核心提示： 對(duì)于企業(yè)和組織而言，分布式拒絕服務(wù)攻擊（DDoS）不僅是非常痛苦的，而且還會(huì)給公司打來巨大的損失。那么我們應(yīng)該如何防御這種攻擊呢？在此之前，我們可以通過帶外系統(tǒng)或流量清洗中心來抵御DDoS攻擊。但是現(xiàn)在我們又多了一種防御方法，即內(nèi)聯(lián)緩解（inline mitigation），這也是一種可行的自動(dòng)化解決方案。

對(duì)于企業(yè)和組織而言，分布式拒絕服務(wù)攻擊（DDoS）不僅是非常痛苦的，而且還會(huì)給公司打來巨大的損失。那么我們應(yīng)該如何防御這種攻擊呢？在此之前，我們可以通過帶外系統(tǒng)或流量清洗中心來抵御DDoS攻擊。但是現(xiàn)在我們又多了一種防御方法，即內(nèi)聯(lián)緩解（inline mitigation），這也是一種可行的自動(dòng)化解決方案。

 

 

         實(shí)際上，DDoS攻擊完全可以被當(dāng)作“大規(guī)模網(wǎng)絡(luò)攻擊”的代名詞。而且在某些特殊的攻擊場(chǎng)景中，攻擊流量可以達(dá)到每秒鐘好幾百Gbits，但是這種情況相對(duì)來說比較罕見。在大多數(shù)情況下，攻擊者可以用每秒鐘1Gbit（或者更少）的流量來對(duì)企業(yè)或組織的網(wǎng)絡(luò)系統(tǒng)發(fā)動(dòng)洪泛攻擊。而且這些攻擊的持續(xù)時(shí)間一般不會(huì)太長(zhǎng)，大多數(shù)DDoS攻擊只會(huì)持續(xù)三十分鐘左右。攻擊者可以通過DDoS攻擊來拖垮目標(biāo)網(wǎng)絡(luò)系統(tǒng)，而且往往會(huì)使整個(gè)網(wǎng)絡(luò)系統(tǒng)中所有的服務(wù)器全部下線。不僅如此，我們通常很難追蹤到攻擊者，而且這種攻擊也沒有什么很明顯的前兆，這也就使得企業(yè)和組織很難去檢測(cè)和防御DDoS攻擊。

 

 

           2015年5月份，安全咨詢機(jī)構(gòu)波耐蒙研究所（Ponemon Institute）發(fā)布了一份針對(duì)金融領(lǐng)域的網(wǎng)絡(luò)安全威脅分析報(bào)告。據(jù)統(tǒng)計(jì)，金融機(jī)構(gòu)檢測(cè)分布式拒絕服務(wù)攻擊平均需要花費(fèi)27天的時(shí)間，然后還需要花13天的時(shí)間去消除DDoS攻擊所帶來的影響。

 

           但是，這些攻擊的成本通常也比較高。根據(jù)波耐蒙研究所的另一份調(diào)查報(bào)告，DDoS攻擊的平均成本約為一百五十萬美元左右，但是如果公司無法向客戶提供服務(wù)的話，公司的實(shí)際損失金額一般都會(huì)超過DDoS攻擊成本的三倍之多。目前，DDoS攻擊平均每小時(shí)的成本約為38美金。所以無論如何，我們都應(yīng)該考慮一下到底應(yīng)該如何防御DDoS攻擊了。

 

 

           在最開始，行業(yè)內(nèi)在防御DDoS攻擊時(shí)普遍采用的是帶外DDoS保護(hù)。在這種防御機(jī)制下，網(wǎng)絡(luò)中的設(shè)備是獨(dú)立于路由器的。路由器負(fù)責(zé)傳輸來自互聯(lián)網(wǎng)的流量數(shù)據(jù)，然后發(fā)送元數(shù)據(jù)樣本，并向設(shè)備描述流量數(shù)據(jù)的內(nèi)容。如果系統(tǒng)檢測(cè)到了可疑的數(shù)據(jù)包或者探測(cè)到了DDoS攻擊的苗頭，那么便會(huì)立刻向用戶發(fā)出警報(bào)。

 

          與之相反，帶內(nèi)DDoS保護(hù)機(jī)制需要直接面對(duì)所有的通信數(shù)據(jù)流，并且在對(duì)流量進(jìn)行分析和處理的過程中，判斷哪些數(shù)據(jù)包需要丟棄，然后將有效的數(shù)據(jù)包發(fā)送給終端設(shè)備或用戶。

 

          內(nèi)聯(lián)系統(tǒng)可以查看到從某個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)流向另外一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)的通信流量，并且可以實(shí)時(shí)過濾和處理這些網(wǎng)絡(luò)流量。相對(duì)而言，帶外設(shè)備幾乎無法獲取到通信流量的樣本，而且這些數(shù)據(jù)早就已經(jīng)到達(dá)目的地址了。

 

 

 

          信息安全咨詢公司MWR Infosecurity的安全顧問Nick LeMesurier解釋稱：“雖然帶外流量分析可以允許安全人員在不影響通信數(shù)據(jù)流的情況下來對(duì)流量進(jìn)行更加復(fù)雜的分析，但是在檢測(cè)到攻擊和防御規(guī)則的實(shí)施之間會(huì)有一定的時(shí)間延遲。”因此，帶外解決方案通常對(duì)DDoS攻擊模式反應(yīng)較慢，而且這種防御機(jī)制本身并不會(huì)做任何實(shí)際的事情，而是會(huì)提醒其他的系統(tǒng)來采取相應(yīng)的防御措施。

 

           Dave Larson是Corero網(wǎng)絡(luò)安全公司的首席運(yùn)營(yíng)官兼首席技術(shù)官，他解釋稱：“部署一個(gè)內(nèi)聯(lián)的自動(dòng)化DDoS攻擊緩解方案將允許安全技術(shù)團(tuán)隊(duì)搶在攻擊者的前面，總是領(lǐng)先一步于攻擊者。”

 

           通常情況下，當(dāng)攻擊流量通過不斷轉(zhuǎn)發(fā)最終到達(dá)帶外DDoS攻擊緩解服務(wù)時(shí)，網(wǎng)站服務(wù)器都已經(jīng)下線超過三十分鐘了，而此時(shí)攻擊所造成的損失已經(jīng)無法挽回了�，F(xiàn)在隨著時(shí)間的推移和技術(shù)的發(fā)展，DDoS不僅變得越來越復(fù)雜了，而且攻擊所造成的直接經(jīng)濟(jì)損失也在不斷增加。為了應(yīng)對(duì)這一日益嚴(yán)峻的安全趨勢(shì)，我們就需要設(shè)計(jì)出一種高效的解決方案。當(dāng)攻擊發(fā)生時(shí)，能夠自動(dòng)消除惡意流量給網(wǎng)絡(luò)系統(tǒng)所帶來的影響，并且能夠允許管理員實(shí)時(shí)觀測(cè)到網(wǎng)絡(luò)系統(tǒng)的運(yùn)行情況。

 

 

          信息安全咨詢公司ECS的首席技術(shù)官Nathan Dornbrook認(rèn)為：“重定向是帶外系統(tǒng)中的一個(gè)關(guān)鍵功能。網(wǎng)絡(luò)通信流量必須要從路由器重定向至DDoS攻擊防御設(shè)備上，這樣防御系統(tǒng)才可以對(duì)數(shù)據(jù)包進(jìn)行深層次地分析。如果你是一家大型公司，而且你有兩家互聯(lián)網(wǎng)服務(wù)提供商（ISP）來幫助你進(jìn)行網(wǎng)絡(luò)流量的均衡負(fù)載。這往往意味著，如果你想要實(shí)現(xiàn)這種”重定向“的話，就必須要求其中一家服務(wù)提供商向另外一家服務(wù)提供商提供訪問自家網(wǎng)絡(luò)核心設(shè)施的途徑，而這是業(yè)內(nèi)的一種大忌。”

 

           Nathan Dornbrook警告稱：“如果你允許你的競(jìng)爭(zhēng)對(duì)手去訪問你自家網(wǎng)絡(luò)基礎(chǔ)設(shè)施中的路由表，這將有可能影響自身網(wǎng)絡(luò)服務(wù)的穩(wěn)定性。除此之外，這也往往意味著大量的惡意流量將有可能全部進(jìn)入服務(wù)提供商的核心網(wǎng)絡(luò)設(shè)施中。這對(duì)于網(wǎng)絡(luò)服務(wù)提供商和客戶來說，都是一件無比頭疼的事情。”

 

 

           Dornbrook指出：“隨著技術(shù)的進(jìn)步，內(nèi)聯(lián)緩解方案已經(jīng)逐漸發(fā)展成為一種不錯(cuò)的選擇了，而且在實(shí)現(xiàn)方式上我們也有多種選擇。有的人在進(jìn)行DDoS攻擊防御時(shí)，會(huì)使用到內(nèi)容分布網(wǎng)絡(luò)（CDN）和流量過濾功能，他們會(huì)對(duì)網(wǎng)絡(luò)通信流量進(jìn)行過濾，并且將最終的數(shù)據(jù)發(fā)送給你。這種服務(wù)雖然也有一定的作用，但是它們更適合網(wǎng)絡(luò)規(guī)模較小的客戶使用。”

 

           在這篇關(guān)于如何防御DDoS攻擊的文章中，系統(tǒng)與網(wǎng)絡(luò)安全協(xié)會(huì)（SANS Institute）指出：“基于云的防護(hù)服務(wù)并不能有效地幫助公司抵御那些”低緩“的DDoS攻擊。因?yàn)樵谶@類攻擊中，傳入網(wǎng)絡(luò)的數(shù)據(jù)包會(huì)慢慢消耗掉服務(wù)器資源，并且讓合法數(shù)據(jù)無法得到及時(shí)的響應(yīng)和處理。在這種場(chǎng)景下，攻擊者根本無需對(duì)目標(biāo)網(wǎng)絡(luò)進(jìn)行洪泛攻擊。”

 

 

 

          在這類攻擊場(chǎng)景中，攻擊者往往使用的是類似RUDY和Slowloris這樣的黑客工具。這種工具可以通過創(chuàng)建出數(shù)量相對(duì)較低（速度也非常慢）的通信請(qǐng)求來慢慢拖垮目標(biāo)服務(wù)器。由于Web服務(wù)器對(duì)于并發(fā)的連接數(shù)通常都有一定的上限，如果這些惡意連接一直都在嘗試與服務(wù)器通信，那么Web服務(wù)器的所有可用鏈接都會(huì)被惡意鏈接所占用，從而無法接受新的請(qǐng)求，導(dǎo)致拒絕服務(wù)。這種攻擊往往都是在網(wǎng)絡(luò)棧的應(yīng)用層（OSI模型的第七層）發(fā)生的。

 

           Nimbus DDoS公司是一家專門幫助客戶研究及模擬DDoS攻擊活動(dòng)的咨詢企業(yè)，該公司的首席執(zhí)行官Andy Shoemaker表示：“針對(duì)應(yīng)用層的攻擊往往是最棘手的，因?yàn)樗鼈兝�用的是系統(tǒng)架構(gòu)中的設(shè)計(jì)缺陷。”