返回列表 发帖

[讨论]★当前防御DDOS攻击的不足?★

当前防护DDOS手段的不足
虽然目前网络安全产品的种类非常多,但是对于DDoS攻击却一筹莫展。常见的防火墙、入侵检测、路由器等,由于涉及之初就没有考虑相应的DDoS防护,所以无法针对复杂的DDoS攻击进行有效的检测和防护。而至于退让策略或是系统调优等方法只能应付小规模DDoS攻击,对大规模DDoS攻击还是无法提供有效的防护。
1 手工防护
一般而言手工方式防护DDoS主要通过两种形式:
系统优化——主要通过优化被攻击系统的核心参数,提高系统本身对DDoS攻击的响应能力。但是这种做法只能针对小规模的DDoS进行防护,当黑客提高攻击的流量时,这种防护方法就无计可施了。
网络追查——遭受DDoS攻击的系统的管理人员一般第一反应是询问上一级网络运营商,这有可能是ISP、IDC等,目的就是为了弄清楚攻击源头。但是如果DDoS攻击流量的地址是伪造的,那么寻找其攻击源头的过程往往涉及很多运营商以及司法机关。再者,即使已经确定了攻击源头,进而对其流量进行阻断,也会造成相应正常流量的丢失。加之目前Botnet以及新型DrDoS攻击的存在,所以通过网络追查来防护DDoS攻击的方法没有任何实际意义。
2 退让策略
为了抵抗DDoS 攻击,客户可能会通过购买冗余硬件的方式来提高系统抗DDoS的能力。但是这种退让策略的效果并不好,一方面由于这种方式的性价比过低,另一方面,黑客提高供给流量之后,这种方法往往失效,所以不能从根本意义上防护DDoS攻击。
3 路由器
通过路由器,我们确实可以实施某些安全措施,比如ACL等,这些措施从某种程度上确实可以过滤掉非法流量。一般来说,ACL可以基于协议或源地址进行设置,但是目前众多的DDoS攻击采用的是常用的一些合法协议,比如http协议,这种情况下,路由器就无法对这样的流量进行过滤。同时,如果DDoS攻击如果采用地址欺骗的技术伪造数据包,那么路由器也无法对这种攻击进行有效防范。
另一种基于路由器的防护策略是采用Unicast Reverse Path Forwarding (uRPF)在网络边界来阻断伪造源地址IP的攻击,但是对于今天的DDoS攻击而言,这种方法也不能奏效,其根本原因就在于uRPF的基本原理是路由器通过判断出口流量的源地址,如果不属于内部子网的则给予阻断。而攻击者完全可以伪造其所在子网的IP地址进行DDoS攻击,这样就完全可以绕过uRPF防护策略。除此之外,如果希望uRPF策略能够真正的发挥作用,还需要在每个潜在攻击源的前端路由器上配置uRPF,但是要实现这种情况,现实中几乎不可能做到。
4 防火墙
防火墙几乎是最常用的安全产品,但是防火墙设计原理中并没有考虑针对DDoS攻击的防护,在某些情况下,防火墙甚至成为DDoS攻击的目标而导致整个网络的拒绝服务。
首先是防火墙缺乏DDoS攻击检测的能力。通常,防火墙作为三层包转发设备部署在网络中,一方面在保护内部网络的同时,它也为内部需要提供外部Internet服务的设备提供了通路,如果DDoS攻击采用了这些服务器允许的合法协议对内部系统进行攻击,防火墙对此就无能为力,无法精确的从背景流量中区分出攻击流量。虽然有些防火墙内置了某些模块能够对攻击进行检测,但是这些检测机制一般都是基于特征规则,DDoS攻击者只要对攻击数据包稍加变化,防火墙就无法应对,对DDoS攻击的检测必须依赖于行为模式的算法。
第二个原因就是传统防火墙计算能力的限制,传统的防火墙是以高强度的检查为代价,检查的强度越高,计算的代价越大。而DDoS攻击中的海量流量会造成防火墙性能急剧下降,不能有效地完成包转发的任务。
最好防火墙的部署位置也影响了其防护DDoS攻击的能力。传统防火墙一般都是部署在网络入口位置,虽然某种意义上保护了网络内部的所有资源,但是其往往也成为DDoS攻击的目标,攻击者一旦发起DDoS攻击,往往造成网络性能的整体下降,导致用户正常请求被拒绝。
5 入侵检测
目前IDS系统是最广泛的攻击检测工具,但是在面临DDoS攻击时,IDS系统往往不能满足要求。
原因其一在于入侵检测系统虽然能够检测应用层的攻击,但是基本机制都是基于规则,需要对协议会话进行还原,但是目前DDoS攻击大部分都是采用基于合法数据包的攻击流量,所以IDS系统很难对这些攻击有效检测。虽然某些IDS系统本身也具备某些协议异常检测的能力,但这都需要安全专家手工配置才能真正生效,其实施成本和易用性极低。
原因之二就在于IDS系统一般对攻击只进行检测,但是无法提供阻断的功能。IDS系统需要的是特定攻击流检测之后实时的阻断能力,这样才能真正意义上减缓DDoS对于网络服务的影响。
IDS系统设计之初就是作为一种基于特征的应用层攻击检测设备。而DDoS攻击主要以三层或是四层的协议异常为其特点,这就注定了IDS技术不太可能作为DDoS的检测或是防护手段。
   针对当前的DOS/DDOS攻击现状,上海遐迩网络科技有公司自主研发的抗拒绝服务产品——DosNipe抗拒绝服务硬件防火墙,具有很强的DOS/DDOS攻击的防护能力。并可在多种网络环境下轻松部署,保证网络的整体性能和可靠性。
DosNipe抗DDOS防火墙目前的防御算法对所有已知的拒绝服务攻击是免疫的,也就是说,是完全可以抵抗已知DoS/DDoS攻击的。可以抵御多种拒绝服务攻击及其变种,可防各类 DoS/DDoS攻击,如 SYN Flood、TCP Flood,UDP Flood,ICMP Flood及其各种变种如Land,Teardrop,Smurf,Ping of Death等。
   上海遐迩科技http://www.sharesec.com
   联系人:张晓金
   联系QQ:353008279/541754553/275220411
   MSN:angelzxj@sharesec.com
   Phone:021-58211660-24   
   Mobile Phone:13661549204
   贸易通:zxj275220411///dosnipefw
   相关文档及技术白皮书下载地址:http://www.sharesec.com/down.html

[讨论]★当前防御DDOS攻击的不足?★

热烈庆祝我公司硬防昨日进入嘉兴电信机房。
如有兴趣的咨询的客户,可以随时联系我。

TOP

返回列表 回复 发帖