防御DDoS分布式服

　　DDoS分布式停止服务作为黑客、黑客行为和国际计算机恐怖可选择的一种武器而出现。DDoS目标并不仅仅是个人网站或其他网络边缘的服务器，他们征服的是网络本身。明确地指向网络的基础设施，例如提供商网络中的集中或核心由器、DNS服务器等。2002年10月，一次的DDoS影响了13个根DNS(DomainNameSevice)服务器中的8个，作为整个Internet通信标的关键系统遭到严重的，无法提供有效服务，业务的永继性无法得到。

　　服务提供商、企业和机关对因特网依赖的加剧，使得成功的DDoS(经济和其它方面)能造成更加严重的。新近以来，出现了更多功能更为强大的DDoS工具，使得将来的性更大。

　　由于DDoS往往采取的数据请求技术，再加上一些傀儡机器，造成DDoS是目前最难防御的互联网之一，如何用最合适的、有效的方法来响应它们，给依赖于因特网的组织和机构提出了一个巨大的挑战。传统的网络设备和周边安全技术，例如防火墙和IDSs(IntrusionDetectionSystems)，速率，接入等均无法提供非常有效的针对DDoS的。面对当前DDoS的冲击，要因特网持续有效性，需要一个能检测和日益狡猾、复杂、性的下一代体系结构和技术。

　　本文将详细描述:

　　●日益增长的DDoS及成功的严重影响。

　　●为何当前的由器和周边安全技术不能提供足够的DDoS。

　　●防御DDoS需要满足的基本要求.

　　●创新技术和体系结构如何提供有效的DDoS。

　　DDoS指挥成百上千的傀儡主机某一个目标。这些傀儡主机是从数以百万计未受的计算机中被不知情地征用，这些计算机往往是通过高带宽(ADSL，Cable)访问因特网并总是与网络保持连接。通过在这些机器中植入“沉睡”代码，黑客可快速的建立一支傀儡军团，等待适当的时机命令发动DDoS停止服务。如果有足够傀儡主机的加入，的规模令人。

　　DDoS的影响

　　成功的DDos影响是很广泛的。网络站点的表现尤其受影响，可以造成客户和其它使用者访问失败，运营商无法实施SLAs(服务水平承诺)，服务信用损失惨重，用户投诉增加，公司名誉受损，有时甚至是永久的影响。以及收益下滑、生产率降低、IT开销增加、诉讼花销等等――这些损失在不断的增加。

　　损失的数目令人难以置信。来自Forrester、IDC和YankeeGroup的评测估计一个象思科公司这样的公司网络中断24小时的损失大约是三千万美元。据YankeeGroup估计，2000年2月，DDoS了Amazon、Yahoo、eBay和其它门户网站，造成的损失累计达到12亿美元。2001年1月，对Microsoft网站几天的DDoS，损失大约为五千万。显然，商业公司必须采取措施来自己免遭恶意。

　　DDoS是如何进行的?主要是利用了internet协议和internet基本优点――无偏差地从任何的源头传送数据包到任意目的地。

　　实质上，以下数据报包行为描述了DDoS:要么大数据，大流量以至压垮网络设备和服务器，要么有意制造大量无法完成的不完全请求来快速消耗服务器资源。防止DDoS的关键困难是无法将包从包中区分出来，造成检测困难;IDS进行的典型“签名”模式匹配起不到有效的作用。许多这样的也使用源IP地址来逃脱源识别，这种识别由基于反常事件的，很难搜寻特定的源头。

　　有两类最基本的DDoS:

　　●带宽:这种消耗网络带宽或使用大量数据包淹没一个或另一个(或两者)。由器、服务器和防火墙――都只有有限的处理资源――在这种负重下不能处理事务并最终导致崩溃。

　　带宽的普遍形式是大量数据包，大量表面看的TCP、UDP或ICMP数据包被传送到特定目的地。为了使检测更加困难，这种也常常使用源地址――成产生避免验证请求的IP地址。

　　●应用:这种DDoS利用TCP和HTTP等协议定义的行为来不断占用计算资源以它们处理正常事务和请求。HTTP半开和HTTP错误就是应用的两个典型例子。

　　图一说明:

　　DDoS日益致命

　　DDoS的一个致命趋势是使用复杂的技术和基本协议，如HTTP，Email等协议，而不是采用可被阻断的非基本协议或高端口协议，使得DDoS更加隐蔽和致命。这种使用应用协议和服务的非常难识别和防御;通常采用的包过滤或速率的措施只是通过停止服务来简单停止任务，但同时用户的请求也被，造成业务的中断或服务质量的下降。

　　如何用路由器限速现在的DDoS防御手段不够完善

　　不管哪种DDoS，，当前的技术都不足以很好的缓解和确保商务持续进行。不幸的是，现在流行的DDoS防御手段――例如黑洞技术和由器过滤，限速――均无法处理复杂性日益增加的。这些防御手段不仅慢，消耗大，而且也阻断有效业务。IDSs可以提供一些检测性能但并不能缓解DDoS，防火墙提供的也受到其技术弱点的。还有其它策略，例如大量部署服务器，冗余设备，足够的响应能力来提供防护，但这样作为DDoS的手段代价过于高昂。

　　黑洞技术

　　黑洞技术描述了一个服务提供商将指向某一目标企业的包尽量阻截在上游的过程，将改向的包引进“黑洞”并丢弃合理安排流量 由器限速BT下载，以保全运营商的基础网络和其它的客户业务。但是数据包和恶意业务一起被丢弃，所以黑洞技术不能算是一种解决方案。被者失去了所有的业务，者因而获得胜利。

　　由器

　　许多人运用由器的过滤功能提供对DDoS的防御。事实是，因为由器主要防御是基于ACLs(accesscontrollist)接入控制列表，对于现在复杂的DDoS不能提供完善的防御。以下将详细介绍。

　　由器只能通过过滤非基本的不需要的协议来停止一些简单的DDoS，例如ping。这依然需要一个手动的反应措施，并且往往是在致使服务失败之后。另外，现在的DDoS使用互联网必要的有效协议，很难有效的滤除。由器也能防止无效的或私有的IP地址空间，但DDoS可以很容易的伪造成有效IP地址。

　　另一种基于由器的DDoS预防策略――在出口侧使用uRPF来停止IP地址――这同样不能有效防御现在的DDoS，因为uRPF的基本原理是如果IP地址不属于应该来自的子网网络阻断出口业务。然而，DDoS能很容易伪造来自同一子网的IP地址，致使这种解决法案无效。更重要的是，为使uRPF有效，它不得不在每一个潜在的源之前配置――而不是当前的或可能发生的。

　　本质上，对于种类繁多的使用有效协议的，由器ACLs是无效的。包括:

　　●SYN、SYN-ACK、FIN等。对一个Web服务器80端口上随机的SYN或ACK、RST，的源IP地址不断的变换，ACLs无法追踪和停止这样的。手动追踪或反常事件检测不能识别所有个别的源。唯一的选择是阻断整个服务器，被服务器的服务以保全基础网络的业务和其他用户，而者达到其目标。

　　●代理。因为一个ACL不能辨别来自于同一源IP或代理的正当SYN和恶意SYN，所以会通过阻断者所有来自于某一源IP或代理的用户来尝试停止这一集中。

　　●DNS或BGP。当发起这类随机DNS服务器或BGP由器时，ACLs――类似于SYN――不仅不能追踪快速变换的随机业务，也无法验证哪些地址是的，哪些是的。

　　ACLs在防御应用层(客户端)时也是无效的，无论与否，ACLs理论上能阻断客户端――例如HTTP错误和HTTP半开连接，假如和单独的非源能被精确的监测――将要求用户对每一者配置数百甚至数千ACLs，这其实是无法实际实施的。

　　防火墙

　　由于防火墙不是专门的DDoS防御装置，受到其内在，妨碍防御现有复杂的能力。

　　首先是，防火墙的处于数据径下游远端，不能为从提供商到企业边缘由器的访问链提供足够的，从而将那些易受的组件留给了DDoS。此外，因为防火墙总是的而成为潜在性能瓶颈，因为可以通过消耗它们的会话处理能力来对它们自身进行DDoS。

　　其次是反常事件检测缺乏的，防火墙首要任务是要控制私有网络的访问。一种实现的方法是通过追踪从内侧(“干净”的一侧)向外侧服务发起的会话，然后只接收“不干净”一侧期望源头发来的特定响应。然而，这对于一些给来接收请求的服务是不起作用的，比如Web、DNS和其它服务。在这些情况下，防火墙将打开一个管道――例如将HTTP业务传送到Web服务器的IP地址。虽然这种方法通过只接收到特定地址的特定协议来提供一些，但对于DDoS的防御还是无效的，因为黑客可以使用“被认可的”协议(如HTTP)。任何反常事件检测性能的缺陷意味防火墙不能识别被用作媒介的有效协议。

　　第三种，虽然防火墙能检测反常行为，但几乎没有反能力――其结构仍然是者达到其目的。当一个DDoS被检测到，防火墙能停止与相联系的某一特定数据流，但它们无法逐个包检测，将好的或业务从恶意业务中分出，使得它们在事实上对IP地址无效。

　　基于签名的IDS解决方案无法检测以数据包作为途径的DDoS。IDS解决方案将不得不提供领先的行为或基于反常事务的算法来检测现在的DDoS。但是一些基于反常事务的性能要求有专家进行手动的调整，而且经常误报，并且不能识别特定的流。同时IDS本身也很容易成为DDoS的者。

　　也许作为DDoS防御平台的IDS最大的缺点是它只能检测到，但对于缓和的影响却毫无作为。IDS解决方案也许能托付给由器和防火墙的过滤器，但正如前面叙述的，这对于缓解DDoS效率很低，即便是用类似于静态过滤部署的IDS也做不到。IDS需要的是一个补充的防御解决方案，提供更高水平的特定识别并与立即执行能力结合。

　　DDoS的手动响应

　　作为DDoS防御一部份的手动处理太微小并且太缓慢。者对DDoS的典型第一反应是询问最近的上游连接提供者――ISP、宿主提供商或网承载商――尝试识别该消息来源。对于地址的情况，尝试识别消息来源是一个长期和冗长的过程，需要许多提供商合作和追踪的过程。即使来源可被识别，但阻断它也意味同时阻断所有业务――好的和坏的。

　　其他策略

　　为了DDoS，企业操作者可能考虑了这样的策略，例如过量供应，就是购买超量带宽或超量的网络设备来处理任何请求。这种方法成本效益比较低，尤其是因为它要求附加冗余接口和设备。不考虑最初的作用，者仅仅通过增加容量就可击败额外的硬件，互联网上上千万台的机器是他们取之不净的容量资源。

　　安全有效性

　　任何在线的商务都有在DDoS上投资的许多理由――经济和其它方面。大企业、组织、服务提供商――都需要它们的基础设施(Web服务器、DNS服务器、e-mail和聊天服务器、防火墙、交换机、由器)等部件，维持商业操作的公平性和更有效地利用技术资源。

　　当然，实施完整DDoS需要成本。部署这样一个系统的ROI(retureoninvestment)投资汇报率是令人感兴趣的。

　　●电子商务。与一个DDoS造成的潜在损失相比，电子商务站点的DDoS可以在几个小时之内就让他们收回成本。当决定任何相关的DDoS造成的故障时间的财政影响时，一个电子商务站点的交易容量、平均每个交易的收益、广告收益、无形资产例如商标权和责任、恢复被站点需要的技术人员时间，都应该考虑在内。

　　●服务提供者。作为服务提供者，保持自己的网络处于工作状态有巨大的投资回报。如果一个提供者的基础设施被(由器、DNS等)，对客户的所有服务都将失败，造成SLA严重侵害。DDoS的花销可以看成是防止灾难性失败的保险费，而这样的失败会导致大部分商业订单在收益和消极客户关系方面付出高昂的代价。然而，避免代价并不是宿主、运载和服务提供者实行完整DDoS解决方案的唯一动机。对于这些使用者，DDoS可以提供来作为一项增值服务业务，能够创造出新的收益流，提高竞争优势。

　　从事于DDoS防御需要一种全新的方法，不仅能检测复杂性和性日益增加的，而且要缓和的影响，以确保商务持续进行和资源持续有效。

　　完整的DDoS围绕四个关键主题建立:

　　1.要缓解，而不只是检测

　　2.从恶意业务中精确辨认出好的业务，维持业务继续进行，而不只是检测的存在

　　3.内含性能和体系结构能对上游进行配置，所有易受损点

　　4.维持可靠性和成本效益可升级性

　　建立在这些构想上的DDoS防御具有以下性质:

　　●通过完整的检测和阻断机制立即响应DDoS，即使在者的身份和轮廓不断变化的情况下。

　　●与现有的静态由过滤器或IDS签名相比，能提供更完整的验证性能。

　　●提供基于行为的反常事件识别来检测含有恶意意图的有效包。

　　●识别和阻断个别的包，商务交易。

　　●提供能处理大量DDoS但不影响被资源的机制。

　　●期间能按需求布署，不会引进故障点或增加策略的瓶颈点。

　　●内置智能只处理被感染的业务流，确保可靠性最大化和花销比例最小化。

　　●避免依赖网络设备或配置转换。

　　●所有通用标准协议，确保互操作性和可靠性最大化。

　　完整DDoS解决技术体系

　　基于检测、转移、验证和转发的基础上实施一个完整DDoS解决方案来提供完全，通过下列措施维持业务不间断进行:

　　1.时实检测DDoS停止服务。

　　2.转移指向目标设备的数据业务到特定的DDoS防护设备进行处理。

　　3.从好的数据包中分析和过滤出不好的数据包，恶意业务影响性能，同时允许业务的处理。

　　4.转发正常业务来维持商务持续进行。

　　完整DDoS防护解决方案套件

　　完整DDoS防护解决方案提供完整来防御各种DDoS，甚至那些还未出现过的。以积极缓解性能为特色，快速检测，从业务中分离出恶意数据包，提供以秒计而不是以小时计的快速DDoS响应。该方案容易布署在关键由器和交换机附近，有可升级的选项来消除任何单个故障点，并且不影响任何现存的网络部件的性能和可靠性。

　　完整DDoS防护解决方案套件需要两个的组件――Detector探测器和防护卫士，两部分系统协同工作，能为任何提供DDoS。

　　●探测器:作为早期报警系统，探测器提供对最复杂DDoS的深入分析。探测器被动监测网络业务，搜寻与“正常”行为的偏差或DDoS的基本行为。被识别后，检测器发警报给卫士，提供详细的报告和具体警报来快速响应该。例如，即使在没有超出全面界限的情况下，检测器也需要能观测到从单个源头来的UDP包速率超出了范围。

　　●卫士:卫士是完善DDoS解决方案套件的基石――它是一个高性能DDoS缓解设备，不仅能部署在上游的ISP/数据中心，还能部署在一个大企业内部来网络和数据中心资源。

　　当卫士被通知有一个目标处于被状态时，指向目标的业务将被转移到与该目标设备相连的防护卫士。然后，业务将通过五个阶段的分析和过滤，以除去所有恶意业务使得好的数据包能不间断的继续传送。

　　卫士位于一个单独网络接口处的由器或交换机附近，在不影响其他系统的数据业务流情况下实现按需。由于它的，卫士可同时多个可能的目标，包括由器、Web服务器、DNS服务器、LAN和WAN带宽。

　　MVP多级验证体系结构

　　卫士的下一代DDoS防御解决方案是基于一个独特的、申请专利的多验证过程(MVP)结构，就是将各种验证、分析和实施技术结合在一起用来从业务中识别和分离恶意业务。这个净化的过程由五个模块(步骤)组成:

　　●过滤:该模块包括静态和动态的DDoS过滤器。静态过滤器用来阻断非必要的业务到达目标，用户可对其进行配置的并且已预先设定缺省值。动态过滤器由其它模块根据观测到的行为和对业务流的详细分析动态嵌入，它能提供实时的升级来提高对可疑流的验证级别以及阻断被确定为恶意的源头和数据流。

　　●反:该模块用以核实进入系统的数据包没有信息。卫士使用许多独特的源鉴定机制来的数据包到达者。反模块还提供一些机制用来确保业务的正确识别，在事实上消除了有效包被抛弃的。

　　●异常识别:该模块监测所有通过了过滤器和反模块的业务，并将其与随时间纪录的基准行为相比，搜寻那些有偏差的业务，识别恶意包的来源。该模块工作的基本原理用来识别源和类型，提供阻断业务的警戒线或对可疑数据实施更详细的分析。

　　●协议分析:该模块处理反常事件识别模块发现的可疑数据流，目的是为了识别特定的应用，例如http-error。然后支持限速 D-Link白色家用无线由器，协议分析模块检测任何不正确的协议处理，包括不完全处理或错误处理。

　　●速率:该模块提供了另一个执行选项，并且通过更详细的监测来防止不正当数据流目标。该模块实施每个数据流业务的修整，处罚长时间消耗大量资源的源头。

　　在间隙，卫士处于“学习”模式，被动监测不同来源的业务模型和数据流，了解正常行为，建立基准配置文件。该信息被用来调整策略，用以在实时网络活动中识别和过滤已知、未知和以前从未见过的。

　　图二说明:

　　完善DDoS防御布署

　　完善的DDoS提供灵活的、可升级的布署来数据中心(服务器和网络设备)、ISP链接或网(由器和DNS服务器)。

　　提供商

　　卫士可布署在服务提供商的基础设施上有战略意义的节点上，例如在每个对等点，来核心由器、下游边缘设备、链接以及客户。也可以布署在边缘由器来提供特定的客户。探测器可以靠近提供商的边缘或在客户内部。

　　图四说明:

　　企业和数据中心

　　在企业数据中心，卫士被布署在数据中心的分发层，下游的低速链接和服务器。卫士能连接到分发交换机并且支持冗余配置(见图5)。

　　图五说明:

　　总结:创新的防护DDoS技术手段

　　思科公司的创新技术和体系结构提供了这种全新的防护DDoS的方法，对业务进行现有的最详细的审查，不仅能检测最复杂的DDoS，也能提供阻断日益复杂和难于检测的业务的能力，同时不影响业务处理，确保DDoS意图停止业务操作的目的失败。此技术解决方案超越了简单过滤，它能检测数据并去除恶意业务，允许好的数据包通过，确保了业务的持续进行和完整性。

　　在如今这个信息爆炸的时代里，每天都会有数不清的新闻通过各种渠道涌到我们面前，而真正有价值的应该进入我们心里的，却很可能随着日历牌的翻动被我们忽略。作为对一周新闻进行回顾的《比特网新闻中心每周热点推荐》，就是要告诉您过去的七天都发生了哪些新闻，更希望和您一起，站在七天的高度来看待过去一周的新闻。

　　领IT群雄秀企业风采。创刊于2008年2月，定位于行业（企业）信息化规划、建设、管理的中高层人士，通过精心的内容筛选，将每月发生的重点事件进行回顾，为高端人群提供深度阅读，与比特网内容的速度特性形成互补。主要栏目有：比特网精粹、新产品新技术、CIO、封面报道、下午茶精选等。

　　业内首个只为报道数据中心资讯内容的专业频道细数负载均衡层次有几何(1，是为数据中心用户及厂商而建设的专业平台。以数据中心专业技术内容为核心，贯穿新鲜资讯、技巧方法和用户案例等高附加值内容。以为网友提供最具实用价值的信息为原则，以成为用户最信赖的行业专家为目标，打造高时效、高品质、高前瞻的最全威频道。企业数据中心热点播报，为您精心奉上过去一周数据中心最精彩、权威资讯_chinabyte比特网。

　　就服务器和数据中心领域的产业动态、技术热点、热门产品、实用技巧，向企业CIO/CTO、IT管理层、技术人员提供一周精选套餐，为数据中心决策者、使用者提供一份服务器行业以及数据中心领域最新动态及产品应用的技术套餐。