短执行路由收敛等前置暖身程序,便可及时展开流量过滤;而Arbor Cloud与APS之间,即具備这般紧密互动关系,此外环顾各大云端清洗中心,也仰赖Arbor设备执行过滤任务,相形之下,Arbor彷佛驾驭自己建造的车,更懂得如何让运作效能发挥到淋漓尽致。

不可否认,多数用户都倾向采用便宜产品,或是仅想解决当下危难,秉承“头痛医头、脚痛医脚”原则而采用片段式解决方案,未能通盘思索DDoS防护之道,以致让防御城墙徒留诸多破口。专家建议,欲求有效对抗DDoS,需事先拟妥完整DDoS防护政策,即使无法一步到位,亦可依循既定政策分阶段布建防御工事,切忌只贪图便宜。

上一篇:灭世武修 恒言:周一兵:再出发瞄准“企业级BAT”
下一篇:没有了

相关阅读