|
|
|
基于大数据的DDoS防护 |
|
|
|
当前,DDoS攻击产生了革命性的变化,由纯粹的黑客技术炫耀逐渐形成了完整的黑客产业链,进而以恶意竞争、黑色产业链为目的的DDoS攻击越来越多大数据对大家来说意味着什么?攻击流量也越来越高,2013年3月,针对欧洲反垃圾邮件公司Spamhaus的300G DDoS攻击创历史新高。DDoS攻击,可谓互联网挥之不去的梦魇。
防御技术面临新挑战在开始谈DDoS流量清洗或者防护技术之前,先一起来看看DDoS攻击发展趋势:一方面,以SYN Flood、UDP Flood、DNS Flood为代表的虚假源攻击,大部分僵尸主机都来自IDC服务器,因此攻击峰值流量带宽越来越大,直接威胁网络基础设施,如网络带宽拥塞导致网络访问变慢、DNS服务器瘫痪造成网络业务大面积瘫痪;另一方面,针对具体应用的真实源攻击越来越多,典型代表如针对电子商务、网页游戏的CC攻击,此类攻击因需要僵尸主机和被攻击服务器建立TCP连接,为了隐藏僵尸网络,攻击流量越来越小,仿真程度越来越高,以有效躲避安全设备的识别。
2013年3月,欧洲反垃圾邮件公司Spamhaus的网站遭遇史上最大流量DDoS攻击,攻击流量峰值高达300G。同样从业界最大Anti-DDoS服务提供商Prolexic于2013年Q2发布的《Prolexic Quarterly Global DDoS Attack Report》可看到,有17%的DDoS攻击流量平均带宽超过60G。大流量DDoS攻击相对容易检测,但直接挑战防御系统的处理性能及对攻击的快速响应能力,否则攻击流量如决堤的洪水般会瞬间涌至被攻击网络,导致网络链路完全拥塞,部署在接入侧的安全设备完全失效。此类攻击必须依靠部署在网络上游的超大容量防御系统阻断,可见对超大带宽DDoS攻击的清洗系统比较适合由运营商或专业Anti-DDoS服务提供商构筑。业界针对大流量DDoS攻击的检测技术比较成熟,采用低成本的flow流分析技术即可。但清洗系统必须由高性能的硬件平台构成,单机可提供上百G的防御能力,否则防御设备本身就会成为网络瓶颈。
从DDoS攻击技术发展趋势看,攻击手段越来越复杂,应用层攻击越来越像客户端访问,直接威胁业务可用性。针对业务的应用层DDoS攻击,最大特点是攻击目标经过精心挑选,攻击流量小,攻击流量速度慢、持续时间长、手段隐蔽、攻击源分散等,最终形成的攻击效果是服务器IP可达,业务不可用。
DDoS攻击检测系统主要依靠流量模型识别攻击,流量模型越精确,越容易发现攻击。应用层小流量攻击检测难点在于小流量的攻击报文淹没在大流量的网络访问报文中,直接挑战检测设备流量模型的精准度。以10G访问背景流量下,针对移动Web应用的DDoS攻击为例,攻击流量峰值仅有250kbps(50QPS,平均包长600字节),但只要攻击目标选择合理,比如请求不存在的资源,每次查询都需要查询数据库,即可导致被攻击URI无法响应正常用户请求。当采用传统flow检测技术时,为了减少flow流日志对路由器转发性能的影响,一般抽样比设置为10000:1,而250k的攻击流量隐藏在10G的正常访问流量中,攻击报文仅占三十万分之一,这么大的抽样比,很难抽取到攻击报文。因此对flow流分析设备而言,攻击流量越小,越难反映到流量基线的变化。此外,flow流技术描述流量基线的模型仅限于pps和bps,无法深入到应用层,无法用QPS描述业务访问流量模型。由此可见,flow流技术确实不适合做应用层攻击检测。
而且针对应用层的攻击高度模拟业务访问行为,攻击源分散,每个源的访问流量甚至还小于正常客户端的访问流量。尤其是针对移动Web应用的DDoS攻击,导致传统防御系统重定向防御技术失效,传统防御系统则只能采取类似限制源的连接数以缓解攻击。但对移动应用而言,正常访问源即智能终端来自大量移动网关,最终体现为每个正常源IP(移动网关IP)的连接数比攻击源的连接数还高,因此限制连接数的做法会直接导致访问中断。
引入大数据分析华为率先把“大数据”技术应用到DDoS检测和防御中,从而在高仿真、高隐蔽性DDoS攻击检测与防御方面走在了业界前列。
为什么要大数据?RSA执行主席Art Coviello在2013年RSA大会上谈到他对安全行业中大数据应用的观点:“我看好大数据。从大数据分析中获取情报意味着我们不再只是响应攻击。黑客将如何攻击我们,这并不重要。重点在于从预防模式跳出来,大数据将让你更快速地检测和响应攻击。”
快速发现和响应应用层攻击的首要条件是防御系统能够多维度地精确描述流量模型。流量模型又可分为业务访问的流量模型和攻击的流量模型两种,业务访问的流量模型用于描述没有攻击时的网络状态,一旦业务访问流量模型发生变化,说明网络有异常。对于一次50QPS的CC攻击,250k的攻击流量隐藏在10G的正常访问流量中,攻击报文仅占30万分之一,仅仅用针对80端口的TCP报文的pps显然难以描述出业务访问模型的变化。事实上,用于检测攻击的业务访问模型必须用到目的IP的http get报文速率即QPS描述。为了防止正常访问流量突变,比如“双11”网络购物热潮引起的QPS突变< |
|
|
|
 相关博客新闻: |
|
|
