中國 北京(2013年8月26日)——近期數(shù)據(jù)顯示,針對應(yīng)用層的DDOS攻擊有加速的趨勢����。據(jù)預(yù)測,基于應(yīng)用層的DDOS攻擊每年以三倍的速度增長��,Gartner預(yù)測DDOS攻擊會占2013年所有的應(yīng)用層攻擊中的25%左右�����。研究指出����,黑客現(xiàn)在利用DDOS攻擊來分散安全管理員的注意力從而伺機(jī)竊取敏感信息或者用戶賬號中的金錢。Verizon在2012年的數(shù)據(jù)外泄研究報告中指出“這些攻擊比別的攻擊更加令人恐懼�����,無論是真的發(fā)生的或者是基于設(shè)想的。”連接互聯(lián)網(wǎng)的設(shè)備�,社交網(wǎng)絡(luò),和云計算的發(fā)展更是加速了這些新型的攻擊變化�。
過去,DDOS攻擊使用大量偽造的UDP, TCP SYN, 或者ICMP流量來意圖淹沒目標(biāo)網(wǎng)絡(luò)����。各種供應(yīng)商提供了不同的解決方案來對付他們,包括各種邊界設(shè)備和服務(wù)提供商提供的防御服務(wù)�,如,ISPs防火墻�,云服務(wù)����,CDN清洗平臺。然而����,當(dāng)今的攻擊平臺已經(jīng)進(jìn)化到包含應(yīng)用層的DDOS攻擊,目標(biāo)是Web系統(tǒng)和DNS系統(tǒng)�����。而且�,從攻擊者的角度來看,應(yīng)用層的DDOS攻擊需要更少的資源和可以更隱秘地進(jìn)行,他們能使用網(wǎng)絡(luò)基礎(chǔ)設(shè)施仍然能有回應(yīng)的情況下�,秘密地使應(yīng)用服務(wù)不可訪問,達(dá)到拒絕服務(wù)的效果����。
接下來,我們簡要闡述一些典型的針對應(yīng)用層的DDOS攻擊以及防御解決方案��。
僵尸網(wǎng)絡(luò)和應(yīng)用層DDOS攻擊
僵尸網(wǎng)絡(luò)是感染了惡意程序的網(wǎng)絡(luò)計算機(jī)被C&C服務(wù)器控制的一個龐大網(wǎng)絡(luò)��。最新攻擊不僅使網(wǎng)絡(luò)計算機(jī)�,還能使更多的移動設(shè)備和基于云的設(shè)備也成為肉雞。復(fù)雜的僵尸網(wǎng)絡(luò)程序��,如Mebroot��,可以運(yùn)行在操作系統(tǒng)之前��,避免防病毒軟件的檢測��,從而可以隨心所欲地控制成為肉雞的計算機(jī)����。
僵尸網(wǎng)絡(luò)與C&C服務(wù)器之間的通訊是在隱蔽的信道中進(jìn)行的,并且經(jīng)過加密�����,采用先進(jìn)的逃逸技術(shù)來掩蓋蹤跡,可以輕易地穿過防火墻而不被察覺�。控制僵尸網(wǎng)絡(luò)的黑客��,通過C&C僵尸網(wǎng)絡(luò)控制服務(wù)器來發(fā)布攻擊指令��,如發(fā)送垃圾郵件���,DDOS攻擊�,遍歷銀行個人用戶密碼信息或者信用卡號等信息�����。
目前��,租用或者創(chuàng)建僵尸網(wǎng)絡(luò)已經(jīng)成為繁榮的地下市場���。以下的DIY Zeus僵尸網(wǎng)絡(luò)統(tǒng)計圖顯示了被感染計算機(jī)的地理位置分布情況:
雖然防御DDOS攻擊非常重要,但是防止您的應(yīng)用服務(wù)器和網(wǎng)絡(luò)資源變成僵尸網(wǎng)絡(luò)的一部分也同樣重要��。把應(yīng)用服務(wù)器變?yōu)榻┦W(wǎng)絡(luò)的肉雞對于黑客來說具有非常大的吸引力�,因為服務(wù)器可以為他們提供更龐大的系統(tǒng)攻擊資源和為他們獲取更多的肉雞提供優(yōu)秀的平臺。
應(yīng)用服務(wù)器通常會含有定制的,自帶的����,或者是第三方的應(yīng)用程序。任何的零日漏洞都會導(dǎo)致被黑客攻擊而使您的服務(wù)器或網(wǎng)絡(luò)資源成為僵尸網(wǎng)絡(luò)的活動區(qū)域�����。梭子魚Web應(yīng)用防火墻提供健壯的安全特性來防止惡意軟件的上傳���,命令注入��,目錄遍歷�����,或者任何其他諸如探測或者攻擊等的入侵應(yīng)用服務(wù)器的行為�。
防御HTTP GET和POST洪水攻擊
Web應(yīng)用通常會有一些調(diào)用數(shù)據(jù)庫�,內(nèi)存或者CPU運(yùn)算等的比較消耗資源的頁面或者接口。例如��,文本搜索���,僵尸網(wǎng)絡(luò)會頻繁地訪問這些頁面導(dǎo)致Web應(yīng)用崩潰���。
對于這種情況�����,梭子魚第一層的保護(hù)是為特定的應(yīng)用設(shè)定合適的人為訪問閥值���。例如,人們訪問銀行業(yè)務(wù)的應(yīng)用大概會在1分鐘內(nèi)訪問10個頁面�����,那我們就把這個閥值設(shè)置好�,而且,人為的訪問會帶有有效的客戶端報頭�,如Cookies和Referrers報頭。一般通過腳本程序來訪問的話都不會有這方面的信息��。
防御HTTP“Slow Attacks”
一些攻擊手段會使僵尸主機(jī)與攻擊目標(biāo)的交互停留在局部的請求與應(yīng)答當(dāng)中�,并且提供滿足最低交互要求的數(shù)據(jù)以防止服務(wù)器訪問超時關(guān)閉會話。這種攻擊以消耗系統(tǒng)資源來使得應(yīng)用處理效率降低��,最后導(dǎo)致服務(wù)器沒有能力再處理新來的請求流量��。這種攻擊稱為“low and slow”攻擊���,因為只需要小部分的客戶端通過較低的網(wǎng)絡(luò)帶寬就可以暗地里地和慢慢地完成對服務(wù)器的DDOS攻擊���,這種攻擊目前非常流行。
Slowloris攻擊是典型的Slow攻擊�����,它會在一定的時間間隔內(nèi)向攻擊目標(biāo)服務(wù)器重復(fù)初始化和發(fā)送HTTP報頭��,但是卻不會把報頭發(fā)送完畢�,這使得服務(wù)器線程和網(wǎng)絡(luò)資源不能被釋放出來,最終導(dǎo)致服務(wù)器資源耗盡達(dá)到拒絕服務(wù)攻擊的效果���。從協(xié)議的合規(guī)性分析�,這種攻擊流量是正常的流量�,所以依靠特征庫和黑名單技術(shù)的防護(hù)設(shè)備是檢測不出這種攻擊的。
憑借著反向代理技術(shù)���,協(xié)議和應(yīng)用可視性的優(yōu)勢�,梭子魚Web應(yīng)用防火墻可以識別和阻斷不正常的流量�,通過自適應(yīng)安全算法監(jiān)控不斷增長和聚合的通訊流量,關(guān)閉惡意連接���,從而防止這些惡意流量過度地消耗系統(tǒng)資源�����。
基于客戶端完整性檢查防御僵尸網(wǎng)絡(luò)攻擊
除了像Google和百度這些搜索引擎索引Web頁面之外����,面向互聯(lián)網(wǎng)訪問的絕大部分的Web應(yīng)用流量都是來自于用戶的瀏覽器,如Internet Explorer, Firefox, Chrome, 或者 Safari等�����。然而來自僵尸網(wǎng)絡(luò)的流量通常由自動化的腳本程序產(chǎn)生��,和瀏覽器正常產(chǎn)生的流量不一樣�����。因此����,采用一些探測性的算法可以把人為產(chǎn)生的流量和僵尸網(wǎng)絡(luò)產(chǎn)生的流量區(qū)分開來。
梭子魚Web應(yīng)用防火墻提供兩種方法來檢測和過濾產(chǎn)生這些流量的源頭�����。第一種方法是�����,通過在可疑的客戶端訪問中插入檢測指令來檢驗Web瀏覽器和應(yīng)用會話是否正常�����,這是一種被動的挑戰(zhàn)應(yīng)答方式���,這種方式不會干涉正常的人為訪問流量���,但是可以檢測和阻斷僵尸網(wǎng)絡(luò)產(chǎn)生的流量。第二種方法是主動的挑戰(zhàn)應(yīng)答方式��,通過驗證碼的方式驗證客戶端的訪問是否正常����,這種方法不需要修改后端Web服務(wù)器的任何配置。
由于驗證碼驗證方式會干涉用戶的訪問���,所以企業(yè)和組織可以合理利用這兩種被動和主動的檢測算法��,只對經(jīng)過被動式檢測到的可疑客戶端使用主動式的驗證碼驗證方式�����。
使用地理位置IP信息降低DDOS攻擊的可能性
僵尸網(wǎng)絡(luò)分布于世界各個角落��,在某些國家和地區(qū)尤為嚴(yán)重���,在不同的地理位置發(fā)動攻擊�。梭子魚Web應(yīng)用防火墻具有內(nèi)置的地理位置IP信息庫��,可以定位具體發(fā)動攻擊的IP地址的地理位置�����。在攻擊發(fā)生過程中����,可以使用該功能阻斷來自某個發(fā)動攻擊的主要國家或地區(qū)的攻擊流量。
根據(jù)僵尸網(wǎng)絡(luò)分布的足跡����,大約30%-70%的攻擊流量可以被基于地理位置的訪問控制策略阻斷。這不僅僅可以使您可以繼續(xù)為正常地區(qū)的用戶提供Web應(yīng)用服務(wù)��,而且可以釋放系統(tǒng)資源和網(wǎng)絡(luò)帶寬。
使用客戶端IP地址信譽(yù)過濾僵尸網(wǎng)絡(luò)流量
僵尸網(wǎng)絡(luò)逐步發(fā)展得越來越大規(guī)模�����,通��?梢员焕脕戆l(fā)垃圾郵件��,DDOS攻擊�����,APTs等���。梭子魚網(wǎng)絡(luò)在郵件安全,上網(wǎng)安全�,網(wǎng)絡(luò)安全和Web應(yīng)用安全等領(lǐng)域可以提供成熟的安全解決方案,并且全球客戶數(shù)已經(jīng)超過150000�����。梭子魚擁有業(yè)界領(lǐng)先的信譽(yù)數(shù)據(jù)庫�,包括惡意威脅分類規(guī)則庫和惡意IP信息庫,這就是由梭子魚實(shí)驗室維護(hù)的梭子魚信譽(yù)黑名單(BRBL)���。
梭子魚Web應(yīng)用防火墻集成BRBL來防御僵尸網(wǎng)絡(luò)的攻擊�����。在持續(xù)不斷的DDOS攻擊期間��,梭子魚的信譽(yù)技術(shù)可以很好地檢測和阻斷針對您的服務(wù)器的僵尸網(wǎng)絡(luò)流量攻擊���。另外��,梭子魚Web應(yīng)用防火墻具有阻斷來自于匿名和中繼代理的流量的能力�����,這些代理經(jīng)常被黑客用來探測和執(zhí)行高級持續(xù)性的威脅攻擊���。
所有上述的信譽(yù)地址庫都可以自動實(shí)時地通過梭子魚的活力更新(EU)下載到設(shè)備上,從而可以保證設(shè)備使用最新的規(guī)則地址信息庫而不需要管理員的人工干預(yù)��。
綜述防御應(yīng)用層DDOS攻擊
綜上所述���,企業(yè)需要采用一套綜合的防護(hù)策略來對付僵尸網(wǎng)絡(luò)以及基于應(yīng)用層的DDOS攻擊�����,應(yīng)用層流量的可視性和可控性是網(wǎng)絡(luò)分層防御策略的關(guān)鍵元素���,可有效地防御多元化的DDOS攻擊����。
有時��,企業(yè)或組織不太愿意采用DDOS防御系統(tǒng)的原因主要是考慮到成本����、效果和投資回報率等問題�����。梭子魚Web應(yīng)用防火墻是一個硬件或者虛擬化的應(yīng)用層解決方案�����。它整合了實(shí)時狀態(tài)分析技術(shù)和歷史數(shù)據(jù)智能分析技術(shù)來防御應(yīng)用層的DDOS攻擊�。梭子魚Web應(yīng)用防火墻可以基于應(yīng)用閥值,協(xié)議檢測��,會話完整性���,主動和被動的客戶端挑戰(zhàn)應(yīng)答方式�����,客戶端歷史訪問信譽(yù)���,地理位置��,匿名代理檢查等技術(shù)來防御應(yīng)用層的攻擊�����。所有這些技術(shù)都已經(jīng)集成到加固了的應(yīng)用防火墻系統(tǒng)平臺�����,提供卓越的ROI和合規(guī)性的功能���。不像一些服務(wù)提供商解決方案那樣根據(jù)流量收費(fèi),梭子魚Web應(yīng)用防火墻防御DDOS攻擊不會根據(jù)攻擊的流量和頻率來收費(fèi)���,可以最低的成本提供實(shí)時的防護(hù)手段���。
