近日,有媒體報道稱,瑞典40餘家媒體網站遭大規模DDoS***,其中一家名叫Adeprimo媒體網站的請求最高時達到40萬次/秒。類似的DDoS***事件在最近時有發生,其實,DDoS***並非什麼新鮮玩意。但不可否認的是,它向來都是一件令安全人士很頭痛的事,因爲到目前爲止,進行DDoS***的防禦還是相對比較困難的。
從其***原理上說,傳統基於包過濾的防火牆只能分析每個數據包,及其連接狀態來判斷和阻止DDoS***,所以對於類似SYN-Flood洪水***有一定的防範效果。
但是,現在比較流行的DDoS***手段,越來越多的針對應用層協議漏洞。比如通過分析協議,然後僞造正常數據包發送,甚至乾脆模擬正常的數據流,由於防火牆不能分析TCP、UDP,以及http等應用層的協議,所以無法對新型的DDoS***進行有效的防護。
很多DDoS***的目的是讓網絡應用負載過大,導致癱瘓。從***目標上看,只要網絡中的應用服務器存在漏洞,很有可能成爲***構建殭屍網絡的傀儡機,如有利可圖,還有可能成爲DDoS的***目標。
既然傳統的防火牆抵禦不住常見的DDoS***,是否有其他技術和產品在抵禦DDoS***方面有不錯的表現呢?
Radware公司安全產品市場總監Meyran先生認爲有辦法對DDoS***進行有效防禦。他認爲,通過IPS+基於行爲的檢測技術就是衆多方法中的一個。
據Meyran介紹,在IPS針對已知威脅行爲進行監測的特徵對比引擎基礎上,增加針對未知威脅行爲的實時特徵引擎,就能夠解決常見的DDoS***問題。他認爲,通過異常探測及行爲分析,基於行爲且自動生成的實時動態特徵碼,可防範應用誤用***、服務器蠻力***、應用和網絡淹沒***等非漏洞威脅,甚至零日***。
這在某種意義上說,IPS從簡單針對***特徵的簽名檢測轉化爲增加了基於漏洞特徵的簽名檢測,以及不依靠簽名的***檢測能力,確保了IPS在線速運行的情況下,實現串聯式佈局方式的自動攔截和***處理。也避免了傳統IPS由於不能及時更新特徵碼而帶來的問題,從而大大提高了網絡的抗***能力。
據Meyran介紹,Radware一直致力於解決這方面問題,並且在業界已經有了很好的證明。據51CTO.com記者瞭解,前不久,Radware公司推出了基於獨有硬件平臺的新版IPS——DefensePro 5.0。
Meyran表示,與市場上其他IPS的不同之處在於,DefensePro 5.0所包含的是基於IPS特徵漏洞的自適應行爲分析,能夠有效支持針對新型***的實時、智能防護。這意味着企業在確保正常使用不被中斷的前提下,就能夠有效地攔截諸如DDoS這樣的惡意流量、以及零日漏洞和***,很大程度上保障企業網絡應用的業務連續性。
據記者瞭解,DefensePro 採用的是多層安全架構,分別檢測和抵抗不同類型的***,確保只有“清潔”流量進入收保護的區域。下面是有關其主要技術特點的描述:
Dosshield實現已知***工具防範:
DefensePro的DoSShield模塊藉助高級的取樣機制和基準流量行爲監測來識別異常流量,提供了實時的、數千兆位速度 的DoS防範。
該機制會對照DefensePro ***數據庫中的DoS***特徵列表(潛在***)來比較流量樣本。一旦達到了某個潛在***的激活閾值,該潛在***的狀態就會變爲Currently Active (當前活動),這樣就會使用該潛在***的特徵文件來比較各個數據包。如果發現匹配的特徵,相應的數據包就會被丟棄。反之,則會將數據包轉發給網絡。
藉助高級的取樣機制檢測DoS ***,DoSShield只在出現了嚴重帶寬濫用的情況下,纔會判斷***的存在,它會外科手術般地採用逐包過濾除去***流量。而當***不再活躍時,DoS Shield也能檢測到相應狀態並停止逐包過濾的操。這樣不僅可實現完全的DoS和DDos 防範能力,而且還保持了大型網絡的高吞吐量。
藉助高級的取樣機制檢測DoS ***,DoSShield只在出現了嚴重帶寬濫用的情況下,纔會判斷***的存在,它會外科手術般地採用逐包過濾除去***流量。而當***不再活躍時,DoS Shield也能檢測到相應狀態並停止逐包過濾的操。這樣不僅可實現完全的DoS和DDos 防範能力,而且還保持了大型網絡的高吞吐量。
Dosshield的主要優勢:
監聽和採樣機制,只有在出現嚴重***時才採取防範措施,保證了大型網絡的高性能和高吞吐量;
監聽和採樣機制,只有在出現嚴重***時才採取防範措施,保證了大型網絡的高性能和高吞吐量;
基於特徵碼的防範策略,對正常應用無影響,保持了極低的誤判率。
DoS Shield作爲第一道防範體系,負責在抵禦已知Flood***的同時傳輸其他流量,而這些其他流量中還可能包含未知的新型***,它們將由第二道防範體系-Behavioral DoS 模塊來實現防護。
Behavioral DoS基於網絡行爲模式實現自動***防範:
藉助於先進的統計分析、模糊邏輯和新穎的閉環反饋過濾技術,Radware B-DoS 防範模塊能夠自動和提前防範網絡Flood***和高速自我繁殖的病毒,避免危害的發生。
藉助於先進的統計分析、模糊邏輯和新穎的閉環反饋過濾技術,Radware B-DoS 防範模塊能夠自動和提前防範網絡Flood***和高速自我繁殖的病毒,避免危害的發生。
Radware的自適應Behavioral DoS防範模塊自動學習網絡上的行爲模式,建立正常基準,並通過先進的模糊關係邏輯運算判斷背離正常行爲的異常流量。
通過概率分析,該模塊使用一系列提取自數據包包頭和負荷的參數,例如ID (packet identification number), TTL (Time to Live), Packet size, DNS 查詢, Packet Checksum值等共17 個參數,來實時定義即時異常流量的特點。爲了避免誤判而阻止合法用戶的正常流量,該模塊還會採用“與”“或”邏輯運算來儘量精確***的防範策略。
所有上述流程都由DefensePro自動完成,無需人爲干預,能夠在數千兆位的網絡環境中精確防範已知***、零日漏洞、Dos/DDos***和自我繁殖網絡蠕蟲。
所有上述流程都由DefensePro自動完成,無需人爲干預,能夠在數千兆位的網絡環境中精確防範已知***、零日漏洞、Dos/DDos***和自我繁殖網絡蠕蟲。
Behavioral DoS 防護模塊的***檢索機制即不使用特徵碼,也不依賴於用戶定義的行爲策略和閥值。它還可以自動適應網絡中的正常流量變化,因此它不會影響網絡中的正常應用行爲。
Behavioral DoS的主要優勢:
零日漏洞 Dos/DDos的未知***防範,無需認爲手工干涉;
對DoS***的完全防範,較低的CPU資源消耗;
自適應的行爲判別模式,將誤判率降至最低;
完全自適應功能,無需策略配置,無需維護成本。
零日漏洞 Dos/DDos的未知***防範,無需認爲手工干涉;
對DoS***的完全防範,較低的CPU資源消耗;
自適應的行爲判別模式,將誤判率降至最低;
完全自適應功能,無需策略配置,無需維護成本。
綜述:
不管怎麼說,事實上,大規模DDoS***是***操縱的殭屍網絡所發起的,而隨着殭屍網絡的迅速發展,逐漸成爲***行爲的基本渠道,成爲網絡安全的最大隱患之一。***者既可以利用殭屍網絡發起DDoS ***、發送大量垃圾郵件和傳播惡意代碼等,又可以通過殭屍系統收集受感染主機中用戶的敏感信息或進一步組建成更大的殭屍網絡。
所以對於防禦DDoS來說,並不是一人一己之力可以完成的,在51CTO記者看來,我們需要更廣泛的合作,才能在抵禦DDoS***的路上走得更遠。