浅析防御僵尸网络基于应用层的DDOS攻击.doc

浅析防御僵尸网络基于应用层的DDOS攻击
浅析防御僵尸网络基于应用层的DDOS攻击
近期数据显示,针对应用层的DDOS攻击有加速的趋势。据预测,基于应用层的DDOS攻击每年以三倍的速度增长,Gartner预测DDOS攻击会占20
浅析防御僵尸网络基于应用层的DDOS攻击
浅析防御僵尸网络基于应用层的DDOS攻击
近期数据显示,针对应用层的DDOS攻击有加速的趋势。据预测,基于应用层的DDOS攻击每年以三倍的速度增长,Gartner预测DDOS攻击会占2013年所有的应用层攻击中的25%左右。研究指出,黑客现在利用DDOS攻击来分散安全管理员的注意力从而伺机窃取敏感信息或者用户账号中的金钱。Verizon在2012年的数据外泄研究报告中指出“这些攻击比别的攻击更加令人恐惧,无论是真的发生的或者是基于设想的。”连接互联网的设备,社交网络,和云计算的发展更是加速了这些新型的攻击变化。
过去,DDOS攻击使用大量伪造的UDP,TCPSYN,或者ICMP流量来意图淹没目标网络。各种供应商提供了不同的解决方案来对付他们,包括各种边界设备和服务提供商提供的防御服务,如,ISPs防火墙,云服务,CDN清洗平台。然而,当今的攻击平台已经进化到包含应用层的DDOS攻击,目标是Web系统和DNS系统。而且,从攻击者的角度来看,应用层的DDOS攻击需要更少的资源和可以更隐秘地进行,他们能使用网络基础设施仍然能有回应的情况下,秘密地使应用服务不可访问,达到拒绝服务的效果。
接下来,我们简要阐述一些典型的针对应用层的DDOS攻击以及防御解决方案。
僵尸网络和应用层DDOS攻击
僵尸网络是感染了恶意程序的网络计算机被C&C服务器控制的一个庞大网络。最新攻击不仅使网络计算机,还能使更多的移动设备和基于云的设备也成为肉鸡。复杂的僵尸网络程序,如Mebroot,可以运行在操作系统之前,避免防病毒软件的检测,从而可以随心所欲地控制成为肉鸡的计算机。
僵尸网络与C&C服务器之间的通讯是在隐蔽的信道中进行的,并且经过加密,采用先进的逃逸技术来掩盖踪迹,可以轻易地穿过防火墙而不被察觉。控制僵尸网络
网络带宽就可以暗地里地和慢慢地完成对服务器的DDOS攻击,这种攻击目前非常流行。
Slowloris攻击是典型的Slow攻击,它会在一定的时间间隔内向攻击目标服务器重复初始化和发送HTTP报头,但是却不会把报头发送完毕,这使得服务器线程和网络资源不能被释放出来,最终导致服务器资源耗尽达到拒绝服务攻击的效果。从协议的合规性分析,这种攻击流量是正常的流量,所以依靠特征库和黑名单技术的防护设备是检测不出这种攻击的。
凭借着反向代理技术,协议和应用可视性的优势,梭子鱼Web应用防火墙可以识别和阻断不正常的流量,通过自适应安全算法监控不断增长和聚合的通讯流量,关闭恶意连接,从而防止这些恶意流量过度地消耗系统资源。
基于客户端完整性检查防御僵尸网络攻击
除了像Google和百度这些搜索引擎索引Web页面之外,面向互联网访问的绝大部分的Web应用流量都是来自于用户的浏览器,如InternetExplorer,Firefox,Chrome,或者Safari等。然而来自僵尸网络的流量通常由自动化的脚本程序产生,和浏览器正常产生的流量不一样。因此,采用一些探测性