智胜DDoS攻击

纵观网络安全攻击的各种手段和方法，DoS（DenialofService）拒绝服务类攻击危害巨大，有报道说黑客每周发起的DoS类网络攻击达到4000次之巨，据此看来，网络上将无时不刻的在承受DoS打击。而DDoS(DistributedDenial of Service)分布式拒绝服务攻击的出现无疑是一场网络的灾难，它是DoS攻击的演变和升级，是黑客手中惯用的攻击方式之一，破坏力极强，往往会带给网络致命的打击。就像网络的洪水猛兽一般，人们谈起DDoS无不为之变色。

    我们在很多电影中都看过这样的镜头，一个在闹市区被追捕的人往往会采用制造人群混乱的手段来阻碍追捕者，从而得以逃脱。再回想2003年北京那场突如而来罕见的大雪所造成的严重后果，整个城市的交通几于瘫痪，很多人因此都陷入有家不能回的困境。

    这些例子在某些地方跟DoS类攻击的性质很相近，黑客也是利用相关的技术手段制造网络阻塞，使正常网络交通停滞，被攻击目标的网络活动无法开展，从而达到攻击的目的。在信息化飞速发展的今天，网络已经成为众多企业业务运转的重要组成，尤其是对于像电信这样的服务提供商来说，拒绝服务攻击会带来的后果是灾难性的。

    一直以来DDoS是人们非常头疼的一个问题，它是一种很难用传统办法去防护的攻击手段，除了服务器外，带宽也是它的攻击目标。在美国白宫和一些站点被攻击的案例中都能看到它的身影。和交通堵塞一样，DDoS已经成为一种网络公害。

    传统DDoS防护手段及其局限性

    为了防止DDoS攻击，人们发展了一系列的方法，比较常用的有黑洞法、设置路由访问控制列表过滤和串联防火墙安全设备等几种，下面我们一道来看看这些方法的原理及其局限性。

    1.黑洞法

    顾名思义，它将像黑洞一样吸纳所有的网络流量，以保证服务器的安全。具体做法是当服务器遭受攻击之后，在网络当中设置一个访问控制，将所有的流量放到黑洞里面去扔掉。这个做法能够在攻击流量过来的时候，将所有攻击拒之门外，保证对整个骨干网不会造成什么影响，但它同时也将正常流量挡在了门外，造成服务器无法向外部提供服务，中断了与用户的联系。这种以牺牲应用为代价的做法，有点壮士断腕的意味，从某种意义上说还是让攻击者达到了目的。

    2.设置路由访问控制列表过滤

    这种方法企业用户自己不去部署，而是由电信等服务提供商对骨干网络进行配置，在路由器上进行部署。现在路由器上的部署就是两种方式，一种是ACL??作访问控制列表，还有一种方式是做数据限制。这两种方式都可以归结为ACL，它的最大问题是如果攻击来自于互联网，将很难去制作面向源地址的访问列表，因为源地址出处带有很大的随意性，无法精确定位，唯一能做的就是就面向目的地址的ACL，把面向这个服务器的访问控制量列出来，将所有请求连接的数据包统统扔掉。这种“宁可错杀一千也不放过一个”的做法后果显而易见，用户的服务将受到极大影响。另外一个缺陷就是在电信骨干上设置这样的访问控制列表将给访问控制量管理带来极大困难。而且采用这种方法还带有很大的局限性，它无法识别虚假和针对应用层的攻击。

    3. 串联的防火墙安全设备

    传统对DDoS的防护中，还有一种是采用防火墙串联的方法，对于流量已达几十个G的运营商骨干网络来说，由于防火墙能力和技术水平所限，几个G的防火墙设备很容易就会超载导致网络无法正常运行，而且具有DDoS防护功能的防火墙吞吐量会更低，即使是防火墙中的“顶尖高手”也是有心无力，无法担此重任。另外采用这样的方法无法保护上行的设备/缺乏扩展性，还有就是无法有效的保护面向用户的资源。

    人们在与DDoS的抗争中采用了多种方法和手段，但是从以上分析不难看出目前的方法效率不高，而且还存在着一些无法克服和解决的问题，显然无法有效保障网络和服务器免于DDoS的攻击的伤害，那么我们真的束手无策了吗？

    思科智能化DDoS防护系统原理



    思科智能化DDoS防护系统来自2004年4月份收购的Riverhead公司的创新技术，Riverhead公司自2001年以来一直专注于DDoS技术的发展，其产品在世界范围内得到了众多电信和大型企业的亲睐。智能化DDoS防护系统侦测器Detector和防护器Guard两部分构成。它具有使用方便，部署简单，无需改变网络原先构架，实行动态防护等优点，从根本上解决了DDoS的防护问题，其工作流程示意图如下：




    从图中我们可以看出，防护器采用和并联的方式接驳在骨干网络当中，对整个网络结构没有任何影响。当网络中有不良流量对网络进行攻击时，网络入侵检测系统（IDS）会向防护器发出报警，这样DDoS防护器就能知道网络中服务器被攻击的情况，他的目的是什么，是来自于什么样的地址。这时防护器立即启动开始工作（此过程一般为智能化自动处理，人工操作设置也可），通知路由器，将面向这些地址的流量全部都发送到防护器，暂时接管了网络中的这些数据流量，并对其进行分析和验证，所有非法恶意流量将在这里被截获丢弃，而正常的流量和数据将被继续传送到目的地。如图所示：

    对那些开展在线业务的企业来说，业务停滞和遭受攻击一样打击是致命的。在遭受攻击时服务器能够继续工作而不受影响，无疑具有极为重要的意义。

    思科的智能化DDoS防护器工作流程简单明了,非常适合电信等网络服务供应商的部署和思路，以上所讲的网络结构图也是典型的电信网络结构。   



    ——以DNS攻击为例

    说到防护器本身，它采用了一种被称为MVP（MULTIVERIFICATIONPROCESS）多次确认流程的专利技术，通过5层分析和过滤，能极为有效地识别和阻拦DDoS攻击。让我们通过一个伪装DNS的攻击防护的例子来图示一下MVP是如何工作的。

    如图3所示：

    在动态/静态过滤层作为第一关将过滤掉非DNS协议。

    而在第二个防虚假层将过滤掉那些虚假的DNS源，在这里采用了一种回溯技术，可以极为精确的确认DNS源是否存在，基本原理就像是邮局退回无人收取的包裹一样，如果在与访问者的IP地址进行通信而无法取得联系的话就可以判定地址的虚假性。

    如果一些非常隐蔽的攻击信息通过了以上两个关口，那么在第三层强大的统计分析系统会使它彻底的现形。一个不正常的DNS请求一秒大概会有两三次，不会特别多、特别频繁，如果统计分析这类地址请求超过10次/秒，或者20次/秒，它就是异常请求，会把它全部扔掉。

    经过以上过滤大部分的非法数据流量已被抛弃，就算还有一些手法高明的黑客能够经过以上3层，第四层的网络第7层协议分析功能也将会毁灭他们最后的企图。

    第5层最后将数据流重整后平安发往目的地。

    防护器采用专门的硬件结构来进行处理，使用了专用芯片，效率极高。在测试中，当网络流量达到600兆左右的时候，它的CPU占用率才1%，延时1毫秒左右，完全能胜任大型骨干网络的DDoS防护。

    重点保护电信IDC和在线企业

    思科DDoS智能防护系统适合于保护所有的网络，但根据业务的特点和重要性，思科认为，目前重点客户应该是电信运营商数据中心和在线企业两类。



    电信运营商可以将思科DDoS智能防护系统部署在骨干网的边缘，动态地为购买了该项服务的客户提供保护。防护器作为一个资源共享的设备，它可以根据需要动态地对网络中的上百台服务器进行保护，谁被攻击，就去保护谁，这点对于电信企业非常重要。在资源共享的同时它还有一个比较灵活的选择，可以对制定的服务器进行保护，对于非指定服务器则不实施保护。以下电信运营商边界部署模式示意图：

    在ISP边界部署思科DDoS智能防护系统对重点客户实施保护，既可以保护客户的服务器，也可以保护客户的带宽。

    思科DDoS智能防护系统同时也可以部署在企业内部去防护，不过这样的模式只能保护服务器不宕机，不能解决带宽被DDoS攻击占满的状况。对于拥有大量在线业务的企业，例如在线游戏、网上银行的公司，在运营商暂时还不能提供有效保护的情况下，企业自己保护服务器不要被DDoS破坏，仍然不失为一种很好的选择。

    Riverhead公司的产品2002年一经推出，便得很快在国外得到电信运营商、门户网站、在线游戏公司、在线支付公司的亲睐，AT&T、Sprint、Rackspace、Datapipe等ISP很快成为其客户。美国某个中型的在线游戏公司此前曾收到“网络恐怖分子”索要保护费以防被攻击，接下来果然被迫宕机了近两天，将带宽从100MB扩展到1GB都无济于事，安装了思科DDoS智能防护系统后问题迎刃而解。某金融机构周四首次遭受攻击时尝试通过跟踪和隔离攻击“肉机”的控制端解决问题，结果周五时攻击再次袭来，业务被迫中断，CEO要求用一切代价解决问题，周五、周六两天，思科提供解决方案，临时新增一个采用了思科DDoS防护系统的ISP接收所有流量，银行恢复上线，原有的ISP安装思科智能防护系统，才保住这个银行客户。正是因为Riverhead的市场潜力巨大，才使得思科公司用不到3个月时间就闪电式收购了Riverhead公司。

    当前，在中国也有越来越多的企业在网上开展关键业务，相信无论是通过ISP边界部署的模式，还是企业自己部署的模式，思科DDoS智能防护系统一定能够对这些企业提供牢不可破的DDoS保护。