防御百万级DDoS:如何应对更大规模DDoS攻击
2013-08-23 TechTarget中国 编辑:曾少宁
分布式拒绝服务(DDoS)攻击的规模越来越大。根据供应商Arbor Networks和Akamai Technologies的研究表明,2012年DDoS攻击的平均规模在1.77Gbps左右。来自Prolexic的DDoS攻击数据表明,攻击的平均带宽最高达到48Gbps,与上一季度增幅超过700%。
大多数组织都有近10Gbps的互联网连接。因此,1.77Gbps的DDoS攻击影响并不小,但是仍然在可控范围。现在,DDoS攻击的平均范围已经大幅增长,如果一个组织完全没有准备,那么在遇到攻击时,应急人员甚至完全无法使用互联网连接。
这种情况就发生在2013年3月18日,垃圾邮件过滤公司Spamhaus成为百万级DDoS的攻击目标。互联网服务提供商报告说,攻击的峰值吞吐量达到了300Gbps。不仅单个攻击的吞吐量达到了历史最高值,而且它也发出一个警告:组织必须重新考虑自己的DDoS攻击的防御方法。在本文中,我将回顾DDoS功能的基本概念,然后提出一些建议,帮助企业防御新出现的百万级DDoS攻击。
DDoS攻击的机制
传统的拒绝服务攻击通常是指让信息系统变成无法提供正常服务。这可能包括从断电到数据包淹没等各种手段。DDoS之所以越来越难防御,主要是源于它名称包含的一个内在特性:分布式。DDoS攻击可以针对一个目标在多个位置的多个系统资源,让这些目标系统完全被击垮。
发起DDoS的方法有很多,但是最基本的方法是(也是Spamhaus遇到的那种),攻击者伪装出一个与攻击目标相同的IP地址。然后,攻击者向一些预先选定的DNS服务器发送一个伪装的DNS请求。当DNS服务器接收到DNS请求时,服务器会检查其数据库,然后回复一个表示没有包含欺骗性IP地址的DNS记录的响应消息。因为DNS响应被发送到欺骗IP地址,也就是说攻击者设定的攻击目标会接收到这个DNS响应,因此无法追踪到攻击者来源。专业级DDoS会同时向大量不同位置的NDS服务器发送这样的请求,从而对攻击目标网络造成严重的影响——大部分网络的到达流量处理容量都有一定的上限。
防御百万级DDoS攻击
一旦企业理解了DDoS的攻击方式,他们就必须决定如何应付这种攻击,这是现在几乎不可避免的状况。第一个方法是与一些DDoS防御供应商合作,如Arbor、CloudFlare、Akamai、Prolexic等,这是应对最严重攻击的一个可行方法。这些公司专门研究如何防御和应付可能的恶意流量。然而,如果一个组织没有足够资源购买第三方产品和服务,那么聪明的安全管理员也会采取下面这些步骤,尽量减小DDoS攻击的危害。
首先,安全管理员应该先了解他们组织的互联网连接。正如前提所提到的,一般组织的平均连接带宽为10Gbps,所以管理员一定要谨慎处理,保证他们至少要让自己的产品服务使用其中大部分的可用吞吐量。此外,安全人员还一定将安全需求报告给更高一级的管理人员。即使资源很紧张,也要定期向他们报告前面提到的统计信息,让他们知道现DDoS攻击的普遍性和潜在危害,这是百利而无一害的做法。
此外,无论网络管理员是否遇到过攻击,他们都应该部署一些防御机制,检查所有到达的DNS响应。如果到达的一系列请求以前在本地服务器上从未记录过,那么要丢弃这些数据包,而不要向外部DNS服务器发送不必要的响应,从而避免加重问题。
最后还有一个方法,它有时候可以直接用于解决前面提到的资源缺乏问题。管理员应该考虑更多地将他们的基础架构部署到云上。最初,许多企业是出于节约空间的考虑而不想运营自己的独立数据中心,但是云解决方案现在更多是因为安全考虑而受到关注。
在Spamhaus遇到的攻击中,Spamhaus使用CloudFlare的云服务来减轻DDoS的攻击效果。CloudFlare、Neustar等云服务提供商会在全世界的数据中心宣布一个指定客户的IP地址。这个分散的方法会将DDoS流量分散到不同地理位置上,从而减轻攻击的影响。在出现像Spamhaus遇到的百万级DDoS攻击时,许多组织本身无法处理如此大规模的流量,他们必须向云提供商寻找帮助。
结论
在防御和应对DDoS攻击时,保持警惕是至关重要的。安全管理员必须了解针对互联网系统的最新攻击趋势、策略和流程。各种统计信息表明,百万级DDoS攻击的规模和频率将继续增长,所以要做好防御措施应对最坏的情况,比如Spamhaus遇到的攻击。提前做好准备是缩小DDoS攻击范围和强化潜在攻击目标防御能力的一个重要步骤。