如何预防WEB流量攻击.doc

怎样预防WEB流量攻击 由于DDoS攻击往往采取合法的数据请求技术，再加上傀儡机器，造成DDoS攻击成为目前最难防御的网络攻击之一。据美国最新的安全损失调查报告，DDoS攻击所造成的经济损失已经跃居第一。传统的网络设备和周边安全技术，例如防火墙和IDSs(Intrusion Detection Systems)， 速率限制，接入限制等均无法提供非常有效的针对DDoS攻击的保护，需要一个新的体系结构和技术来抵御复杂的DDoS拒绝服务攻击。DDoS攻击揭秘DDoS攻击主要是利用了internet协议和internet基本优点——无偏差地从任何的源头传送数据包到任意目的地。DDoS攻击分为两种：要么大数据，大流量来压垮网络设备和服务器，要么有意制造大量无法完成的不完全请求来快速耗尽服务器资源。有效防止DDoS攻击的关键困难是无法将攻击包从合法包中区分出来：IDS进行的典型“签名”模式匹配起不到有效的作用；许多攻击使用源IP地址欺骗来逃脱源识别，很难搜寻特定的攻击源头。有两类最基本的DDoS攻击：● 带宽攻击：这种攻击消耗网络带宽或使用大量数据包淹没一个或多个路由器、服务器和防火墙；带宽攻击的普遍形式是大量表面看合法的TCP、UDP或ICMP数据包被传送到特定目的地；为了使检测更加困难，这种攻击也常常使用源地址欺骗，并不停地变化。● 应用攻击：利用TCP和HTTP等协议定义的行为来不断占用计算资源以阻止它们处理正常事务和请求。HTTP半开和HTTP错误就是应用攻击的两个典型例子。DDoS威胁日益致命DDoS攻击的一个致命趋势是使用复杂的欺骗技术和基本协议，如HTTP，Email等协议，而不是采用可被阻断的非基本协议或高端口协议，非常难识别和防御，通常采用的包过滤或限制速率的措施只是通过停止服务来简单停止攻击任务，但同时合法用户的请求也被拒绝，造成业务的中断或服务质量的下降；DDoS事件的突发性，往往在很短的时间内，大量的DDoS攻击数据就可是网络资源和服务资源消耗殆尽。现在的DDoS防御手段不够完善不管哪种DDoS攻击，，当前的技术都不足以很好的抵御。现在流行的DDoS防御手段——例如黑洞技术和路由器过滤，限速等手段，不仅慢，消耗大，而且同时也阻断有效业务。如IDS入侵监测可以提供一些检测性能但不能缓解DDoS攻击，防火墙提供的保护也受到其技术弱点的限制。其它策略，例如大量部署服务器，冗余设备，保证足够的响应能力来提供攻击防护，代价过于高昂。黑洞技术黑洞技术描述了一个服务提供商将指向某一目标企业的包尽量阻截在上游的过程，将改向的包引进“黑洞”并丢弃，以保全运营商的基础网络和其它的客户业务。但是合法数据包和恶意攻击业务一起被丢弃，所以黑洞技术不能算是一种好的解决方案。被攻击者失去了所有的业务服务，攻击者因而获得胜利。路由器许多人运用路由器的过滤功能提供对DDoS攻击的防御，但对于现在复杂的DDoS攻击不能提供完善的防御。路由器只能通过过滤非基本的不需要的协议来停止一些简单的DDoS攻击，例如ping攻击。这需要一个手动的反应措施，并且往往是在攻击致使服务失败之后。另外，现在的DDoS攻击使用互联网必要的有效协议，很难有效的滤除。路由器也能防止无效的或私有的IP地址空间，但DDoS攻击可以很容易的伪造成有效IP地址。基于路由器的DDoS预防策略——在出口侧使用uRPF来停止IP地址欺骗攻击——这同样不能有效防御现在的DDoS攻击，因为uRPF的基本原理是如果IP地址不属于应该来自的子网网络阻断出口业务。然而，DDoS攻击能很容易伪造来自同一子网的IP地址，致使这种解决法案无效。本质上，对于种类繁多的使用有效协议的欺骗攻击，路由器ACLs是无效的。包括：● SYN、SYN-ACK、FIN等洪流。● 服务代理。因为一个ACL不能辨别来自于同一源IP或代理的正当SYN和恶意SYN，所以会通过阻断受害者所有来自于某一源IP或代理的用户来尝试停止这一集中欺骗攻击。● DNS或BGP。当发起这类随机欺骗DNS服务器或BGP路由器攻击时，ACLs——类似于SYN洪流——无法验证哪些地址是合法的，哪些是欺骗的。ACLs在防御应用层（客户端）攻击时也是无效的，无论欺骗与否，ACLs理论上能阻断客户端攻击——例如HTTP错误和HTTP半开连接攻击，假如攻击和单独的非欺骗源能被精确的监测——将要求用户对每一受害者配置数百甚至数千ACLs，这其实是无法实际实施的。防火墙首先防火墙的位置处于数据路径下游远端，不能为从提供商到企业边缘路由器的访问链路提供足够的保护，从而将那些易受攻击的组件留给了DDoS 攻击。此外，因为防火墙总是串联的而成为潜在性能瓶颈，因为可以通