淺析防護僵屍網絡基於應用層的DDOS攻擊

近期數據顯示，針對應用層的DDOS攻擊有加速的趨勢。據預測，基於應用層的DDOS攻擊每一年以三倍的速度增加，Gartner預測DDOS攻擊會佔2013年全部的應用層攻擊中的25%左右。研究指出，黑客如今利用DDOS攻擊來分散安全管理員的注意力從而乘機竊取敏感信息或者用戶帳號中的金錢。Verizon在2012年的數據外泄研究報告中指出「這些攻擊比別的攻擊更加使人恐懼，不管是真的發生的或者是基於設想的。」鏈接互聯網的設備，社交網絡，和雲計算的發展更是加速了這些新型的攻擊變化。

過去，DDOS攻擊使用大量僞造的UDP,TCPSYN,或者ICMP流量來意圖淹沒目標網絡。各類供應商提供了不一樣的解決方案來對付他們，包括各類邊界設備和服務提供商提供的防護服務，如，ISPs防火牆，雲服務，CDN清洗平臺。然而，當今的攻擊平臺已經進化到包含應用層的DDOS攻擊，目標是Web系統和DNS系統。並且，從攻擊者的角度來看，應用層的DDOS攻擊須要更少的資源和能夠更隱祕地進行，他們能使用網絡基礎設施仍然能有迴應的狀況下，祕密地使應用服務不可訪問，達到拒絕服務的效果。

接下來，咱們簡要闡述一些典型的針對應用層的DDOS攻擊以及防護解決方案。

僵屍網絡和應用層DDOS攻擊

僵屍網絡是感染了惡意程序的網絡計算機被C&C服務器控制的一個龐大網絡。最新攻擊不只使網絡計算機，還能使更多的移動設備和基於雲的設備也成爲肉雞。複雜的僵屍網絡程序，如Mebroot，能夠運行在操做系統以前，避免防病毒軟件的檢測，從而能夠爲所欲爲地控制成爲肉雞的計算機。

僵屍網絡與C&C服務器之間的通信是在隱蔽的信道中進行的，而且通過加密，採用先進的逃逸技術來掩蓋蹤影，能夠輕易地穿過防火牆而不被察覺。控制僵屍網絡的黑客，經過C&C僵屍網絡控制服務器來發布攻擊指令，如發送垃圾郵件，DDOS攻擊，遍歷銀行我的用戶密碼信息或者信用卡號等信息。

目前，租用或者建立僵屍網絡已經成爲繁榮的地下市場。

雖然防護DDOS攻擊很是重要，可是防止您的應用服務器和網絡資源變成僵屍網絡的一部分也一樣重要。把應用服務器變爲僵屍網絡的肉雞對於黑客來講具備很是大的吸引力，由於服務器能夠爲他們提供更龐大的系統攻擊資源和爲他們獲取更多的肉雞提供優秀的平臺。

應用服務器一般會含有定製的，自帶的，或者是第三方的應用程序。任何的零日漏洞都會致使被黑客攻擊而使您的服務器或網絡資源成爲僵屍網絡的活動區域。

防護HTTP GET和POST洪水攻擊

Web應用一般會有一些調用數據庫，內存或者CPU運算等的比較消耗資源的頁面或者接口。例如，文本搜索，僵屍網絡會頻繁地訪問這些頁面致使Web應用崩潰。

對於這種狀況，第一層的保護是爲特定的應用設定合適的人爲訪問閥值。例如，人們訪問銀行業務的應用大概會在1分鐘內訪問10個頁面，那咱們就把這個閥值設置好，並且，人爲的訪問會帶有有效的客戶端報頭，如Cookies和Referrers報頭。通常經過腳本程序來訪問的話都不會有這方面的信息。

防護HTTP「Slow Attacks」

一些攻擊手段會使殭屍主機與攻擊目標的交互停留在局部的請求與應答當中，而且提供知足最低交互要求的數據以防止服務器訪問超時關閉會話。這種攻擊以消耗系統資源來使得應用處理效率下降，最後致使服務器沒有能力再處理新來的請求流量。這種攻擊稱爲「lowandslow」攻擊，由於只須要小部分的客戶端經過較低的網絡帶寬就能夠暗地裏地和慢慢地完成對服務器的DDOS攻擊，這種攻擊目前很是流行。

Slowloris攻擊是典型的Slow攻擊，它會在必定的時間間隔內向攻擊目標服務器重複初始化和發送HTTP報頭，可是卻不會把報頭髮送完畢，這使得服務器線程和網絡資源不能被釋放出來，最終致使服務器資源耗盡達到拒絕服務攻擊的效果。從協議的合規性分析，這種攻擊流量是正常的流量，因此依靠特徵庫和黑名單技術的防禦設備是檢測不出這種攻擊的。

憑藉着反向代理技術，協議和應用可視性的優點，Web應用防火牆能夠識別和阻斷不正常的流量，經過自適應安全算法監控不斷增加和聚合的通信流量，關閉惡意鏈接，從而防止這些惡意流量過分地消耗系統資源。

基於客戶端完整性檢查防護僵屍網絡攻擊

除了像Google和百度這些搜索引擎索引Web頁面以外，面向互聯網訪問的絕大部分的Web應用流量都是來自於用戶的瀏覽器，如InternetExplorer,Firefox,Chrome,或者Safari等。然而來自僵屍網絡的流量一般由自動化的腳本程序產生，和瀏覽器正常產生的流量不同。所以，採用一些探測性的算法能夠把人爲產生的流量和僵屍網絡產生的流量區分開來。

應用防火牆提供兩種方法來檢測和過濾產生這些流量的源頭。第一種方法是，經過在可疑的客戶端訪問中插入檢測指令來檢驗Web瀏覽器和應用會話是否正常，這是一種被動的挑戰應答方式，這種方式不會干涉正常的人爲訪問流量，可是能夠檢測和阻斷僵屍網絡產生的流量。第二種方法是主動的挑戰應答方式，經過驗證碼的方式驗證客戶端的訪問是否正常，這種方法不須要修改後端Web服務器的任何配置。

因爲驗證碼驗證方式會干涉用戶的訪問，因此企業和組織能夠合理利用這兩種被動和主動的檢測算法，只對通過被動式檢測到的可疑客戶端使用主動式的驗證碼驗證方式。

使用地理位置IP信息下降DDOS攻擊的可能性

僵屍網絡分佈於世界各個角落，在某些國家和地區尤其嚴重，在不一樣的地理位置發動攻擊。Web應用防火牆具備內置的地理位置IP信息庫，能夠定位具體發動攻擊的IP地址的地理位置。在攻擊發生過程當中，可使用該功能阻斷來自某個發動攻擊的主要國家或地區的攻擊流量。

根據僵屍網絡分佈的足跡，大約30%-70%的攻擊流量能夠被基於地理位置的訪問控制策略阻斷。這不只僅可使您能夠繼續爲正常地區的用戶提供Web應用服務，並且能夠釋放系統資源和網絡帶寬。

使用客戶端IP地址信譽過濾僵屍網絡流量

僵屍網絡逐步發展得愈來愈大規模，一般能夠被利用來發垃圾郵件，DDOS攻擊，APTs等。梭子魚網絡在郵件安全，上網安全，網絡安全和Web應用安全等領域能夠提供成熟的安全解決方案，而且全球客戶數已經超過150000。Web應用防火牆集成BRBL來防護僵屍網絡的攻擊。在持續不斷的DDOS攻擊期間，信譽技術能夠很好地檢測和阻斷針對您的服務器的僵屍網絡流量攻擊。另外，Web應用防火牆具備阻斷來自於匿名和中繼代理的流量的能力，這些代理常常被黑客用來探測和執行高級持續性的威脅攻擊。

全部上述的信譽地址庫均可以自動實時地經過活力更新（EU）下載到設備上，從而能夠保證設備使用最新的規則地址信息庫而不須要管理員的人工干預。

綜述防護應用層DDOS攻擊

綜上所述，企業須要採用一套綜合的防禦策略來對付僵屍網絡以及基於應用層的DDOS攻擊，應用層流量的可視性和可控性是網絡分層防護策略的關鍵元素，可有效地防護多元化的DDOS攻擊。

有時，企業或組織不太願意採用DDOS防護系統的緣由主要是考慮到成本、效果和投資回報率等問題。Web應用防火牆是一個硬件或者虛擬化的應用層解決方案。它整合了實時狀態分析技術和歷史數據智能分析技術來防護應用層的DDOS攻擊。Web應用防火牆能夠基於應用閥值，協議檢測，會話完整性，主動和被動的客戶端挑戰應答方式，客戶端歷史訪問信譽，地理位置，匿名代理檢查等技術來防護應用層的攻擊。全部這些技術都已經集成到加固了的應用防火牆系統平臺，提供卓越的ROI和合規性的功能。不像一些服務提供商解決方案那樣根據流量收費，鼎峯Web應用防火牆防護DDOS攻擊不會根據攻擊的流量和頻率來收費，能夠最低的成本提供實時的防禦手段,交流qq：2881064159.