|
DoS攻擊方式有很多種�����,最基本的DoS攻擊就是利用合理的服務(wù)請(qǐng)求來占用過多的服務(wù)資源����,從而使服務(wù)器無法處理合法用戶的指令。
而抗DDoS攻擊系統(tǒng)是針對(duì)業(yè)務(wù)系統(tǒng)的穩(wěn)定����、持續(xù)運(yùn)行以及網(wǎng)絡(luò)帶寬的高可用率提供防護(hù)能力進(jìn)行維護(hù)�����。然而�,自1999年Yahoo�����、eBay等電子商務(wù)網(wǎng)站遭到拒絕服務(wù)攻擊之后�����,DDoS就成為Internet上一種新興的安全威脅�,其危害巨大且防護(hù)極為困難��。
尤其是隨著黑客技術(shù)的不斷發(fā)展�,DDoS攻擊更是出現(xiàn)了一些新的動(dòng)向和趨勢(shì):
高負(fù)載—DDoS攻擊通過和蠕蟲、Botnet相結(jié)合�,具有了一定的自動(dòng)傳播、集中受控����、分布式攻擊的特征,由于感染主機(jī)數(shù)量眾多,所以DDoS攻擊可以制造出高達(dá)1G的攻擊流量�,對(duì)于目前的網(wǎng)絡(luò)設(shè)備或應(yīng)用服務(wù)都會(huì)造成巨大的負(fù)載。
復(fù)雜度—DDoS攻擊的本身也從原來利用三層/四層協(xié)議�,轉(zhuǎn)變?yōu)槔脩?yīng)用層協(xié)議進(jìn)行攻擊,如DNS
UDP Flood�、CC攻擊等。某些攻擊可能流量很小����,但是由于協(xié)議相對(duì)復(fù)雜,所以效果非常明顯�����,而防護(hù)難度也很高�����,如針對(duì)網(wǎng)游服務(wù)器的CC攻擊�,就是利用了網(wǎng)游本身的一些應(yīng)用協(xié)議漏洞。
損失大—DDoS攻擊的危害也發(fā)生了一些變化���,以往DDoS主要針對(duì)門戶網(wǎng)站進(jìn)行攻擊�,如今攻擊對(duì)象已經(jīng)發(fā)生了變化��。如DNS服務(wù)器、VoIP的驗(yàn)證服務(wù)器或網(wǎng)游服務(wù)器�,互聯(lián)網(wǎng)或業(yè)務(wù)網(wǎng)的關(guān)鍵應(yīng)用都已經(jīng)成為攻擊的對(duì)象,針對(duì)這些服務(wù)的攻擊����,相對(duì)于以往會(huì)給客戶帶來更大的損失。
疏與堵的博弈
近幾年來����,蠕蟲病毒是Internet上最大的安全問題,某些蠕蟲病毒除了具有傳統(tǒng)的特征之外�����,還嵌入了DDoS攻擊代碼�,加之Botnet的出現(xiàn)���,黑客可以掌握大量的傀儡主機(jī)發(fā)動(dòng)DDoS攻擊���,從而導(dǎo)致其流量巨大。在2004年唐山黑客針對(duì)北京某知名音樂網(wǎng)站發(fā)動(dòng)的DoS攻擊中��,其攻擊流量竟然高達(dá)700M�����,對(duì)整個(gè)業(yè)務(wù)系統(tǒng)造成了極大的損失。
目前絕大部分的抗拒絕服務(wù)攻擊系統(tǒng)雖然都號(hào)稱是硬件產(chǎn)品���,但實(shí)際上都是架構(gòu)在X86平臺(tái)的服務(wù)器或是工控機(jī)之上��,其關(guān)鍵部件都是采用Intel或AMD的通用CPU�����,運(yùn)行在經(jīng)過裁剪的操作系統(tǒng)(通常是Linux或BSD)上�,所有數(shù)據(jù)包解析和防護(hù)工作都由軟件完成����。由于CPU處理能力以及PCI總線速度的制約,這類產(chǎn)品的處理能力受到了很大的限制��,通常這類抗拒絕服務(wù)攻擊產(chǎn)品的處理能力最高不會(huì)超過80萬pps����。
然而,面對(duì)DDoS攻擊�,傳統(tǒng)X86架構(gòu)下的DDoS防護(hù)設(shè)備在性能及穩(wěn)定性上都很難滿足防護(hù)要求,更何況在傳統(tǒng)抗DDoS攻擊方案中����,基本上都采用了串聯(lián)部署(即:接在防火墻����、路由器或交換機(jī)與被保護(hù)網(wǎng)絡(luò)之間)的模式��,這種模式存在較多的缺陷:
一方面增加了網(wǎng)絡(luò)中的單點(diǎn)故障��,同時(shí)可能造成性能方面的瓶頸�����,尤其在攻擊流量和背景流量同時(shí)存在的情況下�,可能導(dǎo)致設(shè)備負(fù)載過高,從而影響正常業(yè)務(wù)的運(yùn)行;
另一方面�,以往的DDoS防護(hù)設(shè)備和防火墻系統(tǒng)都有著千絲萬縷的聯(lián)系���,所以其防護(hù)功能主要在協(xié)議棧的三層/四層實(shí)現(xiàn)�,這類設(shè)備針對(duì)目前承載在應(yīng)用層協(xié)議之上的DDoS攻擊防護(hù)乏力�。
正是因?yàn)槿绱耍覀儜?yīng)該從架構(gòu)上對(duì)整個(gè)抗拒絕服務(wù)攻擊設(shè)備進(jìn)行重新設(shè)計(jì)�,以達(dá)到從性能、功能以及穩(wěn)定性上滿足目前DDoS防護(hù)的進(jìn)一步需要��������?购A烤芙^服務(wù)攻擊���,可謂疏與堵的一場(chǎng)博弈��。
DDoS攻擊深深的危害著我們的網(wǎng)絡(luò)生活����,我們也在嘗試采用各種防護(hù)措施�����。 | 
免費(fèi)注冊(cè)
發(fā)表于 2011-12-23 01:43