DoS攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使服务器无法处理合法用户的指令。
而抗DDoS攻击系统是针对业务系统的稳定、持续运行以及网络带宽的高可用率提供防护能力进行维护。然而,自1999年Yahoo、eBay等电子商务网站遭到拒绝服务攻击之后,DDoS就成为Internet上一种新兴的安全威胁,其危害巨大且防护极为困难。
尤其是随着黑客技术的不断发展,DDoS攻击更是出现了一些新的动向和趋势:
高负载—DDoS攻击通过和蠕虫、Botnet相结合,具有了一定的自动传播、集中受控、分布式攻击的特征,由于感染主机数量众多,所以DDoS攻击可以制造出高达1G的攻击流量,对于目前的网络设备或应用服务都会造成巨大的负载。
复杂度—DDoS攻击的本身也从原来利用三层/四层协议,转变为利用应用层协议进行攻击,如DNS UDP Flood、CC攻击等。某些攻击可能流量很小,但是由于协议相对复杂,所以效果非常明显,而防护难度也很高,如针对网游服务器的CC攻击,就是利用了网游本身的一些应用协议漏洞。
损失大—DDoS攻击的危害也发生了一些变化,以往DDoS主要针对门户网站进行攻击,如今攻击对象已经发生了变化。如DNS服务器、VoIP的验证服务器或网游服务器,互联网或业务网的关键应用都已经成为攻击的对象,针对这些服务的攻击,相对于以往会给客户带来更大的损失。
疏与堵的博弈
近几年来,蠕虫病毒是Internet上最大的安全问题,某些蠕虫病毒除了具有传统的特征之外,还嵌入了DDoS攻击代码,加之Botnet的出现,黑客可以掌握大量的傀儡主机发动DDoS攻击,从而导致其流量巨大。在2004年唐山黑客针对北京某知名音乐网站发动的DoS攻击中,其攻击流量竟然高达700M,对整个业务系统造成了极大的损失。
目前绝大部分的抗拒绝服务攻击系统虽然都号称是硬件产品,但实际上都是架构在X86平台的服务器或是工控机之上,其关键部件都是采用Intel或AMD的通用CPU,运行在经过裁剪的操作系统(通常是Linux或BSD)上,所有数据包解析和防护工作都由软件完成。由于CPU处理能力以及PCI总线速度的制约,这类产品的处理能力受到了很大的限制,通常这类抗拒绝服务攻击产品的处理能力最高不会超过80万pps。
然而,面对DDoS攻击,传统X86架构下的DDoS防护设备在性能及稳定性上都很难满足防护要求,更何况在传统抗DDoS攻击方案中,基本上都采用了串联部署(即:接在防火墙、路由器或交换机与被保护网络之间)的模式,这种模式存在较多的缺陷:
一方面增加了网络中的单点故障,同时可能造成性能方面的瓶颈,尤其在攻击流量和背景流量同时存在的情况下,可能导致设备负载过高,从而影响正常业务的运行;
另一方面,以往的DDoS防护设备和防火墙系统都有着千丝万缕的联系,所以其防护功能主要在协议栈的三层/四层实现,这类设备针对目前承载在应用层协议之上的DDoS攻击防护乏力。
正是因为如此,我们应该从架构上对整个抗拒绝服务攻击设备进行重新设计,以达到从性能、功能以及稳定性上满足目前DDoS防护的进一步需要。抗海量拒绝服务攻击,可谓疏与堵的一场博弈。
DDoS攻击深深的危害着我们的网络生活,我们也在尝试采用各种防护措施。
【编辑推荐】