攻击手法翻新
DDoS攻击已经存在发展了很多年,近来这类攻击方式发生了一些新的变化。
传统的DDoS攻击是黑客通过大量僵尸主机针对目标发送海量伪造数据,阻塞用户网络或应用,这种大流量的、伪造数据包攻击方式很容易被侦测,在运营商层面就会被轻易过滤掉。
黑客为了达成拒绝服务的目的,将攻击从传统方式逐渐变成了针对用户应用系统的拒绝服务,例如利用僵尸网络发起的针对Web应用的HTTP洪水攻击,通过短时间内大量的HTTP请求,导致Web服务器的拒绝服务;或者针对用户VoIP系统发起大量虚假请求,导致用户系统无法及时响应而宕机。由于此类攻击针对性很强,对用户应用系统的危害性甚至于要大于传统的攻击方式。
这种新的攻击方式的特点在于攻击数据包量与传统方式相比较要少了很多,而且黑客在构造这些数据包的时候尽可能仿冒真实的数据请求包,使用户自己都难以区分,因而很难被侦测到。
目前来看,DDoS攻击发生的频率不断提高,每次攻击之间没有什么必然的联系,由于新型DDoS攻击的兴起,用户很难判断是否真正遭受到了DDoS攻击;即使用户了解到自己的应用正在受到攻击,也很难清楚区分DDoS攻击数据流与正常数据流之间的差别。而且在防范DDoS攻击的过程中如何不误杀正常数据也是DDoS攻击防范的难点之一。
高性能无惧数据洪流
在防范DDoS攻击时,辨别攻击数据流很重要,但最关键的一点是:抗DDoS攻击设备必须具备高性能。
Hillstone公司产品经理刘劲表示,防范DDoS攻击的难点在于如何早期发现僵尸网络,区分异常流量。攻击的流量越来越隐蔽,很难早期识别,而当发现的时候,服务已经濒临崩溃。
随着DDoS攻击仿真程度不断提升,采用传统的报文检测和协议检测的方式已经不能有效区分DDoS攻击和正常的访问请求,需要引入一部分内容检测的手段,才能加以判断。而对现有的安全产品(包含专用的抗DDoS攻击设备、防火墙、IPS、UTM)来说,不论是X86架构还是ASIC架构,或者是NP架构,在引入内容检测以后都会导致设备性能急剧下降。
在DDoS检测率和性能之间如何做选择呢?目前业界有两种解决方案:第一类是采用旁路方式,将异常流量进行牵引,通过检测以后再将误判的流量回注。这种方式避免了串行部署抗DDoS攻击设备,在性能不足时降低网络整体效率和可用性的风险,但性能和检测率的冲突问题并没有很好的解决,需要进一步通过多台设备形成完整的解决方案才能解决。第二类是通过采用新的硬件架构使得产品的性能得到大幅度提升。有效解决内容检测和协议检测带来的性能与检测率冲突的问题。在业界,大部分厂商采用多核硬件架构来达到要求。
2680
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
