【51CTO.com 獨家特稿】近日，有媒體報道稱，瑞典40余家媒體網(wǎng)站遭大規(guī)模DDoS攻擊，其中一家名叫Adeprimo媒體網(wǎng)站的請求最高時達(dá)到40萬次/秒。類似的DDoS攻擊事件在最近時有發(fā)生，其實，DDoS攻擊并非什么新鮮玩意。但不可否認(rèn)的是，它向來都是一件令安全人士很頭痛的事，因為到目前為止，進(jìn)行DDoS攻擊的防御還是相對比較困難的。

從其攻擊原理上說，傳統(tǒng)基于包過濾的防火墻只能分析每個數(shù)據(jù)包，及其連接狀態(tài)來判斷和阻止DDoS攻擊，所以對于類似SYN-Flood洪水攻擊有一定的防范效果。

但是，現(xiàn)在比較流行的DDoS攻擊手段，越來越多的針對應(yīng)用層協(xié)議漏洞。比如通過分析協(xié)議，然后偽造正常數(shù)據(jù)包發(fā)送，甚至干脆模擬正常的數(shù)據(jù)流，由于防火墻不能分析TCP、UDP，以及http等應(yīng)用層的協(xié)議，所以無法對新型的DDoS攻擊進(jìn)行有效的防護(hù)。

很多DDoS攻擊的目的是讓網(wǎng)絡(luò)應(yīng)用負(fù)載過大，導(dǎo)致癱瘓。從攻擊目標(biāo)上看，只要網(wǎng)絡(luò)中的應(yīng)用服務(wù)器存在漏洞，很有可能成為黑客構(gòu)建僵尸網(wǎng)絡(luò)的傀儡機，如有利可圖，還有可能成為DDoS的攻擊目標(biāo)。

既然傳統(tǒng)的防火墻抵御不住常見的DDoS攻擊，是否有其他技術(shù)和產(chǎn)品在抵御DDoS攻擊方面有不錯的表現(xiàn)呢？

Radware公司安全產(chǎn)品市場總監(jiān)Meyran先生認(rèn)為有辦法對DDoS攻擊進(jìn)行有效防御。他認(rèn)為，通過IPS+基于行為的檢測技術(shù)就是眾多方法中的一個。

據(jù)Meyran介紹，在IPS針對已知威脅行為進(jìn)行監(jiān)測的特征對比引擎基礎(chǔ)上，增加針對未知威脅行為的實時特征引擎，就能夠解決常見的DDoS攻擊問題。他認(rèn)為，通過異常探測及行為分析，基于行為且自動生成的實時動態(tài)特征碼，可防范應(yīng)用誤用攻擊、服務(wù)器蠻力攻擊、應(yīng)用和網(wǎng)絡(luò)淹沒攻擊等非漏洞威脅，甚至零日攻擊。

這在某種意義上說，IPS從簡單針對攻擊特征的簽名檢測轉(zhuǎn)化為增加了基于漏洞特征的簽名檢測，以及不依靠簽名的攻擊檢測能力，確保了IPS在線速運行的情況下，實現(xiàn)串聯(lián)式布局方式的自動攔截和攻擊處理。也避免了傳統(tǒng)IPS由于不能及時更新特征碼而帶來的問題，從而大大提高了網(wǎng)絡(luò)的抗攻擊能力。

據(jù)Meyran介紹，Radware一直致力于解決這方面問題，并且在業(yè)界已經(jīng)有了很好的證明。據(jù)51CTO.com記者了解，前不久，Radware公司推出了基于獨有硬件平臺的新版IPS——DefensePro 5.0。

Meyran表示，與市場上其他IPS的不同之處在于，DefensePro 5.0所包含的是基于IPS特征漏洞的自適應(yīng)行為分析，能夠有效支持針對新型攻擊的實時、智能防護(hù)。這意味著企業(yè)在確保正常使用不被中斷的前提下，就能夠有效地攔截諸如DDoS這樣的惡意流量、以及零日漏洞和攻擊，很大程度上保障企業(yè)網(wǎng)絡(luò)應(yīng)用的業(yè)務(wù)連續(xù)性。

據(jù)記者了解，DefensePro 采用的是多層安全架構(gòu)，分別檢測和抵抗不同類型的攻擊，確保只有“清潔”流量進(jìn)入收保護(hù)的區(qū)域。下面是有關(guān)其主要技術(shù)特點的描述：

Dosshield實現(xiàn)已知攻擊工具防范：

DefensePro的DoSShield模塊借助高級的取樣機制和基準(zhǔn)流量行為監(jiān)測來識別異常流量，提供了實時的、數(shù)千兆位速度 的DoS防范。

該機制會對照DefensePro 攻擊數(shù)據(jù)庫中的DoS攻擊特征列表（潛在攻擊）來比較流量樣本。一旦達(dá)到了某個潛在攻擊的激活閾值，該潛在攻擊的狀態(tài)就會變?yōu)镃urrently Active （當(dāng)前活動），這樣就會使用該潛在攻擊的特征文件來比較各個數(shù)據(jù)包。如果發(fā)現(xiàn)匹配的特征，相應(yīng)的數(shù)據(jù)包就會被丟棄。反之，則會將數(shù)據(jù)包轉(zhuǎn)發(fā)給網(wǎng)絡(luò)。
 
借助高級的取樣機制檢測DoS 攻擊，DoSShield只在出現(xiàn)了嚴(yán)重帶寬濫用的情況下，才會判斷攻擊的存在，它會外科手術(shù)般地采用逐包過濾除去攻擊流量。而當(dāng)攻擊不再活躍時，DoS Shield也能檢測到相應(yīng)狀態(tài)并停止逐包過濾的操。這樣不僅可實現(xiàn)完全的DoS和DDos 防范能力，而且還保持了大型網(wǎng)絡(luò)的高吞吐量。

Dosshield的主要優(yōu)勢：
監(jiān)聽和采樣機制，只有在出現(xiàn)嚴(yán)重攻擊時才采取防范措施，保證了大型網(wǎng)絡(luò)的高性能和高吞吐量；
基于特征碼的防范策略，對正常應(yīng)用無影響，保持了極低的誤判率。
DoS Shield作為第一道防范體系，負(fù)責(zé)在抵御已知Flood攻擊的同時傳輸其他流量，而這些其他流量中還可能包含未知的新型攻擊，它們將由第二道防范體系－Behavioral DoS 模塊來實現(xiàn)防護(hù)。

Behavioral DoS基于網(wǎng)絡(luò)行為模式實現(xiàn)自動攻擊防范：
借助于先進(jìn)的統(tǒng)計分析、模糊邏輯和新穎的閉環(huán)反饋過濾技術(shù)，Radware B-DoS 防范模塊能夠自動和提前防范網(wǎng)絡(luò)Flood攻擊和高速自我繁殖的病毒，避免危害的發(fā)生。

 Radware的自適應(yīng)Behavioral DoS防范模塊自動學(xué)習(xí)網(wǎng)絡(luò)上的行為模式，建立正?；鶞?zhǔn)，并通過先進(jìn)的模糊關(guān)系邏輯運算判斷背離正常行為的異常流量。

通過概率分析，該模塊使用一系列提取自數(shù)據(jù)包包頭和負(fù)荷的參數(shù)，例如ID (packet identification number), TTL (Time to Live), Packet size, DNS 查詢, Packet Checksum值等共17 個參數(shù)，來實時定義即時異常流量的特點。為了避免誤判而阻止合法用戶的正常流量，該模塊還會采用“與”“或”邏輯運算來盡量精確攻擊的防范策略。
 
所有上述流程都由DefensePro自動完成，無需人為干預(yù)，能夠在數(shù)千兆位的網(wǎng)絡(luò)環(huán)境中精確防范已知攻擊、零日漏洞、Dos/DDos攻擊和自我繁殖網(wǎng)絡(luò)蠕蟲。

Behavioral DoS 防護(hù)模塊的攻擊檢索機制即不使用特征碼，也不依賴于用戶定義的行為策略和閥值。它還可以自動適應(yīng)網(wǎng)絡(luò)中的正常流量變化，因此它不會影響網(wǎng)絡(luò)中的正常應(yīng)用行為。

Behavioral DoS的主要優(yōu)勢：
零日漏洞 Dos/DDos的未知攻擊防范，無需認(rèn)為手工干涉；
對DoS攻擊的完全防范，較低的CPU資源消耗；
自適應(yīng)的行為判別模式，將誤判率降至最低；
完全自適應(yīng)功能，無需策略配置，無需維護(hù)成本。

綜述：

不管怎么說，事實上，大規(guī)模DDoS攻擊是黑客操縱的僵尸網(wǎng)絡(luò)所發(fā)起的，而隨著僵尸網(wǎng)絡(luò)的迅速發(fā)展，逐漸成為攻擊行為的基本渠道，成為網(wǎng)絡(luò)安全的最大隱患之一。攻擊者既可以利用僵尸網(wǎng)絡(luò)發(fā)起DDoS 攻擊、發(fā)送大量垃圾郵件和傳播惡意代碼等，又可以通過僵尸系統(tǒng)收集受感染主機中用戶的敏感信息或進(jìn)一步組建成更大的僵尸網(wǎng)絡(luò)。

所以對于防御DDoS來說，并不是一人一己之力可以完成的，在51CTO記者看來，我們需要更廣泛的合作，才能在抵御DDoS攻擊的路上走得更遠(yuǎn)。