超大异常流量攻击防御思路探讨.docVIP

超大异常流量攻击防御思路探讨 　　摘要：提出了应对超大异常流量攻击的防御思路，该思路中将防御策略分为短期策略和长期策略。短期措施主要在现有异常流量防护措施的基础上，进一步提升对超大异常流量攻击的防护能力；而长期策略试图从虚假源地址过滤、开放服务的协议方面进行改进。随着可利用的DNS、NTP等公共服务器资源将逐步减少，攻击者将转为挖掘新的可用于流量反射放大的应用协议。由于以“反射、放大流量”为特性的超大异常流量攻击仍将保持发展，对它的安全防御仍有待在实践中检验和不断完善。 　　关键词： 异常流量；放大攻击；流量清洗 　　异常流量攻击是分布式拒绝服务（DDoS）攻击的一种，其本质上是带宽型攻击，它通过在网络中发送大流量的数据包，消耗极大的网络带宽资源。 　　随着互联网的快速发展，攻击手段不断演进，超大异常流量攻击方式已经呈现蔓延趋势。2013年3月，欧洲反垃圾邮件组织Spamhaus遭受了有史以来最大的异常流量攻击，被《纽约时报》称为“前所未有的大规模网络攻击”，其攻击强度达到300 Gbit/s，攻击强度以3倍以上快速增长，如图1所示。2014年2月，欧洲云计算安全公司CloudFlare遭遇的攻击流量的峰值超过了400 Gbit/s，快速大幅地刷新了异常流量攻击的相关历史记录。 　　文中探讨的超大异常流量攻击主要包含以下特征：攻击者主要利用了互联网中基于用户数据报协议（UDP）开放服务作为流量攻击的反射器；理论上，全球互联网中开启了开放服务的公共服务器都可以被攻击者使用，而公共服务器的数量惊人；反射器的流量放大效果可以高达上千倍，效果非常明显。从以上的3个特征我们可以看出，超大异常流量攻击属于反射型流量攻击的其中一种，而后两个特征是导致异常流量攻击纪录呈现出快速增长趋势的重要原因。 　　1 超大异常流量攻击的特征 　　分析 　　1.1 典型案例分析 　　2013年3月，欧洲反垃圾邮件组织Spamhaus遭受了时间长达1周、流量峰值高达300 Gbit/s的异常流量攻击，甚至影响到了整个欧洲互联网的正常运营。在这次攻击事件中，攻击者向互联网上开放的域名系统（DNS）服务器发送对域名的解析请求，并将源IP地址伪造成Spamhaus的IP地址。DNS请求数据的长度约为36字节，而响应数据的长度约为3 000字节，这样攻击者利用DNS服务器就可以轻松地将攻击流量放大近100倍。进一步地，攻击者使用了约3万台开放DNS服务器，再加上一个能够产生3 Gbit/s流量的小型僵尸网络，就完成了一次创纪录的异常流量攻击事件。最后，借助云安全公司CloudFlare位于全球的20多个彼此独立的流量清洗中心，才得以缓解此次攻击。 　　本次攻击事件让业界意识到：如DNS等公共服务的协议漏洞是互联网的巨大安全隐患，如果不加以治理，未来可能会爆发更大规模的DDoS攻击。令人遗憾的是，这一担忧很快成为现实。 　　2014年2月，CloudFlare公司遭受峰值流量高达400 Gbit/s的异常流量攻击，这导致该公司在欧洲的业务受到严重干扰，甚至使美国互联网的一些基础设施也受到了影响。与Spamhaus遭受的异常流量攻击类似，攻击者利用一个小型的僵尸网络伪造CloudFlare公司的IP地址，向互联网上数量众多的开放网络时间协议（NTP）服务器发送请求时钟同步请求报文。CloudFlare公司在事后披露，这些NTP服务器共有4 529个，遍布于全球1 298个不同的运营商网络中，如图2所示。为了增加攻击强度，发送的请求报文被设置为Monlist请求报文，反射流量的放大效果最大可提升至700倍。最后也是通过Anycast技术将攻击流量分散到全球不同的流量清洗中心，才得以逐步遏制攻击流量。 　　本次攻击事件再一次震惊业界，并抛出了令安全人员无奈的问题：类似Spamhaus和CloudFlare所遭受的超大异常流量攻击是否还会出现？如果出现，那么当一个目标用户遭受的异常攻击流量超出现网防护能力时，该如何面对？ 　　1.2 超大异常流量攻击的实施机制 　　基于以上攻击案例分析，我们对超大异常流量攻击的实施机制做进一步的深入分析。在传统攻击方法中，攻击者需要想尽各种办法、耗费大量资源来构建一个大规模的僵尸网络，而超大异常流量攻击方法对僵尸网络的要求门槛大幅度降低，攻击者的准备工作主要集中在对互联网上公共服务器的扫描、基于UDP开放服务的选择，力求实现最大的反射流量放大效果，如图3所示。攻击者通过扫描、搜索引擎等方法就可以轻易地获取互联网上大量的公共服务器IP地址，最后根据攻击目标，选择一个或者几个基于UDP协议的开放服务用于攻击流量的放大，企图实现最大化的攻击效果。 　　攻击者选择基于UDP协议的开放服务的原因是：这些开放服务往往无se