【51CTO.com 獨(dú)家特稿】近日，有媒體報(bào)道稱(chēng)，瑞典40余家媒體網(wǎng)站遭大規(guī)模DDoS攻擊，其中一家名叫Adeprimo媒體網(wǎng)站的請(qǐng)求最高時(shí)達(dá)到40萬(wàn)次/秒。類(lèi)似的DDoS攻擊事件在最近時(shí)有發(fā)生，其實(shí)，DDoS攻擊并非什么新鮮玩意。但不可否認(rèn)的是，它向來(lái)都是一件令安全人士很頭痛的事，因?yàn)榈侥壳盀橹?，進(jìn)行DDoS攻擊的防御還是相對(duì)比較困難的。

從其攻擊原理上說(shuō)，傳統(tǒng)基于包過(guò)濾的防火墻只能分析每個(gè)數(shù)據(jù)包，及其連接狀態(tài)來(lái)判斷和阻止DDoS攻擊，所以對(duì)于類(lèi)似SYN-Flood洪水攻擊有一定的防范效果。

但是，現(xiàn)在比較流行的DDoS攻擊手段，越來(lái)越多的針對(duì)應(yīng)用層協(xié)議漏洞。比如通過(guò)分析協(xié)議，然后偽造正常數(shù)據(jù)包發(fā)送，甚至干脆模擬正常的數(shù)據(jù)流，由于防火墻不能分析TCP、UDP，以及http等應(yīng)用層的協(xié)議，所以無(wú)法對(duì)新型的DDoS攻擊進(jìn)行有效的防護(hù)。

很多DDoS攻擊的目的是讓網(wǎng)絡(luò)應(yīng)用負(fù)載過(guò)大，導(dǎo)致癱瘓。從攻擊目標(biāo)上看，只要網(wǎng)絡(luò)中的應(yīng)用服務(wù)器存在漏洞，很有可能成為黑客構(gòu)建僵尸網(wǎng)絡(luò)的傀儡機(jī)，如有利可圖，還有可能成為DDoS的攻擊目標(biāo)。

既然傳統(tǒng)的防火墻抵御不住常見(jiàn)的DDoS攻擊，是否有其他技術(shù)和產(chǎn)品在抵御DDoS攻擊方面有不錯(cuò)的表現(xiàn)呢？

Radware公司安全產(chǎn)品市場(chǎng)總監(jiān)Meyran先生認(rèn)為有辦法對(duì)DDoS攻擊進(jìn)行有效防御。他認(rèn)為，通過(guò)IPS+基于行為的檢測(cè)技術(shù)就是眾多方法中的一個(gè)。

據(jù)Meyran介紹，在IPS針對(duì)已知威脅行為進(jìn)行監(jiān)測(cè)的特征對(duì)比引擎基礎(chǔ)上，增加針對(duì)未知威脅行為的實(shí)時(shí)特征引擎，就能夠解決常見(jiàn)的DDoS攻擊問(wèn)題。他認(rèn)為，通過(guò)異常探測(cè)及行為分析，基于行為且自動(dòng)生成的實(shí)時(shí)動(dòng)態(tài)特征碼，可防范應(yīng)用誤用攻擊、服務(wù)器蠻力攻擊、應(yīng)用和網(wǎng)絡(luò)淹沒(méi)攻擊等非漏洞威脅，甚至零日攻擊。

這在某種意義上說(shuō)，IPS從簡(jiǎn)單針對(duì)攻擊特征的簽名檢測(cè)轉(zhuǎn)化為增加了基于漏洞特征的簽名檢測(cè)，以及不依靠簽名的攻擊檢測(cè)能力，確保了IPS在線速運(yùn)行的情況下，實(shí)現(xiàn)串聯(lián)式布局方式的自動(dòng)攔截和攻擊處理。也避免了傳統(tǒng)IPS由于不能及時(shí)更新特征碼而帶來(lái)的問(wèn)題，從而大大提高了網(wǎng)絡(luò)的抗攻擊能力。

據(jù)Meyran介紹，Radware一直致力于解決這方面問(wèn)題，并且在業(yè)界已經(jīng)有了很好的證明。據(jù)51CTO.com記者了解，前不久，Radware公司推出了基于獨(dú)有硬件平臺(tái)的新版IPS——DefensePro 5.0。

Meyran表示，與市場(chǎng)上其他IPS的不同之處在于，DefensePro 5.0所包含的是基于IPS特征漏洞的自適應(yīng)行為分析，能夠有效支持針對(duì)新型攻擊的實(shí)時(shí)、智能防護(hù)。這意味著企業(yè)在確保正常使用不被中斷的前提下，就能夠有效地?cái)r截諸如DDoS這樣的惡意流量、以及零日漏洞和攻擊，很大程度上保障企業(yè)網(wǎng)絡(luò)應(yīng)用的業(yè)務(wù)連續(xù)性。

據(jù)記者了解，DefensePro 采用的是多層安全架構(gòu)，分別檢測(cè)和抵抗不同類(lèi)型的攻擊，確保只有“清潔”流量進(jìn)入收保護(hù)的區(qū)域。下面是有關(guān)其主要技術(shù)特點(diǎn)的描述：

Dosshield實(shí)現(xiàn)已知攻擊工具防范：

DefensePro的DoSShield模塊借助高級(jí)的取樣機(jī)制和基準(zhǔn)流量行為監(jiān)測(cè)來(lái)識(shí)別異常流量，提供了實(shí)時(shí)的、數(shù)千兆位速度 的DoS防范。

該機(jī)制會(huì)對(duì)照DefensePro 攻擊數(shù)據(jù)庫(kù)中的DoS攻擊特征列表（潛在攻擊）來(lái)比較流量樣本。一旦達(dá)到了某個(gè)潛在攻擊的激活閾值，該潛在攻擊的狀態(tài)就會(huì)變?yōu)镃urrently Active （當(dāng)前活動(dòng)），這樣就會(huì)使用該潛在攻擊的特征文件來(lái)比較各個(gè)數(shù)據(jù)包。如果發(fā)現(xiàn)匹配的特征，相應(yīng)的數(shù)據(jù)包就會(huì)被丟棄。反之，則會(huì)將數(shù)據(jù)包轉(zhuǎn)發(fā)給網(wǎng)絡(luò)。
 
借助高級(jí)的取樣機(jī)制檢測(cè)DoS 攻擊，DoSShield只在出現(xiàn)了嚴(yán)重帶寬濫用的情況下，才會(huì)判斷攻擊的存在，它會(huì)外科手術(shù)般地采用逐包過(guò)濾除去攻擊流量。而當(dāng)攻擊不再活躍時(shí)，DoS Shield也能檢測(cè)到相應(yīng)狀態(tài)并停止逐包過(guò)濾的操。這樣不僅可實(shí)現(xiàn)完全的DoS和DDos 防范能力，而且還保持了大型網(wǎng)絡(luò)的高吞吐量。

Dosshield的主要優(yōu)勢(shì)：
監(jiān)聽(tīng)和采樣機(jī)制，只有在出現(xiàn)嚴(yán)重攻擊時(shí)才采取防范措施，保證了大型網(wǎng)絡(luò)的高性能和高吞吐量；
基于特征碼的防范策略，對(duì)正常應(yīng)用無(wú)影響，保持了極低的誤判率。
DoS Shield作為第一道防范體系，負(fù)責(zé)在抵御已知Flood攻擊的同時(shí)傳輸其他流量，而這些其他流量中還可能包含未知的新型攻擊，它們將由第二道防范體系－Behavioral DoS 模塊來(lái)實(shí)現(xiàn)防護(hù)。

Behavioral DoS基于網(wǎng)絡(luò)行為模式實(shí)現(xiàn)自動(dòng)攻擊防范：
借助于先進(jìn)的統(tǒng)計(jì)分析、模糊邏輯和新穎的閉環(huán)反饋過(guò)濾技術(shù)，Radware B-DoS 防范模塊能夠自動(dòng)和提前防范網(wǎng)絡(luò)Flood攻擊和高速自我繁殖的病毒，避免危害的發(fā)生。

 Radware的自適應(yīng)Behavioral DoS防范模塊自動(dòng)學(xué)習(xí)網(wǎng)絡(luò)上的行為模式，建立正常基準(zhǔn)，并通過(guò)先進(jìn)的模糊關(guān)系邏輯運(yùn)算判斷背離正常行為的異常流量。

通過(guò)概率分析，該模塊使用一系列提取自數(shù)據(jù)包包頭和負(fù)荷的參數(shù)，例如ID (packet identification number), TTL (Time to Live), Packet size, DNS 查詢(xún), Packet Checksum值等共17 個(gè)參數(shù)，來(lái)實(shí)時(shí)定義即時(shí)異常流量的特點(diǎn)。為了避免誤判而阻止合法用戶的正常流量，該模塊還會(huì)采用“與”“或”邏輯運(yùn)算來(lái)盡量精確攻擊的防范策略。
 
所有上述流程都由DefensePro自動(dòng)完成，無(wú)需人為干預(yù)，能夠在數(shù)千兆位的網(wǎng)絡(luò)環(huán)境中精確防范已知攻擊、零日漏洞、Dos/DDos攻擊和自我繁殖網(wǎng)絡(luò)蠕蟲(chóng)。

Behavioral DoS 防護(hù)模塊的攻擊檢索機(jī)制即不使用特征碼，也不依賴(lài)于用戶定義的行為策略和閥值。它還可以自動(dòng)適應(yīng)網(wǎng)絡(luò)中的正常流量變化，因此它不會(huì)影響網(wǎng)絡(luò)中的正常應(yīng)用行為。

Behavioral DoS的主要優(yōu)勢(shì)：
零日漏洞 Dos/DDos的未知攻擊防范，無(wú)需認(rèn)為手工干涉；
對(duì)DoS攻擊的完全防范，較低的CPU資源消耗；
自適應(yīng)的行為判別模式，將誤判率降至最低；
完全自適應(yīng)功能，無(wú)需策略配置，無(wú)需維護(hù)成本。

綜述：

不管怎么說(shuō)，事實(shí)上，大規(guī)模DDoS攻擊是黑客操縱的僵尸網(wǎng)絡(luò)所發(fā)起的，而隨著僵尸網(wǎng)絡(luò)的迅速發(fā)展，逐漸成為攻擊行為的基本渠道，成為網(wǎng)絡(luò)安全的最大隱患之一。攻擊者既可以利用僵尸網(wǎng)絡(luò)發(fā)起DDoS 攻擊、發(fā)送大量垃圾郵件和傳播惡意代碼等，又可以通過(guò)僵尸系統(tǒng)收集受感染主機(jī)中用戶的敏感信息或進(jìn)一步組建成更大的僵尸網(wǎng)絡(luò)。

所以對(duì)于防御DDoS來(lái)說(shuō)，并不是一人一己之力可以完成的，在51CTO記者看來(lái)，我們需要更廣泛的合作，才能在抵御DDoS攻擊的路上走得更遠(yuǎn)。