设为首页收藏本站

安而遇随-随遇而安

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 1356|回复: 0

应用防火墙能否击败DDoS攻击?

[复制链接]

 成长值: 50580

发表于 2013-12-5 07:57 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?立即注册

x

尝试阻止DDoS攻击

度过了一个欢乐的春节假期,回来后发现网站挂了。估计这是所有系统管理员最不想看到的一幕。我在文章标题里很谨慎的用了“尝试”这个词,因为实际上,正如上面所说,目前还没有什么有效的方法能够真正预防或阻止大规模的DDoS攻击。不过还是有一些方法可以帮助我们应对DDoS攻击的。

注意,确实有一种方法可以终结大多数DDoS攻击。这需要所有基于Windows的僵尸网络都与根系统脱离。遗憾的是,这是不可能发生的。

Windows在设计时就被认为是不安全的系统,而目前世界上有数亿人在使用这一系列平台系统,其中很多人甚至连杀毒软件都不知道装一个。全球有数百万台安装有windows系统的电脑目前处于不同的僵尸网络控制下,甚至你的电脑也在其列。由于大部分人还不愿意抛弃windows系统,尤其是最近一两年,因此在僵尸网络驱动下的DDoS攻击仍然将会持续下去,并且我认为DDoS攻击将会越来越普遍。

不过,有些类型的 DDoS攻击已经越来越少见了。美国国土安全部网络和架构安全项目主管Sean Donelan 在North American
Network Operators Group
(NANOG,一个致力于建立骨干网和企业网络的组织)上的一封邮件里表示,“随着大部分路由器操作系统的升级,由SMURF发起的DDoS攻击看似已经有所缓解了。而随着SYN
Cookies或类似操作系统的改变,使得由TCP SYN发起的DDoS攻击也看似得到了缓解。”

一句话,如果你将网关服务器,交换机,防火墙和其他网络设备都更新到了最新的操作系统版本,那么就可以抵御这些利用TCP/IP 和 TCP/IP
堆栈的弱点所发动的DDoS攻击。我相信大部分网管应该都已经这样做了,如果你还没有及时更新设备OS,那么立即去做。

当然,如果有人蓄意要攻击你的网站,那你所能做的防御措施也不多。德国网络安全公司Probe Networks的创始人Jonas
Frey认为,面对DDoS攻击,网站的应对策略只有加大带宽。Frey解释说:“就算你的网站采用了 802.3ba with 40/100 Gbps
(每秒GB级的吞吐量),仍然不够用。因为如今的消费者所使用的终端带宽也比以往增加了,而通过恶意软件也可以轻松的建立一个有一定规模的僵尸网络。就算用户的平均带宽不超过2Mbps(每秒吞吐量)的上传带宽,那么整个僵尸网络中所有终端所发送来的数据流量也是惊人的。”如果所有windows系统都正确安装了补丁和杀毒软件,可能这种攻击会少一些,但是正如Frey所说的:“系统能打补丁,愚蠢的头脑不行。”

所以说,要为你的Web服务器留出尽量多的带宽。如果你使用的是Web服务器托管服务,那么就要检查一下托管商接入骨干网的数量和带宽。如果只有连接到一个或者两个骨干网,或者每个连接所提供的带宽太小,那么最好换别家试试看。在面对DDoS攻击时,最有效的抵抗方法就是增加带宽。

选播及负载分享

如果你的公司将网站存放在多个服务器上,那么可以通过使用选播和多播源发现协议(MSDP)帮助你抵御DDoS攻击。

选播是一种联网技术, 互联网上不同的位置可以拥有相同的IP前缀。用大家能理解的话来说,就是采用相同域名的不同服务器共享相同的IP地址。

当网站采用选播方式并被正确配置后,发生DDoS攻击时会出现这样的情况:网络收到页面请求,交换机检查距离最近的服务器是否正常工作,如果服务器由于DDoS攻击而没有正常工作,选播机制将自动将页面请求转发给下一个服务器。因此,如果你的服务器位于纽约,旧金山和伦敦,而DDoS攻击是来自美国东海岸的一个僵尸网络,那么DDoS攻击所带来的数据负载,将被自动分配给这几个服务器。

选播,或者其他负载分享技术并不能提供完美的防护能力。因为一次足够大规模的DDoS攻击可以将参与负载分享的所有服务器搞垮,就好像多米诺骨牌一样。这可不是件好事。

很多公司,比如 Arbor Networks, BlockDOS, 和
ServerOrigin,都提供DDOS防护服务,但是他们也不能提供完美的服务承诺。

而这些 DDOS
防护公司,比如刚才提到的BlockDOS和ServerOrigin,就是提供分布式服务器,利用选播技术为企业网络服务器提供攻击转移服务。如果你的网站没有优秀的管理员或没有足够好的服务器托管商帮你进行负载共享,你就需要这两家公司的服务了。
Arbor则是提供实时的网络分析服务器,这样你就能及时看到DDoS攻击波的到来,并在该公司的帮助下实施相应的防御。

在目前这种网络环境下,我们再尽力也只能这样了。正如Arbor Networks公司首席解决方案专家Roland Dobbins
所说的:“DDoS攻击只是表象,真正的问题根源是僵尸网络。”而僵尸网络的问题,不是一时半会儿就能彻底解决的。




随遇而安
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表