ddos攻擊的意思是指借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺，對一個(gè)或多個(gè)目標(biāo)發(fā)動DDoS攻擊，最后可以成倍地提高拒絕服務(wù)攻擊的威力。

DDos攻擊在今天看來并不新鮮，近兩年來發(fā)展態(tài)勢也漸趨平緩，直至一個(gè)月前，歐洲反垃圾郵件組織Spamhaus突然遭受到高達(dá)300Gbps的大流量DDos攻擊。這一輪被認(rèn)為是史上最大的DDos攻擊，讓人們警醒，原來DDos攻擊手段從未被攻擊者忽略。

這次超大流量DDos攻擊的本質(zhì)是什么?為什么會在今天出現(xiàn)?對此類攻擊又該如何防范? 在防DDos攻擊領(lǐng)域耕耘多年的安全公司Arbor近日對相關(guān)問題給出了答案。

問：迄今為止，這是最大的DDoS攻擊嗎?

答：是的，而且規(guī)模比以前大得多。之前報(bào)告的(和驗(yàn)證的)最大攻擊約為100Gb/秒。

問：這是一種新型的DDoS攻擊嗎?

答：不是的。此次攻擊屬于DNS反射/放大攻擊，而DNS反射/放大攻擊已存在多年了。這種類型的攻擊已被發(fā)現(xiàn)用來產(chǎn)生近年來互聯(lián)網(wǎng)上看到的多個(gè)最大攻擊。DNS 反射/放大攻擊利用互聯(lián)網(wǎng)上的DNS 基礎(chǔ)結(jié)構(gòu)來放大攻擊能夠產(chǎn)生的通信量。DNS 是用于主機(jī)名到IP 地址解析的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的重要組成部分。DNS 反射/放大攻擊通過使用多個(gè)客戶端肉機(jī)(bots僵尸肉機(jī)) 將查詢發(fā)送到多個(gè)開放DNS 解析器中，從而使大量的攻擊流量從廣泛分布源中產(chǎn)生(在Spamhaus襲擊期間，使用了超過30K開放解析器)。

問：DNS反射/放大攻擊是如何產(chǎn)生的?

答：兩件事使這些類型的攻擊成為可能：服務(wù)提供商網(wǎng)絡(luò)缺乏入口過濾(允許流量從虛假源地址轉(zhuǎn)發(fā));因特網(wǎng)上開放 DNS 解析器的數(shù)目(可從任何 IP 地址進(jìn)行查詢響應(yīng))。

攻擊者必須能夠假冒目標(biāo)受害人DNS 查詢的源地址。所有組織應(yīng)在他們網(wǎng)絡(luò)的所有邊界實(shí)施 BCP38/84 反欺騙。不幸的是，在今年的Arbor全球網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全報(bào)告(包含2012年) 中，僅 56.9%的調(diào)查對象表示他們目前正在他們的網(wǎng)絡(luò)邊緣執(zhí)行 BGP 38/84。

這種攻擊的第二個(gè)關(guān)鍵組成部分是因特網(wǎng)上大量可用的開放DNS 解析器。目前在互聯(lián)網(wǎng)上預(yù)計(jì)約有 2700 萬開放DNS 解析器。

問：DNSSec(域名系統(tǒng)安全拓展)可幫助處理這些攻擊嗎?

答：不，DNSSec 旨在確保DNS 查詢答復(fù)的真實(shí)并且不被篡改。完全無助于DNS反射/放大攻擊，相比沒有DNSSec的情況，具有DNSSec的任何類型查詢都會生成更顯著的大量回復(fù)數(shù)據(jù)包，實(shí)施DNSSec 實(shí)際上意味著更易將攻擊放大。

問：互聯(lián)網(wǎng)基礎(chǔ)設(shè)施幾乎已經(jīng)到了最大的100Gbps。如果是這樣的話，Spamhaus是如何看到300 Gbps的流量的?

答：雖然 100Gb/秒是部署在生產(chǎn)網(wǎng)絡(luò)中的最大單個(gè)物理鏈路速度，但是多個(gè)100Gb/秒物理鏈路結(jié)合在一起，就可以形成大容量邏輯鏈路。

問：如何緩解這類攻擊?

答：如果大部分服務(wù)提供商在網(wǎng)絡(luò)邊界執(zhí)行了BCP 38/84，同時(shí)還大幅減少互聯(lián)網(wǎng)上開放的DNS 解析器的數(shù)目，那么就可以減小攻擊者的能力，從而降低此類較大攻擊的風(fēng)險(xiǎn)。

我們需要通過各種機(jī)制來緩解這些攻擊。我們可通過IP 篩選器列表，黑/白名單，靈活僵尸去除，和/或攻擊中合適的負(fù)載正則表達(dá)式對策來保護(hù)通過DNS 反射/放大攻擊的最終目標(biāo)服務(wù)器。S/RTBH(基于源的遠(yuǎn)程觸發(fā)黑洞)和FlowSpec(特定流過濾)也可用于緩和攻擊流量;然而，在應(yīng)用這些機(jī)制時(shí)必須謹(jǐn)慎，因?yàn)檫@有可能阻止所有的流量通過利用反射攻擊的開放的DNS遞歸器。在某些情況下，這可能是最佳行動方法。選擇緩解機(jī)制和策略需依賴客觀事實(shí)。

問：其他公司可從此次攻擊得到哪些教訓(xùn)?

答：目前的DDoS 威脅很復(fù)雜，由大容量攻擊和復(fù)雜應(yīng)用層威脅構(gòu)成。為了有效地解決我們目前看到的攻擊，保護(hù)服務(wù)可用性，企業(yè)組織需要分層的 DDoS 防御。企業(yè)組織必須具有網(wǎng)絡(luò)邊界解決方案，以積極地處理隱秘、復(fù)雜的應(yīng)用層威脅，還必須利用基于云的服務(wù)提供商提供DDoS 保護(hù)服務(wù)，以減輕大的攻擊。理想的情況是這兩個(gè)組件一起工作并提供完整、集成、自動化的保護(hù)系統(tǒng)，從而使其免受DDoS 威脅的影響。

企業(yè)組織還應(yīng)知道，巨大的攻擊可能超過服務(wù)提供商預(yù)設(shè)的智能緩解能力或?qū)е路?wù)提供商內(nèi)部的通信流量堵塞 (或在其互連點(diǎn))，而導(dǎo)致重大的附加損害(影響攻擊者的非針對性服務(wù))。在這些情況下，服務(wù)提供商可通過ACLs，S-RTBH，F(xiàn)lowSpec等來保護(hù)自己及客戶。

對終端客戶而言，應(yīng)詢問服務(wù)提供商具備多大的智能DDoS 緩解能力;服務(wù)提供商是否已在他們的網(wǎng)絡(luò)上部署了BCP38/84 反欺騙系統(tǒng);服務(wù)提供商是否部署了其它網(wǎng)絡(luò)基礎(chǔ)設(shè)施的當(dāng)前最好實(shí)踐，如Acl (iACLs) 基礎(chǔ)設(shè)施和一般 TTL 安全機(jī)制 (GSTM) ;服務(wù)提供商是否已經(jīng)在他們的網(wǎng)絡(luò)上部署了 S/RTBH 或FlowSpec。

以上就是本站小編為大家介紹的史上最大DDoS攻擊的本質(zhì)與防范的教程，想了解更多精彩教程請繼續(xù)關(guān)注本站網(wǎng)站！

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請聯(lián)系alex-e#qq.com處理。