高防服务器网络安全的本质是人与人之间的较量,是一场战斗。正如军事理论家克劳塞维茨所述,即使在战斗的防御阶段,也需要进攻因素。网络中反抗DDoS攻击同样需要这两种因素。一方面,我们盼望能够禁止正在产生或者即将可能产生的DDoS攻击,减小DDoS攻击的规模,这需要我们积极地安全配置主机、网络和网络设备,打消其中的DDoS安全隐患,我们将这种反抗方法称为“治理”:另一方面,在DDoS攻击已经产生的情況下,作为被攻击的目标,通常会采用各种方法减小DDoS攻击造成的影响,从而保障其服务的可用性,我们将这种反抗方法称为“缓解”。
我们将从治理和缓解两个方面来讨论反抗DDoS攻击的方法。在治理阶段,需要进行尸网络的治理、地址捏造攻击的治理和放大器(攻击反射点)的治理;而在缓解阶段,则包含攻击流量的稀释和攻击流量的清洗两部分内容。反抗DDoS攻击的整体方法和过程如图1所示。
对DDoS攻击的治理包含儡尸网络的治理、地址捏造攻击的治理和攻击反射点(放大器)的治理。
对僵尸网络进行治理,能够从源头结束正在进行的DDoS攻击;对地址捏造攻击进行治理,能够把持和禁止未来可能产生的一部分DDoS攻击,并有利于定位攻击源头;而对攻击反射点的治理则重要在于把持和减小DDoS攻击的规模。现在这些治理方法分辨进行介绍。
僵尸网络的治理
对儒尸网络进行治理,切断DDoS攻击的源头,从理论上说这是反抗DDoS攻击最为有效的方法。然而,在实际操作过程中,治理僵尸网络需要面对诸多的艰苦和问題。
进行僵尸网络治理的重要艰苦在于,我们只有能够检测到网络异常,才干够知道系统沾染了僵尸程序。如果僵尸主机用于发动DDOS攻击,单位时间内产生大批的攻击流量,那么安装于网络出口的检測设备或许能提示异常,从部分主机的内存占用上也可能看出端倪。但如果这些通信流量很小,并做了加密,那么这些通信则极有可能被澺没于正常的恳求中而不被发觉,而我们也就几乎不能够察觉到受了沾染。
检测到沾染后,一般就能提取到样本,此刻遇到的另一个艰苦就是需要对样本进行逆向分析,找出需要的信息。根据样本的难易程度,这有可能要消费相当长的时间。不过走到这一步,治理就可以从两方面着手。
根据逆向分析的成果,编写僵尸程序扫除工具,分发至企业局域网的其他沾染主机进行扫除处理,同时将服务器域名或地址以及通信包特点参加规矩予以拦阻。迫于要挟响应的压力,这种做法通常是优先选择。这样做的不足在于,扫除掉的可能只是僵尸网络的冰山一角,全部儡尸网络仍然可以保持运营,我们的网络仍然面临被攻击的风险,如来自这个僵尸网络的DDoS攻击等。
吸收或摧毀全部僵尸网络。这种做法往往非常艰苦,因为僵尸网络的散布通常不局限于ー个地区、一个国家甚至一个洲,而常常散布于多个国家、多个洲,其相应的把持服务器也散布广泛。因此,这种跨区域的打击举动就需要政府间的和谐合作,这往往只有有突力、影响大的跨国公司才干做到。
