防DDoS不再是UTM的短板

那罡

據(jù)安博士病毒監(jiān)測中心的2008年研究報告,無論從組織方式還是從攻擊手段上看,僵尸網(wǎng)絡(luò)與DDoS攻擊都對IDC用戶及網(wǎng)絡(luò)業(yè)務(wù)型企業(yè)威脅巨大,已經(jīng)逐漸成為企業(yè)面臨的首要安全威脅。

DDoS攻擊發(fā)生的頻率不斷提高,每次攻擊之間沒有什么必然的聯(lián)系。

由于新型DDoS攻擊的興起,用戶很難判斷是否真正遭到DDoS攻擊。即使用戶了解到自己的網(wǎng)絡(luò)應(yīng)用正遭受攻擊,也很難清楚區(qū)分DDoS攻擊數(shù)據(jù)流與正常數(shù)據(jù)流之間的差別。而且在防范DDoS攻擊的過程中如何不誤殺正常數(shù)據(jù),也是DDoS攻擊防范的難點之一。

DDoS攻擊危害巨大

DDoS帶來的危害是巨大的,很多門戶網(wǎng)站遭DDoS攻擊后,網(wǎng)頁無法顯示,甚至是全面癱瘓,給企業(yè)造成巨大的損失。對于提供帶寬服務(wù)的電信運營商來說,大型的DDoS攻擊不僅影響其個別用戶,甚至可以對整個運營商的網(wǎng)絡(luò)造成威脅,導(dǎo)致個別地區(qū)的網(wǎng)絡(luò)鏈路全面擁塞,嚴(yán)重影響業(yè)務(wù)。

DDoS攻擊的原理很簡單,就是對很多被控制的電腦一起發(fā)動DoS攻擊,并模擬真實流量,以假亂真,達到強悍的攻擊效果。但這種“群毆”式攻擊并不需要很多黑客一起參與,一名黑客即可獨自操作。由于攻擊流量巨大,因此會帶來服務(wù)器和帶寬資源的嚴(yán)重損害:

服務(wù)器資源耗盡:海量的SynFlood等DDoS攻擊會造成運營商自身以及重要客戶的關(guān)鍵服務(wù)器資源耗盡,造成關(guān)鍵業(yè)務(wù)應(yīng)用如DNS和Web等的中斷從而引起大面積的互聯(lián)網(wǎng)訪問故障和應(yīng)用停止,給運營商的業(yè)務(wù)和信譽帶來巨大損害,造成運營商及其客戶在經(jīng)濟上無法估量的損失。

帶寬資源耗盡:運營商骨干帶寬資源較為充裕,但是下級客戶接入的帶寬資源有限。大規(guī)模的DDoS攻擊可以輕易將用戶接入的帶寬完全占用,從而導(dǎo)致大面積的應(yīng)用無法訪問,或者用戶無法訪問互聯(lián)網(wǎng)。

化解UTM難題

DDoS攻擊通過消耗服務(wù)器端資源、迫使服務(wù)器停止響應(yīng),阻止合法用戶對正常網(wǎng)絡(luò)資源的訪問。為了防御運營商難以避免而且日益嚴(yán)重的網(wǎng)絡(luò)威脅,一些安全廠商也相應(yīng)發(fā)布了自己的DDoS防御解決方案。

安博士全球CEO金弘善說,由于DDoS攻擊會發(fā)送大量64Bytes的小數(shù)據(jù)包,導(dǎo)致一些UTM不能達到線速。這種技術(shù)瓶頸使UTM產(chǎn)品在現(xiàn)有平臺上解決DDoS防御一直是業(yè)界公認的難題。

據(jù)了解,AhnLab TrusGuard UTM系列產(chǎn)品對DDoS的防御相對于其他UTM產(chǎn)品有一些特別的優(yōu)勢。該產(chǎn)品利用分工明確的感知和阻斷機制,通過五個步驟有效阻斷DDoS的攻擊:

第一步,啟動DDoS Detection Engine(DDoS感知引擎)。當(dāng)發(fā)現(xiàn)系統(tǒng)中超過一定的Session數(shù)值臨界值時,判斷是否存在DDoS攻擊。

第二步,啟動Anti Spoofing Protection(反欺詐保護)。將攻擊時的TCP登錄假想為Call Pickup(代接),并對出現(xiàn)的虛擬封包數(shù)據(jù)進行過濾。

第三步,啟動Dynamic Protection(動力保護)。對DDoS攻擊時的封包類型進行實時分析,當(dāng)判斷其為攻擊封包時,開啟限速功能。

第四步,啟動正常的Segment Protection(IP頻帶保護)。當(dāng)用戶平時登錄時,對每個原始IP頻段的Session進行統(tǒng)計。通過自動識別能力,在發(fā)現(xiàn)非正常Session登錄的IP 頻段時,判斷其為DDoS攻擊,并對登錄相應(yīng)IP的數(shù)據(jù)包實行限速。

第五步,啟動HTTP BotNet Protection(HTTP僵尸網(wǎng)絡(luò)保護)功能能有效阻斷因連接TCP Session而發(fā)生的大量僵尸網(wǎng)絡(luò)。

金弘善表示,DDoS攻擊很狡猾,也很難預(yù)防,但是用戶可以通過這樣的方式及時減輕DDoS攻擊對網(wǎng)絡(luò)的影響,也彌補UTM對防范DDoS方面的不足。面對攻擊,用戶還需要具備快速響應(yīng)速度和正確的處理方法,這樣就可以及時發(fā)現(xiàn)攻擊數(shù)據(jù)流并將其阻擋。