防御DDoS分布式拒绝服务保证业务的永继性 (…

黑洞技术

黑洞技术描述了一个服务提供商将指向某一目标企业的包尽量阻截在上游的过程，将改向的包引进“黑洞”并丢弃，以保全运营商的基础网络和其它的客户业务。但是合法数据包和恶意攻击业务一起被丢弃，所以黑洞技术不能算是一种解决方案。被攻击者失去了所有的业务，攻击者因而获得胜利。

路由器

许多人运用路由器的过滤功能提供对 DDoS 攻击的防御。事实是，因为路由器主要防御是基于 ACLs （ access control list ）接入控制列表，对于现在复杂的 DDoS 攻击不能提供完善的防御。以下将详细介绍。

路由器只能通过过滤非基本的不需要的协议来停止一些简单的 DDoS 攻击，例如 ping 攻击。这依然需要一个手动的反应措施，并且往往是在攻击致使服务失败之后。另外，现在的 DDoS 攻击使用互联网必要的有效协议，很难有效的滤除。路由器也能防止无效的或私有的 IP 地址空间，但 DDoS 攻击可以很容易的伪造成有效 IP 地址。

另一种建议基于路由器的 DDoS 预防策略——在出口侧使用 uRPF 来停止 IP 地址欺骗攻击——这同样不能有效防御现在的 DDoS 攻击，因为 uRPF 的基本原理是如果 IP 地址不属于应该来自的子网网络阻断出口业务。然而， DDoS 攻击能很容易伪造来自同一子网的 IP 地址，致使这种解决法案无效。更重要的是，为使 uRPF 有效，它不得不在每一个潜在的攻击源之前配置——而不是当前的或可能发生的。

本质上，对于种类繁多的使用有效协议的欺骗攻击，路由器 ACLs 是无效的。包括：

• SYN 、 SYN-ACK 、 FIN 等洪流。对一个 Web 服务器 80 端口上随机的 SYN 欺骗攻击或 ACK 、 RST 攻击，欺骗的源 IP 地址不断的变换， ACLs 无法追踪和停止这样的攻击。手动追踪或反常事件检测不能识别所有个别的欺骗源。唯一的选择是阻断整个服务器，牺牲被攻击服务器的服务以保全基础网络的业务和其他用户，而攻击者达到其攻击目标。
• 代理。因为一个 ACL 不能辨别来自于同一源 IP 或代理的正当 SYN 和恶意 SYN ，所以会通过阻断受害者所有来自于某一源 IP 或代理的用户来尝试停止这一集中欺骗攻击。
• DNS 或 BGP 。当发起这类随机欺骗 DNS 服务器或 BGP 路由器攻击时， ACLs ——类似于 SYN 洪流——不仅不能追踪快速变换的随机欺骗业务，也无法验证哪些地址是合法的，哪些是欺骗的。

ACLs 在防御应用层（客户端）攻击时也是无效的，无论欺骗与否， ACLs 理论上能阻断客户端攻击——例如 HTTP 错误和 HTTP 半开连接攻击，假如攻击和单独的非欺骗源能被精确的监测——将要求用户对每一受害者配置数百甚至数千 ACLs ，这其实是无法实际实施的。

防火墙

由于防火墙不是专门的 DDoS 防御装置，受到其内在限制，妨碍防御现有复杂攻击的能力。

首先是位置限制，防火墙的位置处于数据路径下游远端，不能为从提供商到企业边缘路由器的访问链路提供足够的保护，从而将那些易受攻击的组件留给了 DDoS 攻击。此外，因为防火墙总是串联的而成为潜在性能瓶颈，因为可以通过消耗它们的会话处理能力来对它们自身进行 DDoS 攻击。

其次是反常事件检测缺乏的限制，防火墙首要任务是要控制私有网络的访问。一种实现的方法是通过追踪从内侧（“干净”的一侧）向外侧服务发起的会话，然后只接收“不干净”一侧期望源头发来的特定响应。然而，这对于一些开放给公众来接收请求的服务是不起作用的，比如 Web 、 DNS 和其它服务。在这些情况下，防火墙将打开一个管道——例如将 HTTP 业务传送到 Web 服务器的 IP 地址。虽然这种方法通过只接收到特定地址的特定协议来提供一些保护，但对于 DDoS 攻击的防御还是无效的，因为黑客可以使用“被认可的”协议（如 HTTP ）。任何反常事件检测性能的缺陷意味防火墙不能识别被用作攻击媒介的有效协议。

第三种限制，虽然防火墙能检测反常行为，但几乎没有反欺骗能力——其结构仍然是攻击者达到其目的。当一个 DDoS 攻击被检测到，防火墙能停止与攻击相联系的某一特定数据流，但它们无法逐个包检测，将好的或合法业务从恶意业务中分出，使得它们在事实上对 IP 地址欺骗攻击无效。

IDS

基于签名的 IDS 解决方案无法检测以合法数据包作为途径的 DDoS 攻击。 IDS 解决方案将不得不提供领先的行为或基于反常事务的算法来检测现在的 DDoS 攻击。但是一些基于反常事务的性能要求有专家进行手动的调整，而且经常误报，并且不能识别特定的攻击流。同时 IDS 本身也很容易成为 DDoS 攻击的牺牲者。

也许作为 DDoS 防御平台的 IDS 最大的缺点是它只能检测到攻击，但对于缓和攻击的影响却毫无作为。 IDS 解决方案也许能托付给路由器和防火墙的过滤器，但正如前面叙述的，这对于缓解 DDoS 攻击效率很低，即便是用类似于静态过滤串联部署的 IDS 也做不到。 IDS 需要的是一个补充的防御解决方案，提供更高水平的特定攻击识别并与立即执行能力结合。

DDoS 攻击的手动响应

作为 DDoS 防御一部份的手动处理太微小并且太缓慢。受害者对 DDoS 攻击的典型第一反应是询问最近的上游连接提供者—— ISP 、宿主提供商或骨干网承载商——尝试识别该消息来源。对于地址欺骗的情况，尝试识别消息来源是一个长期和冗长的过程，需要许多提供商合作和追踪的过程。即使来源可被识别，但阻断它也意味同时阻断所有业务——好的和坏的。

其他策略

为了忍受 DDoS 攻击，企业操作者可能考虑了这样的策略，例如过量供应，就是购买超量带宽或超量的网络设备来处理任何请求。这种方法成本效益比较低，尤其是因为它要求附加冗余接口和设备。不考虑最初的作用，攻击者仅仅通过增加攻击容量就可击败额外的硬件，互联网上上千万台的机器是他们取之不净的攻击容量资源。

安全有效性

任何在线的商务都有在 DDoS 保护上投资的许多理由——经济和其它方面。大企业、政府组织、服务提供商——都需要保护它们的基础设施（ Web 服务器、 DNS 服务器、 e-mail 和聊天服务器、防火墙、交换机、路由器）等部件，维持商业操作的公平性和更有效地利用技术资源。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有