在网络安全界,DDoS攻击已经不是一个新鲜的名词。最早的DDoS攻击可以追溯到1996年,在中国DDoS攻击于2002年开始频繁出现,2003年已经初具规模。然而近几年,这个老生常谈的网络攻击方式却以新的攻击方式,给带来巨大的网络安全威胁。
“事实上DDoS攻击并不是一个陌生的话题,但却是一个绝对不容忽视的安全问题。” 梭子鱼技术总监贾玉彬如是说道,“简单概述,目前DDoS攻击新趋势是:从TCP/IP层上移到了应用层。”
根据 Gartner预测,DDOS攻击会占2013年所有的应用层攻击中的25%左右。基于应用层的DDOS攻击每年以三倍的速度增长。在过去,DDOS攻击使用大量伪造的UDP, TCP SYN, 或者ICMP流量来意图淹没目标网络。然而,当今的攻击平台已经进化到包含应用层的DDOS攻击,目标是Web系统和DNS系统。
贾玉彬表示:“随着攻击手段和攻击目标的变化,将使得任何一个互联网上的应用都可能会成为攻击目标,70%以上的为随机受害者。”在他看来,目前DDoS攻击的手段和方式主要有三种:
1、大流量型攻击,主要凭借大量的僵尸网络和应用层DDoS攻击受害者的Web应用,例如大流量访问需要消耗大量系统资源的url,从而导致Web应用崩溃;
2、匿名者组织,这个组织通过社交网络组织大量人力并提供LOIC和JS LOIC两种工具,这些来自社交网络的人员都是真真正正的人而不是僵尸主机,所以这种攻击更难于防范;
3、慢客户端攻击,这种利用了HTTP协议本身的缺陷,只需要非常少量的资源即可快速使目标受害者的站点陷入瘫痪,典型的工具如 Slowloris,目前这种攻击目前非常流行,从协议的合规性分析,这种攻击流量是正常的流量,所以依靠特征库和黑名单技术的防护设备检测不出这种攻击。
面对呈现新形式的DDoS攻击,贾玉彬指出中国在抵御DDoS攻击方面所做的工作仍有很大的提升空间;“目前,大部分的企事业单位还停留在防御对网络层的DDoS的攻击防护或者是对大流量攻击的防护,这显然是不够的。”
对此,贾玉彬也为在如何防御DDoS攻击方面提出了建议。他指出,防御DDoS攻击需要重点做好两个方面防御措施:
1、部署边界网络防火墙和IPS,过滤网络层的DDoS攻击;
2、部署Web应用防火墙(WAF),防御对应用层的DDoS攻击进行防护,前提是部署的WAF需要支持对僵尸(主机)网络攻击的识别和防护、慢客户端攻击的防护、匿名者攻击的防护。
不管怎样,当DDoS这种看似陈旧过时的攻击以新的攻击方式卷土重来的时候,如果不进行有效主动防御,那么本身就将有可能成为网络安全问题的一部分。对而言,这是一个绝对不容忽视的安全问题。