浅析防御僵尸网络基于应用层的ddos攻击.pdfVIP

浅析防御僵尸网络基于应用层的DDOS攻击 近期数据显示,针对应用层的DDOS攻击有加速的趋势。据预测,基 于应用层的DDOS攻击每年以三倍的速度增长,Gartner预测DDOS攻击会 2013年所有的应用层攻击中的25%左右。研究指出,黑客现在利用DD OS攻击来分散安全管理员的注意力从而伺机窃取敏感信息或者用户账 号中的金钱。Verizon在2012年的数据外泄研究报告中指出“这些攻击比 别的攻击更加令人恐惧,无论是真的发生的或者是基于设想的。”连接互 联网的设备,社交网络,和云计算的发展更是加速了这些新型的攻击变化 。 过去,DDOS攻击使用大量 造的UDP,TCPSYN,或者ICMP流量来意 图淹没目标网络。各种供应商提供了不同的解决方案来对付他们,包括 各种边界设备和服务提供商提供的防御服务,如,ISPs防火墙,云服务,CD N清洗平台。然而,当今的攻击平台已经进化到包含应用层的DDOS攻击, 目标是Web系统和DNS系统。而且,从攻击者的角度来看,应用层的DDOS 攻击需要更少的资源和可以更隐秘地进行,他们能使用网络基础设施仍 然能有回应的情况下,秘密地使应用服务不可访问,达到拒绝服务的效果 。 接下来,我们简要阐述一些典型的针对应用层的DDOS攻击以及防 御解决方案。 僵尸网络和应用层DDOS攻击 僵尸网络是感染了恶意程序的网络计算机被CC服务器控制的一 个庞大网络。最新攻击不仅使网络计算机,还能使更多的移动设备和基 于云的设备也成为肉鸡。复杂的僵尸网络程序,如Mebroot,可以运行在操 作系统之前,避免防病毒软件的检测,从而可以随心所欲地控制成为肉鸡 的计算机。 僵尸网络与CC服务器之间的通讯是在隐蔽的信道中进行的,并且 经过加密,采用先进的逃逸技术来掩盖踪迹,可以轻易地穿过防火墙而不 被察觉。控制僵尸网络的黑客,通过CC僵尸网络控制服务器来发布攻 击指令,如发送垃圾邮件, DDOS攻击,遍历银行个人用户密码信息或者信用卡号等信息。 目前,租用或者创建僵尸网络已经成为繁荣的地下市场。 虽然防御DDOS攻击非常重要,但是防止您的应用服务器和网络资 源变成僵尸网络的一部分也同样重要。把应用服务器变为僵尸网络的肉 鸡对于黑客来说具有非常大的吸引力,因为服务器可以为他们提供更庞 大的系统攻击资源和为他们获取更多的肉鸡提供优秀的平台。 应用服务器通常会含有定制的, 自带的,或者是第三方的应用程序。 任何的零日漏洞都会导致被黑客攻击而使您的服务器或网络资源成为 僵尸网络的活动区域。梭子鱼Web应用防火墙提供健壮的安全特性来防 止恶意软件的上传,命令注入, 目录遍历,或者任何其他诸如探测或者攻击 等的入侵应用服务器的行为。 防御HTTP GET和POST洪水攻击 Web应用通常会有一些调用数据库,内存或者CPU运算等的比较消 耗资源的页面或者接口。例如,文本搜索,僵尸网络会频繁地访问这些页 面导致Web应用崩溃。 对于这种情况,梭子鱼第一层的保护是为特定的应用设定合适的人 为访问阀值。例如,人们访问银行业务的应用大概会在1分钟内访问10个 页面,那我们就把这个阀值设置好,而且,人为的访问会带有有效的客户端 报头,如Cookies 和Referrers报头。一般通过脚本程序来访问的话都不会有这方面的信息 。 防御HTTP“Slow Attacks” 一些攻击手段会使僵尸主机与攻击目标的交互停留在局部的请求 与应答当中,并且提供满足最低交互要求的数据以防止服务器访问超时 关闭会话。这种攻击以消耗系统资源来使得应用处理效率降低,最后导 致服务器没有能力再处理新来的请求流量。这种攻击称为“lowandslow” 攻击,因为只需要小部分的客户端通过较低的网络带宽就可以暗地里地 和慢慢地完成对服务器的DDOS攻击,这种攻击目前非常流行。 Slowloris攻击是典型的Slow攻击,它会在一定的时间间隔内向攻击 目标服务器重复初始化和发送HTTP报头,但是却不会把报头发送完毕, 这使得服务器线程和网络资源不能被释放出来,最终导致服务器资源耗 尽达到拒绝服务攻击的效果。从协议的合规性分析,这种攻击流量是正 常的流量,所以依靠特征库和黑名单技术的防护设备是检测不出这种攻 击的。 凭借着反向代理技术,协议和应用可视性的优势,梭子鱼Web应用防 火墙可以识别和阻断不正常的流量,通过自适应安全算法监控不断增长