防范DDoS攻击和全局安全的应对能力
![[X]Lazy Eyes's profile photo](http://lh3.googleusercontent.com/a-/ALV-UjV-0qNB58V0CfkkBi1LnPxezGuC8IaJkEyqseH0cMui6xpHQQ=s40-c)
[X]Lazy Eyes
作为破坏力较强的黑客攻击手段,DDoS是一种形式比较特殊的拒绝服务攻击。作为一种分布、协作的大规模攻击方式,它往往把受害目标锁定在Internet站点、数据库服务器等为用户提供网络服务的设备上。由于DDoS攻击的恶劣性(往往通过利用一批受控制的网络终端向某一个公共端口发起冲击,来势迅猛又令人难以防备,具有极大破坏力),因此受到网络安全业界的广泛关注。而网络安全措施从最初的入侵检测系统(IDS)到目前新兴的GSN全局安全网络体系,使对抗黑客攻击的手段日益提升,向着智能化、全局化的方向大步迈进,在防范DDoS攻击的过程中发挥着越来越重要的作用。
知己知彼:全面解剖DDoS攻击
DDoS攻击的原型是采用分布式攻击的方式(客户端/服务器模式),但随着技术的发展,目前的DDoS攻击已经日趋复杂和隐蔽。DDoS攻击的原理是入侵者先控制了一些节点,将它们设计成控制点,这些控制点控制了大量的主机,将它们设计成攻击点,攻击点中
装载了攻击程序,正是由这些攻击点计算机对攻击目标发动的攻击。这种结构使入侵者远离攻击的目标,隐藏了入侵者的具体位置。DDoS攻击的前奏是率先攻破一些安全性较差的电脑作为控制点主机。因为这些电脑在标准网络服务程序中存在众所周知的缺陷,它们还没有来得及打补丁或进行系统升级,还有可能是操作系统本身有Bug。对于这样的系统,入侵者很容易闯入,并将其作为发动攻击的“自动炮台”。
典型的DDoS攻击包括带宽攻击和应用攻击。在带宽攻击中,网络资源或网络设备被高流量数据包所消耗。在应用攻击时,TCP或HTTP资源无法被用来处理交易或请求。发动攻击时,入侵者只需运行一个简单的命令,一层一层发送命令到所有控制的攻击点上,让这些攻击点一齐“开炮”——向目标传送大量的无用的数据包,就在这样的“炮火”下,攻击目标的网络带宽被占满,路由器处理能力被耗尽。而较之一般的黑客攻击手段来说,DDoS的可怕之处有二:一是DDoS利用Internet的开放性和从任意源地址向任意目标地址发送攻击数据包;二是人们很难将非法的数据包与合法的数据包区分开。
屡战屡败:防范手段失效溯源
既然了解DDoS攻击的起源结果,为什么还会让它如此肆虐呢?平心而论,以往所采用的几种防御形式的被动和片面,是DDoS攻击难以被遏止的真正原因。
在遭遇DDoS攻击时,一些用户会选择直接丢弃数据包的过滤手段。通过改变数据流的传送方向,将其丢弃在一个数据“黑洞”中,以阻止所有的数据流。这种方法的缺点是所有的数据流(不管是合法的还是非法的)都被丢弃,业务应用被中止。数据包过滤和速率限制等措施同样能够会所有应用,拒绝为合法用户提供接入。这样做的结果很明显,就是“因噎废食”,可以说是恰恰满足了黑客的心愿。
既然“因噎废食”不可取,那么路由器、防火墙和入侵检测系统(IDS)的功效又怎样呢?从应用情况来看,通过配置路由器过滤不必要的协议可以阻止简单的ping攻击以及使用无效的IP地址发起的应用级攻击,但是通常不能有效阻止更复杂的嗅探攻击和使用有效IP地址发起的应用级攻击。而防火墙可以阻挡与攻击相关的特定数据流,不过与路由器一样,防火墙不具备反嗅探功能,所以防范手段仍旧是被动和不可靠的。目前常见的IDS能够进行异常状况检测,也就是可以发现协议被用作攻击载体的安全事件。如果将IDS与防火墙配合使用的话,即能够自动阻止数据流。但是IDS不能自动配置,需要技术水平较高的安全专家进行手工调整,因此对新型攻击的反应速度较慢,同时常常会产生假的报警信号,使安全防范变得“风声鹤唳”,终究不是解决之道。
全局安全:流水不腐,户枢不蠹
深究各种防范措施对DDoS攻击束手无策的原因,变幻莫测的攻击来源和层出不穷的攻击手段是症结所在。为了彻底打破这种被动局面,目前业界领先的网络安全技术厂商已然趋于共识:那就是在网络中配置全局化的安全防范体系,通过软件与硬件技术结合、深入网络终端并直达核心层的防范措施,加强实施网络安全管理的能力。
在GSN解决方案中,锐捷网络在解决DDoS方面给出了自己独特的见解。
在很多的DdoS安全事件中,很多参与攻击的用户本身并不了解自己的安全状态,如由于没有及时的进行补丁的升级,从而成为了在DdoS攻击中的“无辜攻击者”。在GSN解决方案中,对所有进入网络的用户都要进行系统安全性评估。评估的内容包括系统补丁、安全漏洞修复、相应的杀毒软件联动等。当用户终端接入网络时,安全客户端会根据管理员定义的安全规则来自动检测终端用户的安全状态,一旦检测到用户系统存在安全漏洞(如未及时安装补丁等),用户会从网络正常区域中隔离开,并自动置于系统修复区域内加以修复,直到完成系统规定的安全策略,才能进入正常的网络环境中,通过这样的一个过程能大大降低用户系统被控的可能性。
同时,锐捷GSN解决方案在网络中对所有要求进行网络访问的行为进行统一的注册,通过网络访问行为注册机制,管理员可以有效地了解整个网络的运行情况,并对一些会使网络产生风险的行为进行有效控制。
在具体防范DDoS攻击的过程中,
GSN能及时的捕获到网络的环境变化。一旦检测到网络流量异常,RG-SA安全客户端会自动截取网络流量报文进行分析,进一步采取统一安全策略管理措施,根据既定的DDoS攻击防范策略进行相应的安全规则下发和应用,如根据流量变化采取动态网络带宽分配措施等。这样一来,网络即能够通过对DDoS攻击产生的异常流量及时发现和处理,在真正影响到网络正常流量之前,有效阻断DDoS的数据包冲击或其他未知的网络安全事件。
其次,在很多的DdoS安全事件中,很多参与攻击的用户本身并不了解自己的安全状态,如由于没有及时的进行补丁的升级,从而成为了在DdoS攻击中的“无辜攻击者”。在GSN解决方案中,针对所有进入网络的用户都进行系统安全性评估,评估的内容包括系统补丁、安全漏洞修复,相应的杀毒软件联动等。当用户终端接入网络时,安全客户端会根据管理员定义的安全规则来自动检测终端用户的安全状态,一旦检测到用户系统存在安全漏洞(如未及时安装补丁等),用户会从网络正常区域中隔离开,并自动置于系统修复区域内加以修复,直到完成系统规定的安全策略,才能进入正常的网络环境中。
在成功防范来自内部和外部的DDoS攻击隐患的同时,GSN还会将系统针对此次DDoS攻击所产生的对应安全策略自动匹配到整个网络当中,这些过程会通过E-MAIL、管理日志等方式通知管理员,让他们做到心中有数。而在今后发生同样的攻击行为时,GSN能够自动调用相应的安全策略来处理,以不断强化系统安全性,在防范来源飘忽不定的DDoS攻击时做到“流水不腐,户枢不蠹”。
对于用户来说,正常业务的开展是最根本的利益所在。随着人们对Internet的依赖性不断增加,DDoS攻击的危害性也在不断加剧。不少安全专家都曾撰文指出:及早发现系统存在的攻击漏洞、及时安装系统补丁程序,以及不断提升网络安全策略,都是防范DDoS攻击的有效办法。而先进的全局安全网络体系的出现,将系统层面和网络层面结合起来,有效实现了安全解决方案的自动部署,进一步提高了对于DDoS这类“行踪飘渺”的恶性网络攻击的自动防范能力。尽管目前以DDoS为代表的黑客攻击仍旧气焰嚣张,但是在可以预见的将来,广大用户手中握紧的安全利刃必定可以斩断DDoS的魔爪。