最近对ddos攻击进行了基本的调查,对DDOS攻击的原因及其检测和防御系统有了一些粗浅的了解。本文的关键在于对传统网络结构下城域网自然环境中DDOS攻击的一些思考。
DDOS攻击的原因及已知攻击的防御措施
DDOS攻击与其他非常复杂的互联网攻击相比,除了攻击方法的应用,更是对资源的极大竞争,即服务器带宽资源和server空。在资源不足的情况下,防御DDOS攻击就是空洞。所以现阶段防御DDOS攻击的关键还是靠硬件配置的安全防护,手机软件的安全防护作用并不大。
DDOS攻击无法防御的关键原因是系统漏洞太多,攻击手段太多。在互联网数据传输全过程使用的OSI七层网络模型中,每一层大部分都有可以被DDOS攻击利用的协议。根据DDOS攻击使用的协议的互联网级别,现阶段已知的DDOS攻击类型和防御措施总结在表1-3中。关于今天DDOS攻击防御的更多详细信息,请参考华为手机DDOS防御总结贴。
表1
表2
表3
DDOS攻击的关键在传输层,其最明显的特点是推送大量攻击数据文件,消耗服务器带宽资源,危及所有正常客户的浏览。如今,传输层DDOS攻击的检测和防御技术已经很完善,一些新的攻击方式——网络层DDOS攻击也出现了。与传输层的DDOS攻击不同,网络层的DDOS攻击大多模仿合理合法客户的浏览个人行为。在整个数据传输过程中不容易造成很多攻击数据文件,但是会根据数据库等很多实际 *** 作消耗网络服务器的资源,检测难度更大。根据攻击方法的不同,DDOS攻击包括一般的洪泛攻击,也包括扩大反射面攻击。这种攻击通常以合理合法的网络服务器为波导,向攻击的整体目标推送大量数据文件,造成更大的危害。目前,针对DNS网络服务器的DDOS攻击也普遍存在。攻击者通常会向DNS服务器发送虚假的网站域名,消耗DNS服务器空之间的时间。另外,由于DNS网络服务器有递归查询系统,所以对DNS网络服务器的DDOS攻击危害很大。
除了各种攻击手段之外,DDOS攻击中通常使用虚假源IP,这也是DDOS攻击无法防御的原因之一。
城域网中DDOS攻击的检测与防御
DDOS攻击的检测和防御应该作为一个整体的系统软件来考虑,应该从攻击前、攻击中、攻击后三个不同的环节来进行。
攻击前:对已知类型的攻击采取有效的防御措施,如改变服务器参数、设置代理等。
当攻击发生时:清理流量并过滤攻击数据包。
攻击后:分析攻击原因,准确定位攻击源。
在以上三个环节中,进攻无疑是最重要的一环。对于DDOS攻击,最好的防御措施是在及早发现攻击的前提下,快速过滤攻击包,保证客户合理合法的浏览。目前对于DDOS攻击,安全企业的关键方式是清理流量。通用流量清理框架如图1所示。
图1
在该框架中,首先根据分光计或反射镜系统收集数据文件进行攻击检测。然后攻击检测控制模块使用检测优化算法进行攻击检测。虽然学术界有深度包分析(DPI)、深度/动态流量检测(DFI)等多种利用深度学习基本原理的攻击检测方法,但从工程项目的高效性来看,构建流量实体模型、设置安全阈值或安全基线应该是最高效的方式。虽然DDOS攻击有很多种,但它们的目的都很独特——消耗资源。因此,在攻击检测中,DDOS攻击的类型并不重要,重要的是DDOS攻击是否发生。现阶段。即使选择设置流量阈值的攻击检测方法,在很多业务流程中仍然会遇到如何设置有效流量阈值的问题。
如果检测到攻击,管理处将启动清理方案,根据BGP、CDN等方式,拉取攻击流量和所有正常流量的流量。将混合流拖至流清洗管理中心进行清洗。整个流量清洗过程中遇到的难点是,现阶段DDOS攻击呈现混合攻击,多种攻击方式并存。在这种情况下,如何高效地检测攻击是当今面临的关键问题。查阅了很多资料,发现华为的“七层清洁计划”很有创意。该方案根据静态数据过度过滤、异常报文格式过度过滤、扫描仪窥视报文格式过度过滤、来源合理合法验证、对话阻止、特征判别过度过滤、流量整形疏导等七项防御措施,对混合流量的数据文件进行综合分析,在更高的层面上检测攻击流量。华为“七层清洗计划”的架构如图2所示。流量被清理后,攻击流量被丢弃,所有正常流量根据MPLS和GRE隧道构建技术被重新注入回互联网。
图2
在针对DDOS攻击的防御措施中,对策的部署也是必须仔细考虑的部分。目前比较有效的部署对策是:测试机器和设备靠近业务流程服务器部署,近源清理和旁路部署。攻击是分布式系统,防御也必须考虑分布式系统的部署对策。
开源系统DDOS攻击防御专用工具
目前开源系统中针对ddos攻击的专用工具很多(攻击成本低是DDOS攻击容易产生的原因之一),但针对DDOS攻击防御的专用工具并不多。Fastnetmon是一款基于各种数据包捕获软件模块的高效DDOS攻击分析工具。它可以检测和分析互联网中的异常流量情况,并根据外部脚本进行公告或阻止攻击。根据集成的InfluxDB和Grafana,可以构建一个数据可视化的DDOS安全报警系统。
以上是现阶段对DDOS攻击的一些基本掌握和思考,之后有机会再进一步完善。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)