浅析防御僵尸网络基于应用层的DDOS攻击

近期数据显示，针对应用层的DDOS攻击有加速的趋势。据预测，基于应用层的DDOS攻击每年以三倍的速度增长，Gartner预测DDOS攻击会占2013年所有的应用层攻击中的25%左右。研究指出，黑客现在利用DDOS攻击来分散安全管理员的注意力从而伺机窃取敏感信息或者用户账号中的金钱。Verizon在2012年的数据外泄研究报告中指出“这些攻击比别的攻击更加令人恐惧，无论是真的发生的或者是基于设想的。”连接互联网的设备，社交网络，和云计算的发展更是加速了这些新型的攻击变化。

过去，DDOS攻击使用大量伪造的UDP,TCPSYN,或者ICMP流量来意图淹没目标网络。各种供应商提供了不同的解决方案来对付他们，包括各种边界设备和服务提供商提供的防御服务，如，ISPs防火墙，云服务，CDN清洗平台。然而，当今的攻击平台已经进化到包含应用层的DDOS攻击，目标是Web系统和DNS系统。而且，从攻击者的角度来看，应用层的DDOS攻击需要更少的资源和可以更隐秘地进行，他们能使用网络基础设施仍然能有回应的情况下，秘密地使应用服务不可访问，达到拒绝服务的效果。

接下来，我们简要阐述一些典型的针对应用层的DDOS攻击以及防御解决方案。

僵尸网络和应用层DDOS攻击

僵尸网络是感染了恶意程序的网络计算机被C&C服务器控制的一个庞大网络。最新攻击不仅使网络计算机，还能使更多的移动设备和基于云的设备也成为肉鸡。复杂的僵尸网络程序，如Mebroot，可以运行在操作系统之前，避免防病毒软件的检测，从而可以随心所欲地控制成为肉鸡的计算机。

僵尸网络与C&C服务器之间的通讯是在隐蔽的信道中进行的，并且经过加密，采用先进的逃逸技术来掩盖踪迹，可以轻易地穿过防火墙而不被察觉。控制僵尸网络的黑客，通过C&C僵尸网络控制服务器来发布攻击指令，如发送垃圾邮件，DDOS攻击，遍历银行个人用户密码信息或者信用卡号等信息。

目前，租用或者创建僵尸网络已经成为繁荣的地下市场。

虽然防御DDOS攻击非常重要，但是防止您的应用服务器和网络资源变成僵尸网络的一部分也同样重要。把应用服务器变为僵尸网络的肉鸡对于黑客来说具有非常大的吸引力，因为服务器可以为他们提供更庞大的系统攻击资源和为他们获取更多的肉鸡提供优秀的平台。

应用服务器通常会含有定制的，自带的，或者是第三方的应用程序。任何的零日漏洞都会导致被黑客攻击而使您的服务器或网络资源成为僵尸网络的活动区域。梭子鱼Web应用防火墙提供健壮的安全特性来防止恶意软件的上传，命令注入，目录遍历，或者任何其他诸如探测或者攻击等的入侵应用服务器的行为。

防御HTTP GET和POST洪水攻击

Web应用通常会有一些调用数据库，内存或者CPU运算等的比较消耗资源的页面或者接口。例如，文本搜索，僵尸网络会频繁地访问这些页面导致Web应用崩溃。

对于这种情况，梭子鱼第一层的保护是为特定的应用设定合适的人为访问阀值。例如，人们访问银行业务的应用大概会在1分钟内访问10个页面，那我们就把这个阀值设置好，而且，人为的访问会带有有效的客户端报头，如Cookies和Referrers报头。一般通过脚本程序来访问的话都不会有这方面的信息。

防御HTTP“Slow Attacks”

一些攻击手段会使僵尸主机与攻击目标的交互停留在局部的请求与应答当中，并且提供满足最低交互要求的数据以防止服务器访问超时关闭会话。这种攻击以消耗系统资源来使得应用处理效率降低，最后导致服务器没有能力再处理新来的请求流量。这种攻击称为“lowandslow”攻击，因为只需要小部分的客户端通过较低的网络带宽就可以暗地里地和慢慢地完成对服务器的DDOS攻击，这种攻击目前非常流行。

Slowloris攻击是典型的Slow攻击，它会在一定的时间间隔内向攻击目标服务器重复初始化和发送HTTP报头，但是却不会把报头发送完毕，这使得服务器线程和网络资源不能被释放出来，最终导致服务器资源耗尽达到拒绝服务攻击的效果。从协议的合规性分析，这种攻击流量是正常的流量，所以依靠特征库和黑名单技术的防护设备是检测不出这种攻击的。

凭借着反向代理技术，协议和应用可视性的优势，梭子鱼Web应用防火墙可以识别和阻断不正常的流量，通过自适应安全算法监控不断增长和聚合的通讯流量，关闭恶意连接，从而防止这些恶意流量过度地消耗系统资源。

基于客户端完整性检查防御僵尸网络攻击

除了像Google和百度这些搜索引擎索引Web页面之外，面向互联网访问的绝大部分的Web应用流量都是来自于用户的浏览器，如InternetExplorer,Firefox,Chrome,或者Safari等。然而来自僵尸网络的流量通常由自动化的脚本程序产生，和浏览器正常产生的流量不一样。因此，采用一些探测性的算法可以把人为产生的流量和僵尸网络产生的流量区分开来。

梭子鱼Web应用防火墙提供两种方法来检测和过滤产生这些流量的源头。第一种方法是，通过在可疑的客户端访问中插入检测指令来检验Web浏览器和应用会话是否正常，这是一种被动的挑战应答方式，这种方式不会干涉正常的人为访问流量，但是可以检测和阻断僵尸网络产生的流量。第二种方法是主动的挑战应答方式，通过验证码的方式验证客户端的访问是否正常，这种方法不需要修改后端Web服务器的任何配置。

由于验证码验证方式会干涉用户的访问，所以企业和组织可以合理利用这两种被动和主动的检测算法，只对经过被动式检测到的可疑客户端使用主动式的验证码验证方式。

使用地理位置IP信息降低DDOS攻击的可能性

僵尸网络分布于世界各个角落，在某些国家和地区尤为严重，在不同的地理位置发动攻击。梭子鱼Web应用防火墙具有内置的地理位置IP信息库，可以定位具体发动攻击的IP地址的地理位置。在攻击发生过程中，可以使用该功能阻断来自某个发动攻击的主要国家或地区的攻击流量。

根据僵尸网络分布的足迹，大约30%-70%的攻击流量可以被基于地理位置的访问控制策略阻断。这不仅仅可以使您可以继续为正常地区的用户提供Web应用服务，而且可以释放系统资源和网络带宽。

使用客户端IP地址信誉过滤僵尸网络流量

僵尸网络逐步发展得越来越大规模，通常可以被利用来发垃圾邮件，DDOS攻击，APTs等。梭子鱼网络在邮件安全，上网安全，网络安全和Web应用安全等领域可以提供成熟的安全解决方案，并且全球客户数已经超过150000。梭子鱼拥有业界领先的信誉数据库，包括恶意威胁分类规则库和恶意IP信息库，这就是由梭子鱼实验室维护的梭子鱼信誉黑名单（BRBL）。

梭子鱼Web应用防火墙集成BRBL来防御僵尸网络的攻击。在持续不断的DDOS攻击期间，梭子鱼的信誉技术可以很好地检测和阻断针对您的服务器的僵尸网络流量攻击。另外，梭子鱼Web应用防火墙具有阻断来自于匿名和中继代理的流量的能力，这些代理经常被黑客用来探测和执行高级持续性的威胁攻击。

所有上述的信誉地址库都可以自动实时地通过梭子鱼的活力更新（EU）下载到设备上，从而可以保证设备使用最新的规则地址信息库而不需要管理员的人工干预。

综述防御应用层DDOS攻击

综上所述，企业需要采用一套综合的防护策略来对付僵尸网络以及基于应用层的DDOS攻击，应用层流量的可视性和可控性是网络分层防御策略的关键元素，可有效地防御多元化的DDOS攻击。

有时，企业或组织不太愿意采用DDOS防御系统的原因主要是考虑到成本、效果和投资回报率等问题。梭子鱼Web应用防火墙是一个硬件或者虚拟化的应用层解决方案。它整合了实时状态分析技术和历史数据智能分析技术来防御应用层的DDOS攻击。梭子鱼Web应用防火墙可以基于应用阀值，协议检测，会话完整性，主动和被动的客户端挑战应答方式，客户端历史访问信誉，地理位置，匿名代理检查等技术来防御应用层的攻击。所有这些技术都已经集成到加固了的应用防火墙系统平台，提供卓越的ROI和合规性的功能。不像一些服务提供商解决方案那样根据流量收费，梭子鱼Web应用防火墙防御DDOS攻击不会根据攻击的流量和频率来收费，可以最低的成本提供实时的防护手段。