關于防禦DDoS攻擊的防火牆技術概述
1、DDoS簡介
DDoS是(Distributed Denial of Service)的縮寫,即分布式拒絕服務,DDoS攻擊是通過大規模網際網路流量淹沒目标伺服器或其周邊基礎設施,以破壞目标伺服器、服務或網絡正常流量的惡意行為。
這些網絡由計算機和其他裝置(例如 IoT 裝置)組成,它們感染了惡意軟體,進而被攻擊者遠端控制。這些個體裝置稱為機器人(或僵屍),一組機器人則稱為僵屍網絡。一旦建立了僵屍網絡,攻擊者就可通過向每個機器人發送遠端指令來發動攻擊。
當僵屍網絡将受害者的伺服器或網絡作為目标時,每個機器人會将請求發送到目标的 IP 位址,這可能導緻伺服器或網絡不堪重負,進而造成對正常流量的拒絕服務。由于每個機器人都是合法的網際網路裝置,因而可能很難區分攻擊流量與正常流量。
2、如何防禦DDoS攻擊
對于分布式攻擊,直接切入的非常有效的防禦方法比較困難,仍以預防為主,其主要的防範DDoS措施有:
- 縮小暴露面,隔離資源和不相關的業務,降低被攻擊的風險;
- 提升網絡裝置性能,提高帶寬,提升總負載能力;
- 部署專業的安全設施,如NGFW、DDoS清洗裝置、高防伺服器、高防IP等。
- 使用内容分發網絡(CDN),将基礎設施置于CDN後面,減少對企業網絡基礎設施的攻擊;
- 從網際網路服務提供商(ISP)或第三方DDoS解決商購買DDoS緩解/防護服務;
以上各種防範措施中,在關鍵網絡節點部署防火牆是目前較為主流且适用場景最廣的DDoS攻擊防範手段,能夠有效抵禦或減緩各種常見的DDoS攻擊,保證内部網絡主機的正常運作。
3、防火牆防範DDoS攻擊相關技術
NGFW,全稱是Next Generation Firewall,即下一代防火牆。NGFW可以全面應對應用層威脅,通過深入分析網絡流量中的使用者、應用和内容,借助全新的高性能單路徑異構并行處理引擎,NGFW能夠為使用者提供有效的應用層一體化安全防護,幫助使用者安全地開展業務并簡化使用者的網絡安全架構。
在現代網絡中,DDoS流量以多種形式出現,流量設計可能有所不同,從非欺騙性單源攻擊到複雜的自适應多方位攻擊無所不有。防火牆的攻擊防範功能能夠檢測出多種類型的網絡攻擊,并能采取相應的措施保護内部網絡免受惡意攻擊。
3.1通用防範技術
NGFW裝置深入分析每條流量,采用靜态過濾、畸形封包過濾、掃描窺探封包過濾、源合法性認證、基于會話防範等精心打造的“七層防禦體系”,可以有效識别流量型攻擊、應用型攻擊、掃描窺探型攻擊和畸形包攻擊等多種攻擊類型,實作了對多種Dos\DDoS攻擊流量精确防禦。
- 靜态過濾:直接丢棄位于黑名單中的IP位址發出的流量,或者直接讓位于白名單的IP位址發出的流量通過。
- 畸形封包過濾:過濾利用協定棧漏洞的畸形封包攻擊。
- 掃描窺探封包過濾:過濾探測網絡結構的掃描型封包和特殊控制封包。
- 源合法性認證:基于應用來認證封包源位址的合法性,這些應用支援協定互動。清洗裝置通過發送源探測封包及檢查響應封包來防範虛假源或工具發出的攻擊流量。
- 基于會話防範:基于會話來防禦并發連接配接、建立連接配接或異常連接配接超過門檻值的連接配接耗盡類攻擊。
- 特征識别過濾:主要靠指紋學習和抓包分析來獲得流量特征,防範僵屍工具或通過代理發起的攻擊流量,以差別正常使用者的通路行為。其中抓包分析是指對異常/攻擊流量抓包以生成抓封包件,通過對抓封包件進行解析和提取指紋,能夠擷取流量特征。
- 流量整形:流量經過此前各分層過濾之後,流量依然很大,超過使用者實際帶寬,此時采用流量整形技術,確定使用者網絡帶寬可用。
3.2 源探測技術
3.2.1 技術原理:裝置對請求服務的封包的源IP位址進行探測,來自真實源IP位址的封包将被轉發,來自虛假源IP位址的封包将被丢棄。
3.2.2 可防範的攻擊類型:SYN Flood、HTTP Flood、HTTPS Flood、DNS Request Flood、DNS Reply Flood、SIP Flood。
3.2.3 SYN Flood攻擊防禦:
1)攻擊原理
攻擊者僞造大量的SYN請求封包發送給伺服器,伺服器每收到一個SYN就會響應一個SYN-ACK封包,但是攻擊者并不會理會此SYN-ACK封包,是以伺服器端會存在大量TCP半開連接配接,維護這些連結需要消耗大量的CPU及記憶體資源,最終導緻伺服器無暇處理正常的SYN請求,拒絕服務。
與SYN Flood攻擊相似的攻擊還有FIN Flood攻擊、RST Flood攻擊、ACK Flood攻擊等,其攻擊原理都是僞造帶有特殊标志位的TCP封包,對目标伺服器發起攻擊,消耗其系統資源,最終導緻伺服器無法提供正常的服務。
2)防範原理
在連續一段時間内,防火牆收到的具有相同目的位址的SYN封包數如果超過聞值,則啟動SYN封包源認證。防火牆攔截SYN封包,并僞造一個帶有錯誤序列号的SYN-ACK封包回應給用戶端。
如果用戶端是虛假源,則不會對錯誤的SYN-ACK封包進行回應,認證失敗,防火牆丢棄後續此源位址的SYN封包;
如果用戶端是真實源,則會響應一個RST封包,認證通過,防火牆把此源位址加入白名單,并放行後續的SYN封包。
3.2.4 HTTPS Flood攻擊
1)攻擊原理:攻擊者通過代理、僵屍主機或者直接向目标伺服器發起大量的HTTPS連接配接,造成伺服器資源耗盡,無法響應正常的請求。
2)防範原理:
防火牆基于目的位址對目的端口為443的HTTPS封包(不區分請求或響應封包)速率進行統計,當目的IP相同且目的端口為443的HTTPS封包速率達到門檻值時,啟動源認證防禦。防火牆代替伺服器與用戶端完成三次握手,随後對用戶端發送的Hello封包的關鍵字段進行檢查,丢棄攻擊者封包,放通正常使用者封包(并加入白名單)。
3.3 指紋技術
3.3.1 技術原理:裝置将攻擊封包的一段顯著特征學習為指紋,未比對指紋的封包将被轉發,比對指紋的封包将被丢棄。
3.3.2 可防範的攻擊類型:UDP Flood、UDP Fragment Flood。
3.3.3 UDP Flood攻擊防禦:
1)UDP Flood攻擊原理:UDP協定是一種無連接配接的服務,攻擊者向伺服器發送大量UDP協定資料包,如發送大量UDP封包沖擊DNS伺服器、Radius認證伺服器、流媒體視訊伺服器等,導緻伺服器帶寬和系統資源耗盡,無法提供正常服務。
UDP Flood攻擊包括小包和大包兩種方式進行攻擊:
小包是指64位元組大小的資料包,這是以太網上傳輸資料幀的最小值,在相同流量下,單包體積越小,資料包的數量就越多。由于交換機、路由器等網絡裝置需要對每一個資料包進行檢查和校驗,是以使用UDP小包攻擊能夠最有效的增大網絡裝置處理資料包的壓力,造成處理速度的緩慢和傳輸延遲等拒絕服務攻擊的效果。
大包是指1500位元組以上的資料包,其大小超過了以大網的最大傳輸單元,使用UDP大包攻擊,能夠有效的占用網絡接口的傳輸寬帶,并迫使被攻擊目标在接受到UDP資料時進行分片重組,造成網絡擁堵,伺服器響應速度變慢。
2)防範原理(指紋學習):
UDP Flood攻擊封包具有一定的特點,這些攻擊封包通常都擁有相同的特征字段,可以通過指紋學習的方式防禦UDP Flood攻擊。在連續一段時間内,防火牆收到的具有相同目的位址的UDP封包數如果超過聞值,則觸發指紋學習。防火牆将攻擊封包的一段顯著特征學習為指紋後,比對指紋的封包會被丢棄。
3.4 限流技術
3.4.1 技術原理:裝置直接丢棄超過速率上限的封包。
3.4.2 可防範的攻擊類型:ICMP Flood、UDP Flood。
3.4.3 ICMP Flood攻擊防禦:
1)攻擊原理:實施ICMP Flood攻擊的攻擊者一般通過控制大量主機,在短時間内發送大量的超大ICMP封包到被攻擊目标,占用被攻擊目标的網絡帶寬和系統資源,最終導緻資源耗盡,業務不可用。
此類型攻擊也會導緻依靠會話轉發的網絡裝置會話耗盡,引發網絡癱瘓。
2)防範原理:
針對ICMP Flood攻擊,防火牆可以對ICMP封包進行限流,将ICMP封包速率限制在一個較小的聞值範圍内,超出閩值的ICMP封包被防火牆直接丢棄。防火牆可以基于接口對ICMP封包進行限流,也可基于目的IP位址對ICMP封包進行限流。
4、NGFW不足之處
雖然防火牆裝置在大部分場景下能夠有效抵禦或減緩DDoS攻擊,但其處理DDoS攻擊的能力依然有限,如果DDoS攻擊流量過大的話,防火牆很有可能會由于裝置資源耗盡,導緻業務無法正常運作,甚至系統崩潰或者當機。例如IDC、金融、政府、網際網路、遊戲等行業對網絡品質需求極高,這些行業出口帶寬流量大,業務類型豐富,對可靠性要求高,并且在抵禦外網攻擊的同時,又要確定業務應用的暢通。而這些需求僅通過防火牆裝置防禦DDoS攻擊是遠遠不夠的。
倘若為了提高防火牆處理性能,采購T級别或更進階别NGFW裝置,僅僅用于防禦DDoS攻擊,也是一件毫無成本效益的事情。目前主流的解決方案是在網絡架構中引入專業的DDoS防禦裝置,采用透明模式或旁路模式替防火牆處理DDoS流量,確定整個網絡的正常運作。
5、結語
随着網際網路環境越來越複雜,DDoS攻擊的形式也在發生着日新月異的變化,新的攻擊方法還在不斷被發明出來。理論上,對于DDoS攻擊來說并沒有100%有效的防禦手段,防火牆技術也僅僅是起到了最基礎的防禦目的,但是隻要我們更好的了解DDoS攻擊,積極部署防禦措施,還是能夠在很大程度上緩解和抵禦這類安全威脅的。