防御DDoS攻击需要双向解决方案
服务可用性是用户体验的一个重要组成部分。客户希望服务持续可用并且可以快速响应,任何宕机都可能导致用户失望、购物车被遗弃和客户流失。与此同时,ddos攻击的复杂性、规模和持续时间都在增加。
Radware 2018年全球应用及网络安全报告发现,在过去一年,脉冲式攻击等复杂DDoS攻击增加了15%,HTTPS洪水增加了20%,64%以上的客户均遭受过应用层(L7) DDoS攻击。
某些攻击是双向的
由于DDoS攻击变得越来越复杂,企业需要更精细的防护措施来缓解这种攻击。然而,为了确保可以实现全面的保护,防护措施必须具备对多类攻击的入站和出站通道的可视性 尤其是更复杂的攻击。
这些攻击包括:
状态失效协议攻击:某些DDoS攻击可以利用协议通信过程中的漏洞,如TCP三次握手序列,创建“失效”的连接请求,拖慢连接请求,进而耗尽服务器资源。在这种类型的攻击中,有些攻击可以只检查入站通道就可以拦截,但其它攻击还需要对出站通道的可视性才可以拦截。
其中一个例子就是ACK洪水攻击,在攻击中,攻击者会不断地向受害主机发送伪造的TCP ACK数据包。随后,目标主机会尝试将ACK应答关联到现有的TCP连接,如果连接不存在,主机就会将数据包删除。然而,此过程会消耗服务器资源,大量的此类请求就会耗尽系统资源。为了准确识别并缓解这类攻击,防御措施必须具备对入站SYN和出站SYN/ACK应答的可视性,进而验证ACK数据包是否关联了合法的连接请求。
反射/放大式攻击:这类攻击利用了连接请求和某些协议或应用应答之间的不对称响应。同样,防御这类攻击中的某些攻击也需要对入站和出站流量通道的可视性。
此类攻击的一个例子就是大文件出站管道拥塞攻击。在此类攻击中,攻击者会识别目标网络中的大文件,并发送获取该文件的连接请求。连接请求本身的大小可能只有几个字节,但随后的响应却可能非常大。大量的此类请求就会堵塞出站管道。
另一个例子是memcached放大式攻击。此类攻击是最常用的利用反射来击垮第三方目标的攻击,也可以用来堵塞目标网络的出站通道。
扫描攻击:大规模的网络扫描尝试不仅是一个安全风险,而且常常具有DDoS攻击的特征,利用恶意流量淹没网络。此类扫描尝试会向主机端口发送大量连接请求,并查看哪些端口有响应(从而表明这些端口是开放的)。然而,这也会让已关闭端口生成大量的错误响应。缓解此类攻击需要对返回流量的可视性,从而识别与实际流量相关的错误响应率,防御正在发生的攻击。
服务器破解:服务器破解攻击类似于扫描攻击,会发送大量的请求来暴力破解系统密码。同样,这也会导致很高的错误应答率,识别这类攻击也需要对入站和出站通道的可视性。
状态化的应用层DDoS攻击:某些应用层(L7) DDoS攻击可以利用已知的协议漏洞或命令来创建大量的虚假请求,耗尽服务器资源。缓解此类攻击需要具有状态感知功能的双向可视性,以识别攻击类型,进而采用相关的攻击特征码来拦截攻击。低速慢速应用层(L7) SYN洪水攻击就是其中一个例子,该攻击可以拖慢HTTP和TCP连接,持续消耗服务器资源。
防护双向攻击需要双向的防御措施
由于在线服务的可用性变得越来越重要,为了击跨防御措施,黑客们也在不断寻找比以往任何时候都要复杂的攻击。许多攻击矢量或攻击或利用出站通信通道,通常是那些更复杂、更强大的攻击矢量。
因此,企业要充分保护自身安全,就必须部署可以实现双向流量检查的防护措施,识别并消除此类威胁。