对已经检测到的DDoS攻击,东软采取的处理方法是设定保护线和限制线:当设备判断当前流量异常有DDoS攻击发生时,纳入流量分析,进入保护线;当流量到达一定程度并触发限制线时,将采取强制措施进行流量限制。“东软的反DDoS攻击方案主要是针对电信运营商级的DDoS攻击,因为电信运营商容易成为黑客攻击的目标,而且遭受了DDoS攻击后影响会非常大。”姚伟栋介绍说,“而中小企业的反DDoS攻击,用防火墙、IPS、UTM就能完成。”
华为赛门铁克安全解决方案部部长武鹏介绍了华赛的反DDoS攻击解决方法,华赛提出了异常流量监管解决方案ATIC,其中心思想是:检测中心发现流量异常后通告管理中心,管理中心控制清洗中心引流,由清洗中心精确区分异常流量和正常流量,丢弃异常流量并回注正常流量。其中,管理中心用于集中策略管理和报表呈现,并对攻击流量进行动态控制,以消除对网络结构和网络性能的影响。
据了解,华赛的Anti-DDoS设备,是一个分层部署、逐层防护的全网异常流量清洗解决方案,该设备采用“NP+多核+分布式”架构,每块单板能清洗10GDDoS攻击流量。部署在骨干网的清洗方案专注于带宽型DDoS攻击流量的清洗;接入侧清洗方案则专注小流量及应用型攻击,以实现基于业务和带宽资源的纵深防御。“这样一来,不仅可以防御DDoS攻击,非法访问、安全传输和系统安全等问题都能得到解决。”武鹏强调,华赛的解决方案是一个多方案保障网络安全的解决办法。
而绿盟公司则认为,目前该公司已经基本解决了DDoS攻击的问题。崔云鹏介绍,反DDoS攻击的最大难点是对DDoS攻击的识别和流量清洗,因为DDoS攻击的访问很多看起来都是正常的报文。因此,绿盟的产品针对这些难点,自主研发了对拒绝服务攻击进行识别的独特算法,能对SYNFlood、UDPFlood、UDPDNS Query Flood、(M)Stream Flood、ICMP Flood、HTTP Get Flood以及连接耗尽这些常见的攻击行为进行有效识别,并通过集成的机制实时对这些攻击流量进行阻断。“我们的方案就是把DDoS攻击拦截在门外,使其无法攻入服务器内部,并对正常和异常的访问进行筛选,在防范恶意攻击的同时还可以保证用户的正常访问。”崔云鹏总结了绿盟反DDoS攻击解决方案的原理。
中新软件主要是针对小型用户遇到的DDoS攻击推出了解决方案,采取的方法是:对于TCP协议报文,通过连接跟踪模块来防护攻击;而对于UDP及ICMP协议报文,主要采用流量控制模块来防护攻击。针对进出的所有连接均进行连接跟踪,并在跟踪的同时进行防护,以化解针对TCP协议的各种攻击。同时,针对不同的端口应用,中新还提供不同的防护手段,这使得运行在同一服务器上的不同服务,都可以获得完善的攻击防护。“这样可以对攻击进行有效的检测,针对不同的流量触发不同的保护机制,这在提高效率的同时还确保了准确度。”徐航介绍说。
部署方式是关键
仅仅有了反DDoS攻击产品,还并不能完全保证网络或应用不受DDoS攻击,这些设备在网络中的部署方法也非常重要,并且将直接决定应用的效果。
姚伟栋认为,设备部署在不同层次对反DDoS攻击的效果是不一样的,他建议,应该将设备部署在越外围越好。“比如,对市级运营商网络,最好在省级出口部署反DDoS攻击设备;对于跨地区的大型企业网络,最好在每个互联网出口处都部署反DDoS设备,再加上网络管理双管齐下,就可以降低受攻击的可能性。”姚伟栋表示,“而对于中小企业来说,目前它们还没有引起黑客的注意,针对这种情况,用合适的防火墙、IPS、UTM设备就可以了。”
“即使都是运营商网络反DDoS攻击,由于运营商为企业提供的带宽服务类型不同,其对DDoS攻击产品的部署方案和部署模式也不一样。”武鹏认为。比如,针对运营商要保护带宽资源、缓解城域网出口压力、清洗带宽型DDoS攻击的情况,建议部署骨干网方案:netflow检测中心+清洗中心+管理中心的动态引流清洗方案;而针对运营商为企业提供安全宽带运营增值服务的情况,建议采用DPI检测中心+清洗中心+管理中心的动态引流清洗方案,这时还特别要注意在靠近企业端部署设备,以确保网络流量异常时得到实时清洗。
崔云鹏则指出,针对不同类型的客户,绿盟提供了不同的部署方案。对于大型运营商来说,可以采用系统支持旁路的部署方式对DDoS攻击流量进行牵引,同时通过部署若干台黑洞设备形成集群,这就增强了系统抵御巨大规模DDoS攻击的能力,保证了正常流量的顺畅通过;而对于小型企业来说,则可以采用嵌入式部署方案,在遇到流量异常的时候直接阻断攻击,并及时保障企业网络的安全。
中新的相关负责人在谈到中小型企业反DDoS攻击时提到,如果是在缺少专用设备的情况下,通过设置并优化操作系统参数,也是能够提高系统本身对DDoS攻击的抵御能力的。如果可以更换IP、更换域名或是通过购买负载均衡设备找到攻击源头,并从源头处解决攻击是最好的办法。但是,当前攻击普遍采用的是伪造源地址,并且有大量的傀儡机存在,使得这种方法变得并不可行。因此,中新认为,对于中小型企业来说,做好自身的网络维护和系统清理是最重要的。
虽然安全厂商们推出了各种各样防范DDoS攻击的设备和解决方案,也提出了部署实施的关键措施,但要100%防范DDoS攻击,似乎有很大的难度,还需要厂商在技术上进一步探索,并需要用户加强对网络的检测和管理,同时更需要政府和公安部门的大力支持,以打击这一“网络黑社会”团体。总的来说,DDoS攻击由于其攻击的突然性以及数据流的无限膨胀,防范的确是一大难题,尽管安全厂商提出了相对完善的解决方案,但实际效果还有待市场考验。