分类: 网络与安全
2011-11-04 10:49:29
斩断DDoS魔掌的六把利剑(四)
在系列文章(三)中,我们介绍了两种减轻DDoS攻击危害的方法,是实现数据收集集中化和定义一个明确的不断升级的发展路线。本文我们接着介绍另外两种方法。
最佳方法三:使用分层过滤
减轻DDoS攻击的目标,是用最小的延迟排除恶意的非法通信,仅允许合法的通信进入网络。实现此目标最有效方法是,使用一种可以利用前文所述的所有方法的多层过滤验证过程。
1、分层过滤通信
使用签名分析、动态分析(根据对正常行为的监视和分析)、反欺骗算法等技术来主动过滤网络上游的有害通信。
2、在OSI堆栈的多层上都应用过滤器
虽然通过在网络层上实施过滤器就可以减少某些攻击,但是当代的攻击更复杂和深入,我们需要在包括应用层的多层上都进行分析和过滤。
3、必要时可限制通信速率
为防止“低容忍”的资源发生瘫痪,根据带宽的并发连接数量,可在必要时运用限制通信速率的能力。
4、能够快速改变和定制过滤器
在必要时,能够快速应用和清除标准过滤器(即签名),也可以根据网络遭受的攻击变化来生成定制的过滤器。
5、随着时间的推移而强化规则集
分析境内外的多种情报、监视、警告和报告日志,然后使用这些信息来不断地更新规则集。
最佳方法四:构建可扩展性和灵活性
为确保在遭受攻击的条件下,系统能够正常发挥功能,企业必须拥有一个高扩展性的、灵活性的基础架构。
1、按需定制的能力
这种能力包括带宽以及硬件处理能力,以及需要处理通信负载的可扩展性。充足的能力至关重要,但要想在一个企业内部维持充足的能力却非常困难,并且常常是不现实的。例如,提供过度的带宽来吸收海量攻击需要花费大量的金钱去购买额外的带宽,甚至有可能还需要购买服务器。此外,在当今的环境中,过度配置带宽也往往是不够的,因为DDoS攻击的规模正以惊人的速度增长,而企业网络到互联网连接的速率一般是1Gbps及其以下。
2、找到临界点
要了解你的基础在遭受攻击的情况下是如何动作的。确定通信的特征,并确认哪些组件在面临沉重负载时会首先垮掉。例如,知道在哪个时点上防火墙或Web服务器会发生故障,知道哪些数据包或查询在某系统上所造成的后果比其它系统更严重。要在镜像生产环境中测试各种情况,而不仅仅是预报,并在改变了基础架构的任何部分后重新进行测试。
3、对基础架构建立负载平衡
一旦确认了临界点,下一步就应当对基础架构建立负载平衡,其目标是优化正常负载和峰值负载情况下的通信流。
4、考虑监视工具的可扩展性
必须保证在高负载的情况下,监视工具仍能继续工作。在有些消耗带宽的DDoS攻击中,监视往往名存实亡,甚至还会报告错误数据。例如,有些监视工具只能报告相同的值,因为它无法报告更高级的东西。
5、增强硬件和软件的多样性
并不是要构建多么复杂的IT环境,而是为了防御某些DDoS攻击针对特定厂商硬件和软件,因而不妨从多个厂商购买硬件和软件工具。如中新金盾等产品。
6、利用分布式模式
如果可能,利用一种分布式模式来为高价值的应用和服务构建和维持冗余性。
下文将介绍对付DDoS攻击的最后两种最佳方法。