科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全DDoS 响应:第二部分

DDoS 响应:第二部分

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

在我的上一篇日志 —“DDoS 响应:第一部分”中,我首先对如何应对分布式拒绝服务(DDoS)攻击进行了分析。而在这篇日志(DDoS 响应:第二部分)里,我将介绍一些面向专用网络的解决方案。

作者:Francois Paget 来源:zdnet安全频道 2009年9月19日

关键字: DDos 攻击 McAfee 迈克菲

  • 评论
  • 分享微博
  • 分享邮件

在我的上一篇日志 —“DDoS 响应:第一部分中,我首先对如何应对分布式拒绝服务(DDoS)攻击进行了分析。而在这篇日志(DDoS 响应:第二部分)里,我将介绍一些面向专用网络的解决方案。

要前瞻性防范针对专用网络的攻击,一个解决方法就是将合法路径隐藏起来,使攻击者难觅其踪,并且要定期改变网络的拓扑结构。源地址过滤、秘密代理服务器 servlet 和虚拟覆盖网络(带有安全覆盖接入点,SOAP)在重新配置方案中是非常有帮助的:

null

如果任何传输需要穿过覆盖网络,都必须首先在覆盖网络的入口点(SOAP 机器)进行验证。只有经过确认的用户才能访问网络。如果攻击者发现了客户端前面的过滤路由器的地址,他们仍有可能进行强行攻击。

保护专用网的另一个解决方案是使用“Client Puzzle”等加密过程。此种方法需要客户端牺牲一些资源来证明自身是合法的。基本原理是,当服务器受到攻击时,它将小的加密 Puzzle 分发到提出服务请求的客户端。为了完成请求,客户端必须正确解开 Puzzle

null

其他解决方案可以过滤和降低 DDoS 流量。在资源复制中(例如 XenoService),受感染计算机或网络通过生成所需资源的副本,对 DDoS 攻击进行响应。合法性测试 (NetBouncer) 可将合法流量与非法流量区分开。使用遏制技术,ISP 可以使用 honeypot 捕获恶意代码,然后研究和阻止这些代码。

为了撰写这些日志,我查阅了一些白皮书和理论论文。其中最重要的是 Vrizlynn Thing Ling Ling 博士在 2008 8 月的提交的一篇 204 页的博士论文,该论文给我留下了深刻印象。

我编写了下面的表格,总结我介绍过的响应方法的用法:

 响应

时机与原因

追朔

当使用spoofing,用于查找距离攻击源最近的点。

遏制

主要用于将攻击从真实目标转移。

重新配置

在网络中进行配置更改,例如路由更改,目的是将经过身份验证的流量与攻击流量隔离开。一旦隔离高度可靠,允许丢弃攻击流量。

重定向

重定向到黑洞视为一种过滤方式。

过滤

如果检测的可信度很高,而且存在可识别的攻击流量,则应对匹配的流量进行过滤。

速率限制

用在淹没攻击过程中作为初始响应,其目的是防止网络被淹没。或当检测的可信度很低时。或是用于无法匹配可识别签名从而将攻击流量与合法流量区分开时。

资源复制

如果实际上发生瞬时拥塞,而不是 DDoS 攻击,则将分配更多资源分配以处理数量庞大的合法服务请求。

合法性测试

通过执行验证测试来验证客户端的身份。假定此类测试在 Internet 主机上广泛部署,如果合法用户希望他们的请求得到响应,他们要仔细了解游戏规则

攻击者资源消耗

让客户端牺牲自己的一些资源,以证明它们的目的是让自身的合法请求得到满足。通过这种方式,如果攻击主机不愿意解开 Puzzle,则服务器能够将合法流量与 DDoS 攻击流量区分开。如果攻击主机分配资源,为每次攻击请求解开 Puzzle,则将降低攻击主机的速度。我们在此还假定此类 Puzzle 算法广泛部署在 Internet 主机上。

McAfee McAfee Network Security Platform 系列的设备可以在安全防御中为客户提供帮助。
null

McAfee NSP(前称为 IntruShield)传感器可以检测 DDoS 攻击,方法是记忆网络的正常流量行为,并根据与这些正常行为的偏差来检测攻击,这些偏差包括各种类型数据包(例如 ICMPTCP SYNUDPIP 碎片)的数据包计数和速率等。详细信息请参阅以下所列的 McAfee 白皮书。

其他有用文档:

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章