• 近年来,广域网技术的蓬勃发展,网络已经成为人们生活中不可或缺的一部分,或者说网络已经是一个人们离不开的“虚拟”的社会。能否提供令人满意的网络服务质量,已经成为运营商在竞争中立于不败之地的关键所在。目前高速广泛连接的网络不仅给广大用户带来了方便,也为DDoS攻击创造了极为有利的条件。而且由于各类DDoS工具的不断发展,使得实施DDoS攻击变得非常简单,各类攻击工具可以从网络中随意下载,只要使用者稍有网络知识,便可发起攻击。国内外的一些网站上“僵尸网络”甚至被标价出售,这些新的趋势都使得发动大规模DDoS攻击越来越容易,而以不正当的商业行为为目的的攻击也不断出现。
  • 拒绝服务攻击的破坏力波及到越来越多依赖于互联网业务的用户,分布式拒绝服务攻击(DDoS)更可以利用僵尸网络,发起更大规模的海量攻击,成为令人畏惧的攻击方式。对于DDoS攻击,有多种分类方式,例如流量型DDoS攻击(如SYNFlood、UDPFlood、ICMPFlood、ACKFlood等)、应用层的DDoS攻击(如HttpGetFlood、连接耗尽、CC等)、慢速DDoS攻击以及基于漏洞的DDoS攻击。运营商网络上经常会发生多种类型的攻击,而且攻击流量巨大,因此会带来的严重的损害:
  • 1、服务器资源耗尽:海量的SynFlood等DDOS攻击会造成运营商自身的以及重要客户的关键服务器资源耗尽,造成关键业务应用的中断,如DNS、WEB等。从而引起大面积的Internet访问故障和应用停止。给运营商的业务和信誉带来巨大损害,以及运营商及其用户的经济上的无法估量的损失。
  • 2、带宽资源耗尽:运营商骨干带宽资源较为充裕,但是下级客户接入的带宽资源有限。大规模的DDOS攻击可以轻易将客户接入的带宽完全占用,DDOS攻击流量从各个攻击点到受害目标之间网络数据传送需要经过电信运营商的网络,大量攻击流量通过电信运营商的网络流至目标主机,而沿途所经过运营商网络往往也受到了极大的伤害,攻击流量超过沿途网络设备的处理能力,必然导致服务中断或延迟,或者客户无法访问Internet。
  • 现有DDOS攻击解决方法不足
  • 黑洞路由
  • 黑洞技术是服务提供商将指向某一企业的数据包截流后改变数据包路由方向引进“黑洞”并丢弃,但是此方法使合法的数据包和攻击数据一起被丢弃,所以黑洞路由不能算是一种好的解决方案。
  • 增加链路带宽及冗余
  • 增加链路带宽资源可以从两个方面考虑,一是在客户接入端,二是城域网承载部分。如果从客户接入端考虑,客户接入的带宽一般都比较有限,即使增加冗余的链路,也很难抵御DDoS攻击流量的提升,容易将整条接入线路占满。如果从运营商端考虑,运营商为保证其用户的带宽应用,采取了如扩充其链路的带宽,购置负载均衡设备,扩展链路的数量及设备数量以增加冗余度等。但这种方法一是投入成本太大,往往需要付出高额的费用,投资收益比太低。二是无法从根本上解决问题,因为现在发起DDoS攻击越来越容易,而网络上可被利用的攻击资源几乎没有限制,新增的带宽很容易就被更大的DDoS流量占用。三是对于应用层的攻击,增加带宽的方法是没有意义的。
  • DDOS攻击手工响应防护
  • 手工防护DDOS攻击首先是效率低,只能应对小的攻击,不能有效分离攻击流量和正常流量,这样做出的防护也会使正常访问受影响,追查攻击源头困难,往往要涉及多级的电信运营商,从电信运营商的管理层次以及遇到攻击时的响应时间来看,都是不可能的。而且这类由城域网运维人员手工进行的防护措施,往往需要管理员有较高的相关知识水平,且操作复杂繁琐,在攻击发生时会极大的增加运维部门的工作量。
  • DDOS攻击时长与流量生态化
  • 虽然运营商网络通道充沛,但是超大流量的流量攻击近年随着攻击成本的不断降低屡见不鲜,同时网络攻击时长针对客户业务的特点也逐步更有针对性,一旦业务高峰时段网络管道拥堵,业务瘫痪、服务器崩溃,势必造成客户投诉增多乃至流失。
  • DDOS影响越来越多的业务
  • 互联网接入业务:包括集团客户互联网专线接入、WLAN热点接入、小区宽带接入等;集团客户虚拟专网业务:为集团客户提供二层和三层的虚拟专网业务;语音和媒体类业务;IDC接入的省网或城域网。
  • 投资成本高收效甚微
  • 防火墙、IPS/IDS、UTM等各种类型安全设备,造成投资和维护成本持续升高,需要专业的DDoS设备。已有的投资和收益不能成正比,对于安全投资明显动力不足,带来的恶性循环为投资减少,防护能力无法跟上市场需求和技术发展。
分类: 博客