ddos攻击是指借助客户端/服务器技术,将多台计算机组合成一个攻击平台,对一个或多个目标发起DDoS攻击,最终可以使拒绝服务攻击的威力翻倍。
DDos攻击在今天已经不是什么新鲜事了,近两年的发展趋势是渐进式的。直到一个月前,欧洲反垃圾邮件组织Spamhaus突然遭遇高达300Gbps的高流量DDos攻击。这一轮被视为史上最大的DDos攻击,提醒人们原来的DDos攻击手段从来没有被攻击者忽视过。
为什么这次超大流量DDos攻击的本质是什么?今天会出现?在DDos攻击领域耕耘多年的?对此类攻击又该如何防范?安全公司Arbor近日就相关问题给出了答案。
问:迄今为止,这是最大的DDoS攻击吗?
是的,而且规模比以前大得多。之前报告的(并得到证实的)最大攻击速度约为100Gb/秒。
问:这是一种新型的DDoS攻击吗?
答:不会,这种攻击属于DNS反射/放大攻击,已经存在很多年了。这种类型的攻击被发现产生了近年来互联网上出现的几个最大的攻击。DNS反射/放大攻击使用互联网上的DNS基础设施来放大攻击可能产生的流量。DNS是主机名到IP地址解析的互联网基础设施的重要组成部分。DNS反射/放大攻击通过使用多个客户端肉机(bots僵尸肉机)向多个开放DNS解析器发送查询,从而从广泛分布的来源产生大量攻击流量(Spamhaus攻击期间,使用了30K多个开放解析器)。
问:DNS反射/放大攻击是如何产生的?
答:两个因素使这些类型的攻击成为可能:服务提供商网络缺乏门户过滤(允许流量从虚假的源地址转发);Internet上开放DNS解析器的数量(可以从任何IP地址进行查询响应)。
攻击者必须能够模拟目标受害者DNS查询的源地址。所有组织都应该在其网络的所有边界实施BCP38/84反欺骗。不幸的是,在今年的Arbor全球网络基础设施安全报告(包括2012年)中,只有56.9%的受访者表示他们目前正在网络边缘实施BGP 38/84。
这种攻击的第二个关键部分是互联网上大量开放的DNS解析器。目前,据估计,互联网上大约有2700万个开放的DNS解析器。
问:DNSSec(域名系统安全拓展)可帮助处理这些攻击吗?
答:不,DNSSec旨在确保DNS查询的答案是真实的,没有被篡改。对DNS反射/放大攻击完全没有帮助。与没有DNSSec的情况相比,使用DNSSec的任何类型的查询都将生成大量的应答包。实现DNSSec实际上意味着更容易放大攻击。
问:互联网基础设施几乎已经到了最大的100Gbps。如果是这样的话,Spamhaus是如何看到300 Gbps的流量的?
答:虽然100Gb/s是生产网络中部署的最大单个物理链路速度,但多个100Gb/s物理链路可以组合起来形成一个大容量逻辑链路。
问:如何缓解这类攻击?
答:如果大部分服务提供商在网络边界实现BCP 38/84,同时大幅减少互联网上开放的DNS解析器数量,那么就可以降低攻击者的能力,从而降低这种更大规模攻击的风险。
我们需要通过各种机制来缓解这些攻击。我们可以通过IP过滤列表、黑/白名单、灵活的僵尸清除、和/或适当的加载正则表达式对策来保护DNS反射/放大攻击的最终目标服务器。S/RTBH(基于源的远程触发黑洞)和FlowSpec(特定流过滤)也可用于缓解攻击流量;但是,在应用这些机制时必须小心,因为有可能阻止所有流量通过使用反射攻击的开放DNS递归设备。在某些情况下,这可能是最好的做法。减缓机制和战略的选择取决于客观事实。
问:其他公司可从此次攻击得到哪些教训?
答:目前的DDoS威胁比较复杂,由大容量攻击和复杂的应用级威胁组成。为了有效解决我们到目前为止看到的攻击,保护服务可用性,企业组织需要分层的DDoS防御。企业必须拥有网络边界解决方案,以积极应对隐藏和复杂的应用层威胁,还必须使用基于云的服务提供商来提供DDoS保护服务,以减轻大的攻击。理想情况下,这两个组件协同工作,提供一个完整、集成和自动化的保护系统,以便it部门可以免受DDoS威胁。
企业还应该知道,巨大的攻击可能超过服务提供商预设的智能缓解能力,或者导致服务提供商内部(或其互连点)的流量拥塞,从而造成重大的额外损害(影响攻击者的非目标服务)。在这些情况下,服务提供商可以通过ACL、S-RTBH、FlowSpec等保护自己和客户。
对于终端客户,应该询问服务提供商它有多少智能DDoS缓解能力;服务提供商是否在其网络上部署了BCP38/84反欺诈系统;服务提供商是否部署了其他网络基础设施的当前最佳实践,如Acl (iACLs)基础设施和通用TTL安全机制(GSTM);服务提供商是否在其网络上部署了RTBH或FlowSpec。
以上是脚本之家边眯眯眼的唇彩的史上最大DDoS攻击的本质和防范的教程。想了解更多精彩教程,请继续关注剧本之家网站!