浅析防御僵尸网络基于应用层的DDOS攻击.doc

浅析防御僵尸网络基于应用层的DDOS攻击近期数据显示,针对应用层的DDOS攻击有加速的趋势。据预测,基于应用层的DDOS攻击每年以三倍的速度增长,Gartner预测DDOS攻击会占所有的应用层攻击中的25%左右。研究指出,黑客现在利用DDOS攻击来分散安全管理员的注意力从而伺机窃取敏感信息或者用户账号中的金钱。Verizon在的数据外泄研究报告中指出“这些攻击比别的攻击更加令人恐惧,无论是真的发生的或者是基于设想的。”连接互联网的设备,社交网络,和云计算的发展更是加速了这些新型的攻击变化。过去,DDOS攻击使用大量伪造的UDP,TCPSYN,或者ICMP流量来意图淹没目标网络。各种供应商提供了不同的解决方案来对付她们,包括各种边界设备和服务提供商提供的防御服务,如,ISPs防火墙,云服务,CDN清洗平台。然而,当今的攻击平台已经进化到包含应用层的DDOS攻击,目标是Web系统和DNS系统。而且,从攻击者的角度来看,应用层的DDOS攻击需要更少的资源和能够更隐秘地进行,她们能使用网络基础设施依然能有回应的情况下,秘密地使应用服务不可访问,达到拒绝服务的效果。接下来,我们简要阐述一些典型的针对应用层的DDOS攻击以及防御解决方案。僵尸网络和应用层DDOS攻击僵尸网络是感染了恶意程序的网络计算机被C&C服务器控制的一个庞大网络。最新攻击不但使网络计算机,还能使更多的移动设备和基于云的设备也成为肉鸡。复杂的僵尸网络程序,如Mebroot,能够运行在操作系统之前,避免防病毒软件的检测,从而能够随心所欲地控制成为肉鸡的计算机。僵尸网络与C&C服务器之间的通讯是在隐蔽的信道中进行的,而且经过加密,采用先进的逃逸技术来掩盖踪迹,能够轻易地穿过防火墙而不被察觉。控制僵尸网络的黑客,经过C&C僵尸网络控制服务器来发布攻击指令,如发送垃圾邮件,DDOS攻击,遍历银行个人用户密码信息或者信用卡号等信息。当前,租用或者创立僵尸网络已经成为繁荣的地下市场。虽然防御DDOS攻击非常重要,可是防止您的应用服务器和网络资源变成僵尸网络的一部分也同样重要。把应用服务器变为僵尸网络的肉鸡对于黑客来说具有非常大的吸引力,因为服务器能够为她们提供更庞大的系统攻击资源和为她们获取更多的肉鸡提供优秀的平台。应用服务器一般会含有定制的,自带的,或者是第三方的应用程序。任何的零日漏洞都会导致被黑客攻击而使您的服务器或网络资源成为僵尸网络的活动区域。梭子鱼Web应用防火墙提供健壮的安全特性来防止恶意软件的上传,命令注入,目录遍历,或者任何其它诸如探测或者攻击等的入侵应用服务器的行为。防御HTTPGET和POST洪水攻击Web应用一般会有一些调用数据库,内存或者CPU运算等的比较消耗资源的页面或者接口。例如,文本搜索,僵尸网络会频繁地访问这些页面导致Web应用崩溃。对于这种情况,梭子鱼第一层的保护是为特定的应用设定合适的人为访问阀值。例如,人们访问银行业务的应用大概会在1分钟内访问10个页面,那我们就把这个阀值设置好,而且,人为的访问会带有有效的客户端报头,如Cookies和Referrers报头。一般经过脚本程序来访问的话都不会有这方面的信息。防御HTTP“SlowAttacks”一些攻击手段会使僵尸主机与攻击目标的交互停留在局部的请求与应答当中,而且提供满足最低交互要求的数据以防止服务器访问超时关闭