防DDoS不再是UTM的短板

那罡

据安博士病毒监测中心的2008年研究报告,无论从组织方式还是从攻击手段上看,僵尸网络与DDoS攻击都对IDC用户及网络业务型企业威胁巨大,已经逐渐成为企业面临的首要安全威胁。

DDoS攻击发生的频率不断提高,每次攻击之间没有什么必然的联系。

由于新型DDoS攻击的兴起,用户很难判断是否真正遭到DDoS攻击。即使用户了解到自己的网络应用正遭受攻击,也很难清楚区分DDoS攻击数据流与正常数据流之间的差别。而且在防范DDoS攻击的过程中如何不误杀正常数据,也是DDoS攻击防范的难点之一。

DDoS攻击危害巨大

DDoS带来的危害是巨大的,很多门户网站遭DDoS攻击后,网页无法显示,甚至是全面瘫痪,给企业造成巨大的损失。对于提供带宽服务的电信运营商来说,大型的DDoS攻击不仅影响其个别用户,甚至可以对整个运营商的网络造成威胁,导致个别地区的网络链路全面拥塞,严重影响业务。

DDoS攻击的原理很简单,就是对很多被控制的电脑一起发动DoS攻击,并模拟真实流量,以假乱真,达到强悍的攻击效果。但这种“群殴”式攻击并不需要很多黑客一起参与,一名黑客即可独自操作。由于攻击流量巨大,因此会带来服务器和带宽资源的严重损害:

服务器资源耗尽:海量的SynFlood等DDoS攻击会造成运营商自身以及重要客户的关键服务器资源耗尽,造成关键业务应用如DNS和Web等的中断从而引起大面积的互联网访问故障和应用停止,给运营商的业务和信誉带来巨大损害,造成运营商及其客户在经济上无法估量的损失。

带宽资源耗尽:运营商骨干带宽资源较为充裕,但是下级客户接入的带宽资源有限。大规模的DDoS攻击可以轻易将用户接入的带宽完全占用,从而导致大面积的应用无法访问,或者用户无法访问互联网。

化解UTM难题

DDoS攻击通过消耗服务器端资源、迫使服务器停止响应,阻止合法用户对正常网络资源的访问。为了防御运营商难以避免而且日益严重的网络威胁,一些安全厂商也相应发布了自己的DDoS防御解决方案。

安博士全球CEO金弘善说,由于DDoS攻击会发送大量64Bytes的小数据包,导致一些UTM不能达到线速。这种技术瓶颈使UTM产品在现有平台上解决DDoS防御一直是业界公认的难题。

据了解,AhnLab TrusGuard UTM系列产品对DDoS的防御相对于其他UTM产品有一些特别的优势。该产品利用分工明确的感知和阻断机制,通过五个步骤有效阻断DDoS的攻击:

第一步,启动DDoS Detection Engine(DDoS感知引擎)。当发现系统中超过一定的Session数值临界值时,判断是否存在DDoS攻击。

第二步,启动Anti Spoofing Protection(反欺诈保护)。将攻击时的TCP登录假想为Call Pickup(代接),并对出现的虚拟封包数据进行过滤。

第三步,启动Dynamic Protection(动力保护)。对DDoS攻击时的封包类型进行实时分析,当判断其为攻击封包时,开启限速功能。

第四步,启动正常的Segment Protection(IP频带保护)。当用户平时登录时,对每个原始IP频段的Session进行统计。通过自动识别能力,在发现非正常Session登录的IP 频段时,判断其为DDoS攻击,并对登录相应IP的数据包实行限速。

第五步,启动HTTP BotNet Protection(HTTP僵尸网络保护)功能能有效阻断因连接TCP Session而发生的大量僵尸网络。

金弘善表示,DDoS攻击很狡猾,也很难预防,但是用户可以通过这样的方式及时减轻DDoS攻击对网络的影响,也弥补UTM对防范DDoS方面的不足。面对攻击,用户还需要具备快速响应速度和正确的处理方法,这样就可以及时发现攻击数据流并将其阻挡。