智能移动设备时代 如何应对新DDoS攻击(转)

随着智能设备的高速发展，针对应用层的DDOS攻击有加速的趋势，Gartner预测DDOS攻击会占2013年所有的应用层攻击中的25%左右，Verizon在2012年的数据外泄研究报告中指出“这些攻击比别的攻击更加令人恐惧，无论是真的发生的或者是基于设想的。”而应用层的攻击与传统的DDoS攻击有哪些区别呢？　　 

梭子鱼网络技术总监贾玉彬表示，传统的DDoS攻击使用大量伪造的UDP、TCP SYN或者ICMP流量对目标网络进行泛洪攻击，针对的是ISO模型的3、4层（IP+端口）。而现有的攻击，更多指向应用层DDoS攻击，其目标是Web应用系统和DNS系统，针对的是ISO模型的应用层（7层/HTTP、HTTPS），例如大量针对消耗Web服务器资源的URL（比如需要数据库卖写操作等）的请求，再比如利用HTTP协议的漏洞的攻击（慢客户端攻击）。

在这种全新的网络攻击技术下，企业传统的防御技术已经显得有些力不从心，传统的网络层防火墙对应用层的攻击识别非常有限。而且从攻击者的角度来看，应用层的DDoS攻击需要更少的资源和可以更隐秘地进行，他们能在网络基础设施仍然有回应的情况下秘密地使应用服务不可访问，达到拒绝服务的效果。

传统的僵尸网络是指感染了恶意程序的网络中的PC从而被C&C服务器控制的一个网络，虽然庞大但是毕竟PC软硬件技术成熟，可利用的漏洞也会及时发现并进行升级，但是最新的攻击手法不但是利用了传统PC，也在使用智能移动设备，你所使用的手机、平板甚至是智能电视和基于云的中端设备。

梭子鱼网络技术总监贾玉彬指出，企业在应对应用层DDoS攻击，应用层流量的可视性和可控性是网络分层防御的关键。首先用户应当部署网络层防火墙，如果有条件还可以部署IPS，这些设备能防御网络层的各种DDoS攻击；其次是部署基于反向代理的Web应用防火墙（WAF），WAF可以对应用层会话进行终止和主动清除各种针对应用层的DDoS攻击。

梭子鱼Web应用防火墙是专注于应用层防护的设备，其针对应用层DDoS攻击防护也有一套完善的解决方案。举例说一下，梭子鱼WAF从以下几方面实现对DDoS攻击的防护：

（1）防御HTTP GET和POST泛洪攻击；

（2）防御HTTP“慢客户端攻击”；

（3）基于客户端完整性检查防御僵尸网络攻击；

（4）使用地理位置IP信息降低DDoS攻击可能性；

（5）使用请求IP地址的信誉过滤僵尸网络流量；

（6）防止Web应用服务器变成僵尸网络的节点。

随着IT成本的不断增加，越来越多企业开始趋向于云计算、虚拟化环境，云计算在为企业带来高性能运算低成本投入的红利同时，也带来更大的网络安全隐患。

云安全产品在宣传中，提供大量的数据为用户证明其安全性和及时性，在已经选用云安全服务的企业，却为了防止企业内部安全防护策略与云端有冲突，而放弃本地安全策略，而完全依靠基于云服务的安全防护服务。

但是在梭子鱼看来，云技术提供的安全服务目前来看还不会与传统的安全软硬件防护方案有冲突，相反它们要相互配合提供各有特色的解决方案。梭子鱼本身也是云安全服务的提供者之一，梭子鱼WAF的虚拟版本，可部署于目前全球主流的虚拟环境如VM、CITRIX、HYPER-V、VIRTUAL BOX。这使得梭子鱼的WAF完全适合虚拟化、云计算环境。并且梭子鱼WAF现在是微软Azure云平台上的唯一云应用防护产品。虽然，基于云技术提供的安全服务可以提供最快、最便捷的安全服务，但是基于云的安全服务仍会因为其互联网本质而受到局限，因为云安全策略，要求使用者必须时刻保证自己互联网的畅通。例如当遭遇最新的应用层DDos进攻后，网络拥堵或网络处于瘫痪状态时，云安全策略就变得迟缓了。

正因为考虑到这些客观存在的问题，企业需要根据自身网络及应用的特点进行评估，找到自己目前遇到的问题以及可能面临的安全问题。例如针对防御应用层DDoS攻击，各类型企业可以根据自己业务的需要部署相应的WAF产品。一般而言企业可以根据自己Web应用的特点进行选择，例如，如果使用了Web Service那就要考虑使用具有XML防火墙功能的WAF。对WAF选型主要考虑以下几个方面：

（1）基于反向代理技术；

（2）是否具有防御僵尸网络攻击的能力；

（3）Web应用业务的互联网带宽；

（4）是否具有XML防火墙功能；

（5）是否具有GeoIP功能；

（6）是否具有会话跟踪功能；

（7）是否可以防御慢客户端攻击；

（8）是否可以防御目前流行的一些应用层DDoS攻击，如LOIC/JS LOIC。(转自IT168)