天融信：应用层防御可应对网络入侵攻击新变化

DOS/DDOS（Denial of Service/Distributed Denial of Service），简称拒绝服务或分布式拒绝服务攻击。一直以来，它就是黑客实施点穴式攻击最有效的手段，在互联网上也有很多免费的DOS/DDOS攻击工具下载。严格来讲，DOS/DDOS并不是一个攻击工具，而是对“攻击行为特征”的一种统称，它的核心关键词在于“拒绝服务”和“分布式”所包括的内涵。DOS/DDOS攻击者想方设法，使用各种网络技术手段，占用被攻击者所提供服务的资源，例如：消耗服务者的网络带宽资源、服务器的计算资源或者存储资源等等，让正常访问者无法获取相对应的资源，从而达到破坏的目的。所以，通俗的理解DOS/DDOS攻击目的，就是“走别人的路，让别人无路可走”。

传统的DOS/DDOS攻击者通过在网络层和传输层消耗大量带宽，造成正常访问通路严重阻塞。但是随着有效网络带宽成本大幅降低，要实施带宽攻击型的攻击，需要消耗攻击者更多的资源，而且被暴露的可能性也会加大。更重要的是，这种攻击行为的特征非常明显，也很容易就能判别出攻击者的意图，给被攻击者更多的应对措施和解决问题的缓冲时间，所以早期的这种暴力型“DOS/DDOS”攻击出现的次数逐渐在整个拒绝服务攻击中所出现的比例越来越少。但是，Web2.0时代各种新技术的广泛应用，针对应用层的Dos/DDOS攻击却在逐年增加。这类攻击，和实际的业务系统结合非常紧密，攻击者通过研究用户业务系统的数据交互特性，利用正常的应用协议进行数据传输交互，从协议特征的合规性上与合法访问一致，在网络流量上也不会引起异常大流量。这种攻击往往悄无声息，动静不大，危害却很严重。传统的网络设备，如果不细致分析用户的业务系统，不对攻击者的攻击手法和攻击过程进行深入的分析，基本上对这类攻击就会显得束手无策。

攻击者在黑客实施DOS/DDOS攻击之前，往往需要相当多的前奏准备。例如，先找到代理或者“肉鸡”，避免暴露自己真实的位置，再通过分布式肉鸡的使用端口扫描探测，获得目标服务器的基本信息：如操作系统类型、数据库类型、提供服务的端口、服务的类型、业务系统的特性以及服务器的硬件配置计算能力、存储能力等等。攻击者只需要耗费很小的带宽和主机资源，而服务器端则要消耗很大的带宽或者主机资源，直至造成服务器资源被消耗殆尽，就会开始拒绝其他合法客户端访问。针对面对这些DOS/DDOS安全威胁，天融信公司通过深入研究开发的入侵防御系统TopIDP提供了完整的解决方案。

首先，在网络层和传输层发生的DOS/DDOS攻击，天融信入侵防御系统TopIDP将其划分为统计型攻击，例如传统的SYNFlood拒绝服务攻击。该攻击以多个随机的源主机地址向目的主机发送SYN包，而在收到目的主机的SYN ACK后并不回应，这样造成目的主机就为这些源主机建立了大量的连接队列，而且由于没有收到ACK一直维护着这些队列，造成了资源的大量消耗而不能向正常请求提供服务。后续正常的TCP 连接请求也会因等待队列填满而被丢弃，造成服务器拒绝服务的现象。对于这种DOS/DDOS，天融信IDP有完善的统计代理机制，UDPFlood、ICMPFlood、 PingSweep、PortScan都可以归类为统计型攻击范畴。天融信的入侵防御系统，提供了详细的解决防护。（图一）

（图一）

其次，对于异常包类型的DOS/DDOS，TopIDP系列产品构建了完整的DOS/DDOS攻击特征的数据结构，在构建连接前期，利用监控的Index表结构，智能判断网络中的数据传输单元。例如TearDrop攻击，由于在TCP/IP协议中，对包一次性传输的大小是有规定的，MTU最大传输单元（Maximum Transmission Unit）1500 字节的数据包，发送方节点的传输层将数据分割成较小的数据片，同时对每一数据片安排一序列号，以便数据到达接收方节点的传输层时，能以正确的顺序重组。它使用的是将分组发送到链路上的网络接口的最大传输单元的值。原始分组的分片都被加上了标记，这样目的主机的IP层就能将分组重组成原始的数据报了，因此，MTU对于一些大的IP包，需要对其进行分片传送。

如果一个攻击者打破这种正常情况，把偏移字段设置成不正确的值，即可能出现重合或断开的情况，就可能导致目标操作系统崩溃。像Land、Smurf、PingOfDeath、Winnuke、IpSpoof等都属于这种攻击类型。

再次，攻击的服务器发送大量的域名解析请求，通常请求解析的域名是随机生成或者是网络世界上根本不存在的域名，被攻击的DNS 服务器在接收到域名解析请求的时候首先会在服务器上查找是否有对应的缓存，如果查找不到并且该域名无法直接由服务器解析的时候，DNS 服务器会向其上层DNS服务器递归查询域名信息。域名解析的过程给服务器带来了很大的负载，每秒钟域名解析请求超过一定的数量就会造成DNS服务器解析域名的崩溃，天融信入侵防御系统TopIDP提供了DNS攻击和DHCP攻击防御机制。

最后，天融信入侵防御系统TopIDP还增加了DDOS自学习功能。DOS/DDOS模块通过流量分析取样机制和基准流量行为监测来识别异常流量，模块自动学习网络上的行为模式，建立正常标准基线，通过分析网络流量结构、流量大小、字节分布、以及流量与时间、类型、路径、服务等形成多维度的取样机制，来实时定义即时异常流量的特点，综合智能的判断自动生成的实时动态特征码，来防范应用误用攻击、服务器蛮力攻击、应用和网络淹没攻击等非漏洞威胁。TopIDP在线速运行的情况下，实现串联式布局方式的自动拦截和攻击处理，从而大大提高了网络的抗攻击能力。