在我的上一篇日志 —“DDOS 响应:第一部分”中,我首先对如何应对分布式拒绝服务(DDOS)攻击进行了分析。而在这篇日志(DDOS 响应:第二部分)里,我将介绍一些面向专用网络的解决方案。
要前瞻性防范针对专用网络的攻击,一个解决方法就是将合法路径“隐藏”起来,使攻击者难觅其踪,并且要定期改变网络的拓扑结构。源地址过滤、秘密代理服务器 (servlet) 和虚拟覆盖网络(带有安全覆盖接入点,SOAP)在重新配置方案中是非常有帮助的:
如果任何传输需要穿过覆盖网络,都必须首先在覆盖网络的入口点(SOAP 机器)进行验证。只有经过确认的用户才能访问网络。如果攻击者发现了客户端前面的过滤路由器的地址,他们仍有可能进行强行攻击。
保护专用网的另一个解决方案是使用“Client Puzzle”等加密过程。此种方法需要客户端牺牲一些资源来证明自身是合法的。基本原理是,当服务器受到攻击时,它将小的加密 Puzzle 分发到提出服务请求的客户端。为了完成请求,客户端必须正确解开 Puzzle。
其他解决方案可以过滤和降低 DDOS 流量。在资源复制中(例如 XenoService),受感染计算机或网络通过生成所需资源的副本,对 DDOS 攻击进行响应。合法性测试 (NetBouncer) 可将合法流量与非法流量区分开。使用遏制技术,ISP 可以使用 honeypot 捕获恶意代码,然后研究和阻止这些代码。
为了撰写这些日志,我查阅了一些白皮书和理论论文。其中最重要的是 Vrizlynn Thing Ling Ling 博士在 2008 年 8 月的提交的一篇 204 页的博士论文,该论文给我留下了深刻印象。
我编写了下面的表格,总结我介绍过的响应方法的用法:
|
响应 |
时机与原因 |
|
追朔 |
当使用spoofing时,用于查找距离攻击源最近的点。 |
|
遏制 |
主要用于将攻击从真实目标转移。 |
|
重新配置 |
|
|
重定向 |
重定向到黑洞视为一种过滤方式。 |
|
过滤 |
如果检测的可信度很高,而且存在可识别的攻击流量,则应对匹配的流量进行过滤。 |
|
速率限制 |
用在淹没攻击过程中作为初始响应,其目的是防止网络被淹没。或当检测的可信度很低时。或是用于无法匹配可识别签名从而将攻击流量与合法流量区分开时。 |
|
资源复制 |
|
|
合法性测试 |
通过执行验证测试来验证客户端的身份。假定此类测试在 Internet 主机上广泛部署,如果合法用户希望他们的请求得到响应,他们要仔细了解“游戏规则”。 |
|
攻击者资源消耗 |
让客户端牺牲自己的一些资源,以证明它们的目的是让自身的合法请求得到满足。通过这种方式,如果攻击主机不愿意解开 Puzzle,则服务器能够将合法流量与 DDOS 攻击流量区分开。如果攻击主机分配资源,为每次攻击请求解开 Puzzle,则将降低攻击主机的速度。我们在此还假定此类 Puzzle 算法广泛部署在 Internet 主机上。 |
McAfee 的 McAfee Network Security Platform 系列的设备可以在安全防御中为客户提供帮助。
McAfee 的 NSP(前称为 IntruShield)传感器可以检测 DDOS 攻击,方法是记忆网络的“正常”流量行为,并根据与这些正常行为的偏差来检测攻击,这些偏差包括各种类型数据包(例如 ICMP、TCP SYN、UDP、IP 碎片)的数据包计数和速率等。详细信息请参阅以下所列的 McAfee 白皮书。
其他有用文档:
