DDOS攻击最初人们称之为DOS(Denial of Service)攻击,它的攻击原理是:你有一台服务器,我有一台个人电脑,我就用我的个人电脑向你的服务器发送大量的垃圾信息,拥堵你的网络,并加大你处理数据的负担,降低服务器CPU和内存的工作效率。 不过,随着科技的进步,类似DOS这样一对一的攻击很容易防御,于是DDOS—分布式拒绝服务攻击诞生了。其原理和DOS相同,不同之处在于DDOS攻击是多对一进行攻击,甚至达到数万台个人电脑在同一时间用DOS攻击的方式攻击一台服务器,最终导致被攻击的服务器瘫痪。
为了确保能够防御最新和最强大的DDoS攻击,企业必须确定其安全提供商可以提供应对这些最新威胁的最佳工具和技术。
以下是企业现代DDoS防护措施中的5项必备功能:
必备功能1:应用层DDoS防护
应用层(L7) DDoS攻击已经超过网络层(L3/4)攻击,成为了最广泛的攻击矢量。据Radware 2017-2018年ERT报告称,64%的企业都面临着应用层攻击,相比之下,面临网络层攻击的企业仅为51%。
事实上,据ERT报告称,在所有攻击类型中(包括网络层和应用层),HTTP洪水是排名第一的攻击矢量。此外,SSL、DNS和SMTP攻击也是常见的应用层攻击类型。
许多在线安全服务都承诺可以通过WAF实现L7层DDoS防护。然而,这通常需要在DDoS防护机制的基础之上订阅昂贵的附加WAF服务。
这些趋势暗示了,现代DDoS防护已经不只是为了防御网络层DDoS攻击。为了让企业得到充分保护,现代DDoS防护措施必须包含可以防御应用层(L7)攻击的内置防御措施。
必备功能2:SSL DDoS洪水防护
目前,加密流量占了互联网流量的一大部分。根据Mozilla的Let’s Encrypt项目,全球70%以上的网站都是通过HTTPS传输的,这一比例在美国和德国等市场中更高。这些发现在Radware最新的ERT报告中都有所体现,目前,96%的企业都在一定程度上采用了SSL,其中60%的企业证实了,他们的大部分流量都是经过加密的。
然而,这种增长也带来了重大的安全挑战:与常规请求相比,加密请求可能需要高达15倍以上的服务器资源。这就意味着,复杂的攻击者即使利用少量流量也可以击垮一个网站。
由于越来越多的流量都是经过加密的,SSL DDoS洪水成为了黑客越来越常用的攻击矢量。据Radware最新的ERT报告称,过去一年间,30%的企业都声称遭受了基于SSL的攻击。
鉴于基于SSL的DDoS攻击的威力,对希望得到充分保护的企业而言,可以防御SSL DDoS洪水的高水平防护措施是必不可少的。
必备功能3:零日防护
攻击者在不断寻找新的方法,绕过传统的安全机制,并利用前所未见的攻击方法攻击企业。即使对攻击特征码做一些微小修改,黑客也能创造出手动特征码无法识别的攻击。这类攻击通常被称为“零日”攻击。
例如,一种常见的零日攻击就是脉冲式DDoS攻击,在切换到另一个攻击矢量之前,该攻击会利用高容量攻击的短时脉冲。这些攻击通常会结合许多不同的攻击矢量,依赖需要手动优化的传统安全解决方案的企业在面对这些打了就跑的战术时往往会陷入困境。
另一类零日攻击是放大攻击。放大攻击通常会采用请求和响应包大小严重不对称的通信协议。此类攻击会将流量从不参与攻击的第三方服务器上反射出来,放大攻击流量,进而击垮攻击目标。
据Radware 2017-2018年ERT报告称,42%的企业都遭受了脉冲式攻击,40%的企业声称遭受了放大DDoS攻击。这些趋势说明了零日攻击防护功能在现代DDoS防护机制中的必要性。
必备功能4:行为防护
由于DDoS攻击变得越来越复杂,区分合法流量和恶意流量也随之变得越来越困难。对于可以模仿合法用户行为的应用层(L7) DDoS攻击而言尤为如此。
许多安全厂商采用的常见机制就是基于流量阈值来检测攻击,并使用速率限制来限制流量峰值。然而,这是一种非常粗糙的攻击拦截方式,因为此方法无法区分合法流量和恶意流量。在流量显著增加的购物季等活动高峰期,这是一个非常严重的问题。速率限制等单一的防护机制无法区分合法流量和攻击流量,最终会拦截合法用户。
然而,一种可以更有效检测并拦截攻击的方法就是采用了解什么是正常用户行为的行为分析技术,并拦截所有不符合这种行为的流量。这不仅可以提供更高水平的防护,而且可以实现更低的误报率,并且不会在流量高峰期拦截合法用户。
因此,采用了基于行为分析的检测(和缓解)的DDoS防护措施确实是有效的DDoS防护中的必备功能。
必备功能5:详尽的SLA
企业服务水平协议(SLA)是企业安全提供商承诺为其提供的保障。毫不夸张的说,企业安全完全取决于企业的SLA。
许多安全厂商都大肆宣扬自己的能力,但一旦到了要做出实际承诺的时候,他们的宣扬就会化为泡影。
为了确保企业能获得安全厂商宣传手册上描述的所有服务,企业需要告诉安全厂商要采取切实措施,并提供详细的SLA,其中包括对检测、缓解和可用性指标的具体承诺。SLA必须涵盖整个DDoS攻击生命周期,以便确保企业在任何场景下都能得到充分的保护。
如果企业的安全提供商无法提供此类承诺,企业就应该对该厂商能否提供高质量的DDoS攻击防护产生怀疑。这也是细粒度SLA能成为现代DDoS防护措施中必备功能的原因。