网分布式拒绝服务攻击的防范技术.docVIP

网分布式拒绝服务攻击的防范技术 　　近来，在许多流行的Internet站点上都出现了被分布式拒绝服务(DDOS)攻击的情况，安全概念已经被提到了Web站点设计的日程中，对于电子媒体和电子商务而言，也面临同样的问题。 　　DDoS攻击给公共Internet上的任何在线应用程序或服务的可用性带来严重的威胁。这些攻击的发动是针对电子媒体和商务应用程序、网站、DNS服务、在线游戏和金融服务，这些攻击阻碍客户访问应用程序，给运行应用程序的企业和电信运营商带来严重的经济损失。 　　当今的DDoS攻击比以往更加复杂和剧烈。攻击者使用病毒和蠕虫(如Code Red、Netsky和Bagle蠕虫变体)在受入侵的机器上安装BOT(分布式DoS接驳工具)。这些技术使攻击者能够使用数以千计的受远程控制的BOT机器来组织巨量的分布式DoS攻击。 　　 　　拒绝服务攻击的防护 　　 　　Radware DefensePro以及负载均衡器能够提供广泛的拒绝服务保护功能，包括以下四方面：防护由一个或几个分组攻击引起的DoS攻击。这些攻击利用服务器或网络漏洞，例如缓冲区溢出、死亡之Ping和Land攻击等。 　　TCP、UDP和ICMP Flooding保护――高级抽样法和基线行为监视提供端到端流量检测，快速识别异常的流量模式，拦截已知攻击特征，同时维持合法流量的流动。 　　SYN Flood保护――针对已知及未知SYN Flood，使用基于代理的嵌入式SYN Cookies保护机制。DefensePro每秒可阻止多达700，00O个SYN，从而保护网络免遭SYNFlood攻击。 　　DHCP Flood保护，维护分布式网络访问。 　　 　　Radware的DoS防御模块 　　 　　Radware的DoS防御模块通过使用高级的采样机制以及基准流量行为监视，以识别流量异常，并提供实时的、数千兆位的DoS攻击防护。该机制拿采样流量与DoS攻击特征(潜伏攻击)的列表作比较，这些攻击特征保存在DefensePro的攻击数据库中。一旦达到了某项潜伏攻击的激活阀值，则该攻击的状态变为“当前活动”，意味着将拿每一个数据包与该当前活动攻击的特征文件相匹配。如果发现了匹配，则丢弃相应数据包。若没有发现匹配，则将数据包转发至网络。通过高级的采样机制来检测DoS攻击有利于最大程度的防范DoS和DDoS攻击，亦可维持高速网络的快速吞吐。 　　Radware新的DoS Shield模块(此模块是SynApps架构的一部分)，能够在保持网络高吞吐量的情况下，为组织提供全面的DoS检测和保护功能。此原理基于以下事实：零星的攻击只消耗可以忽略不计的带宽，这种情况是大多数网络都可以接受的，不需要任何计数器操作。但是，在攻击开始消耗大量的网络带宽时，就会对网络产生威胁。DoS Shield模块采用高级的采样算法检测此类事件的发生，并自动执行操作以解决问题。通过将独特的采样方案与Application Switch平台强大的计算能力相结合，在最快的速度下提供最可靠的安全性。 　　DoS Shield模块包括两种并行工作的机制：一种统计监视流量，查看是否有任何预配置的攻击(休眠攻击)处于活动状态。检测到活动攻击时，将根据此攻击对每一个数据包进行检测，这是第二种机制的职责。模块中包含一个“当前活动攻击”的列表，将通过设备的所有数据包与每个攻击进行比较。 　　每个数据包与“当前活动攻击”列表进行比较。如果没有发现匹配，一部分数据包与休眠攻击进行比较，其余部分则直接转发到网络，不使用休眠攻击进行检查。 　　DoS Shield记录与休眠攻击和当前活动的攻击匹配的数据包数目。一旦达到休眠攻击的激活阈值，其状态将更改为“当前活动的”。还可以配置终止攻击的阈值。出现与当前活动的攻击匹配的情况时，用户可以配置要执行的操作。 　　 　　DoS Shield流量流程 　　 　　Radware设备按每个休眠攻击对流量采样进行检查，以检测可能存在的攻击。在按休眠攻击检查数据包之前用户可以设置通过设备的数据包数目，以便控制采样率(数据包采样率)。用户还可以配置采样周期持续时间，以不同的阈值进行检查(采样时间)。每当流量与攻击过滤器相匹配时，计数器的记数就会增加。每一段采样时间结束时，将计数器的值除以采样时间的秒数，然后用此值与配置的攻击阈值比较。由于DoS攻击的性质，攻击过滤器可能会与合法的流量模式相匹配。用户可以为每个攻击配置警告阈值和激活阈值。达到警告阈值时，将向用户发送一个警告信息，通知有关攻击的信息。达到激活阈值时，攻击状态将更改为“当前活动的”，并根据此攻击对所有通过此设备的数据包进行检查。 　　检测到攻击时，可能会执行以下几个操作：当前活动的攻击匹配的数据包