这样的报刊标题太司空见惯了:攻击者黑掉了著名网站。这一对业务的威胁日趋严重的事件背景是分布式阻绝服务(DDoS)。重要的是,企业要对DDos的威胁有所察觉,并采取预防措施,才能避免成为出现在报刊头条上的下一个DDoS攻击受害者。
以下内容阐释了什么是DDoS攻击,并提供了操作步骤,帮助您尽可能地降低DDoS的影响,甚至是在理想的情况下彻底地规避攻击。
风险并非虚幻,且危险性越来越高
如果您觉得您的公司很小、很不重要,资金也不雄厚,不足以为攻击者感兴趣的下手对象,则请您三思。任何公司企业都可能成为受害者,大多数机构都容易遭到DDoS攻击。无论您是《财富》世界500强企业、政府机构还是小中企业(SMB)——都会出现在当今网络暴徒的目标清单之中。即使是深谙安全之道、动用大量资金和专家保护自身的公司,包括亚马逊、维萨卡、索尼、孟山都(Monsanto)农业生化、PostFinance支付、贝宝( PayPal)支付和美洲银行(Bank of America),也都成为了这一威胁的受害者。
最近,DDoS攻击事件的数量明显增加,其攻击规模也在升级,远远超过了100千兆位秒的流量。对亚洲一家电子商务网站的一次长时间攻击形成的僵尸网络涉及超过25万台僵尸电脑,据说其中很多都在中国。
DDoS的攻击形式五花八门
从最基本的层面上讲,DDoS攻击是企图让一台机器或一个网络的资源无法为目标用户所使用。虽然DDoS攻击采用的手段、动机和目标有所不同,但这种攻击一般包括一人或多人试图暂时或无限期中断或暂停主机与互联网连接的服务。
通常情况下,这要通过分布式僵尸网络的协作来进行,要动用数百或数千台僵尸电脑,这些电脑之前已被感染并接受远程遥控,等待攻击者发出命令。DDoS攻击的方式是通过发起潮水般的大批量通信,强制覆没服务器资源,或利用内在弱点,让目标服务器崩溃。
潮水攻击包括网间控制报文协议(ICMP)潮(比如smurf和Ping潮水攻击)、同步符(SYN)潮(使用伪造的TCP/SYN包),以及其他应用程序级的潮水攻击。潮水式DDoS攻击往往借力于大型分布式僵尸网络的不对称力量。这些网络可以创建多个线程,发送极大数量的请求,使得网络服务器瘫痪。
崩溃攻击通常发送利用操作系统漏洞的畸形数据包。应用程序级的DDoS攻击通过利用服务器应用程序(比如缓冲溢出或叉路炸弹)来使系统崩溃。恶意软件搭载的DDoS攻击可能用木马病毒危害潜在的僵尸网络系统,木马反过来会触发大量下载僵尸代理程序。
此外,攻击已经变得更加复杂。例如,僵尸网络可能不仅仅对目标服务器潮水般地传播数据包,而且有可能侵入性地与服务器建立联系,从内部启动极大数量的伪造应用处理。
为什么用DDoS?
犯罪分子使用DDoS,因为它价格低廉、难以发现且十分高效。DDoS攻击很便宜,是因为它们利用了由成千上万的僵尸电脑组成的分布式网络,这些电脑通过电脑蠕虫病毒或其他自动化方法俘获。例如,DDoS攻击MyDoom就是使用一种蠕虫病毒来散布潮水攻击发起的命令。因为这些僵尸网络在全球范围内买卖,在黑市上唾手可得,攻击者可以用不到100美元购买僵尸网络的使用权进行潮水攻击,或者以低至每小时5美元的价格雇佣他人进行特定的攻击。
DDoS的攻击很难探测到,因为它们经常使用正常的连接,并模仿正常的授权通信。结果,这种攻击非常高效,因为通常情况下目标服务器会错误地信任通信,执行这些请求而最终将自身淹没,促成了攻击。比如,在HTTP-GET潮水攻击(例如Mydoom)中,请求通过正常的TCP连接发送,并被网络服务器认定为合法内容。
受金钱或意识形态驱使
受金钱驱使的DDoS攻击通常是基于敲诈勒索或竞争。勒索方案往往是要求受害组织支付大笔赎金来防止拒绝服务,从而使勒索方获利。例如,据报道,一家英国的电子赌博网站在拒绝赎金要求后,遭到了DDoS攻击而瘫痪。
来自不道德商业竞争对手的攻击比人们想象中的更为普遍。一项行业调查发现,对美国企业的所有DDoS攻击有一半以上是由竞争对手发起的,以得到不正当的商业优势。
意识形态攻击可能由政府机构或草根黑客积极分子发起。黑客积极分子通过阻塞高知名度的组织或网站来让自己出名,以表达不同的政见或抵触的做法。也许当今最臭名昭著的黑客积极分子的例子之一是松散的团体“无名氏(Anonymous)”,其声称自己的职责(和名声)是黑掉知名组织,像联邦调查局和中央情报局等的网站,并已经瞄准了遍及六大洲的25个国家的网站。
下一个受害者是谁?
因为黑客积极分子的攻击日程很不稳定、无法预测,任何公司都有可能被当做最新热点的象征,受到黑客的攻击。知名度高的组织(比如Facebook)或活动(比如奥运会、欧洲杯或美国大选)的网站极易成为攻击目标。
而对于由政府发起的网络战DDoS攻击,易受袭击的就不止是政府目标了。这些攻击也可能瞄准提供关键基础设施、通讯和运输服务的关联供应商,或者试图损坏关键业务或金融交易服务器。
基于云的服务现在也特别容易遭受针对性的攻击。因为需要进行过量计算或事务处理的网站(比如综合性的搜索引擎或数据挖掘网站)非常迫切地需要资源,它们也是DDoS攻击的首选目标。
IT部门能做什么?
显然,IT部门需要提高警惕,先发制人,抵御DDoS攻击。行业分析公司加特纳(Gartner)指出,“当企业依赖于互联网连接的可用性时,DDoS攻击防护应该成为商业连续性/灾难恢复规划的一个标准部分,并纳入所有的互联网服务采购计划。”2 要有效做到这一点,一家企业必须在面对DDoS攻击时得到预先示警,做好准备充分,并具备应对的弹性。
IT部门需要得到预警
简单来说,IT部门应该知道谁是网络服务提供商(ISP)。IT部门应该与服务提供商携手合作,制定好有效的应急预案。在许多情况下,网络服务提供商可能成为抵御DDoS攻击的第一条防线。
IT应该清楚自身的薄弱环节。一个准备充分的IT组织应该能够识别最容易被DDoS攻击覆没的网络部分,比如互联网管道、防火墙、入侵防御(IPS)、负载平衡器或服务器。此外,IT部门需要密切监视这些可能在攻击下陷入瘫痪的部分,并且评估是否需要升级或优化其性能和弹性。
最后,IT部门应该了解自身的通信情况。IT部门无法控制其无法看到的事物。因此,IT部门应该扫描和监视进出流量,以便看到异常的通信量或模式,并通过这些异常确定目标网站或发现网络内的僵尸网络。为了做好充分准备,IT部门也需要查看7层的通信流量,以确定和控制混合的、应用程序层的DDoS攻击。
IT部门需要常备不懈
IT组织应该在评估和部署适当的应对产品和服务上大力投资。例如,一些下一代防火墙具备集成入侵探测和应对已知DDoS攻击预防对策,只需有持续提供最新签名,就能自动更新。
理想情况下,IT部门需要防火墙深入扫描出站和入站的通信流量——包括查看应用程序——并且监控可疑模式,以及向管理层示警。IT部门应该确定防火墙解决方案可以根据识别的模式、通信量或特征,通过阻断、过滤或重新定向,对DDoS攻击实施补救。
为了综合性通信智能,IT部门也可以考虑安装流量分析软件,这些软件能够按照不同应用程序或用户检查使用数据、在不同的时间段查看数据,并且关联多个来源的通信数据,比如NetFlow和IPFIX。
展望未来,IT部门的领导应该时时关注新兴技术,以便将其纳入武器库。例如IP地理定位,这种技术可以帮助识别入站数据包的可疑地理来源。
IT部门应该具有弹性
如上所述,拒绝服务攻击是建立在系统覆没和堵塞上的。只要有可能,IT部门应该凭借高冗余、高性能的组件,以及基于政策的带宽管理,提高网络的弹性。
例如,某些下一代防火墙可以结合大规模扩展多核设计和近线速深层数据包扫描技术,实现多重威胁和应用同步扫描、对所有大小文件的分析和数千兆速度的连接。这类防火墙可以针对的受到攻击进行最佳性能和灵活性配置,带有主动/主动高可用性(HA)故障转移、应用智能和控制,以及带宽优先化。
结束语
如果一家组织的业务遍布互联网,那么,它成为DDoS攻击的目标将不是会与不会的问题,而是何时的问题。不过,IT部门有很多可以采取的措施,尽量减少和避免这种影响。IT组织应该与公司领导层密切配合,提早警示自身的薄弱部分,准备好相应的对策,并凭借高性能、高冗余的网络安全组件来灵活地抵御攻击。