by Jordanpan
分布式拒绝服务攻击DDoS是搞信息安全的人都非常头疼的问题。而且,悲观地看,从理论上看,拒绝服务攻击是难于彻底解决的。
- 从攻击者和攻击方式上看
- 站在被攻击目标之前进行保护
- 挡在被攻击目标前面的区域性防护
- 针对攻击源(僵尸网络和幕后操作者)的反制
- 通过调整被攻击目标的服务模式来规避
[separator]
从攻击者和攻击方式上看
从拒绝服务攻击的攻击方式分类来看:
- 利用被攻击目标的漏洞,以比较技术化的方式让被攻击目标不能提供服务。比如,将目标服务器中的一个应用系统服务进程搞宕。
- 以分布式的僵尸网络为攻击源,对于目标系统发起没有针对性的攻击。比如,一个大范围的分布式僵尸网发起一个ping或者TCP半连接攻击,造成目标系统的系统资源耗尽。
- 以分布式的僵尸网络为攻击源,实现用录制、脚本等方式模拟出一个非常真实的访问过程,然后让这个大规模僵尸网络同时向目标系统发起请求。
站在被攻击目标之前进行保护
如果针对这些拒绝服务攻击,第一种方式已经和一般性攻击的防护方式相同的。一般来说,用IDS、IPS和UTM等安全设备是可以基本解决这第一种问题的。是否有效,就是看你能不能识别出这种攻击的特征,并且有针对性地阻断和处理。现在来说,这类的拒绝服务攻击已经不是大家最最头疼的问题了。
对于第二种攻击方式。已经比第一种攻击方式要难一些。但是,毕竟攻击流还是有特征可以总结出来的。判断至少有两个:其一是有攻击特征、其二是大量的数据流没有业务意义。那么经过流量过滤和清洗就可以将这些恶意流分离出来。IPS系统或者IPS系统阵列,配合导流等机制可以在一定程度上解决这个问题。
但是,如果攻击流没有特征,而且还和目标系统的业务有关联,这个时候就难于将攻击流和正常访问流量区别开。这个时候,系统拒绝服务完全是由于资源耗尽导致的,可能是主机资源耗尽,可能是带宽资源耗尽。
挡在被攻击目标前面的区域性防护
针对攻击源(僵尸网络和幕后操作者)的反制
通过调整被攻击目标的服务模式来规避
用分布式服务来应对分布式拒绝服务攻击,比如,CDN