Tweet
6. Cơ chế bảo vệ, chống lại tấn công DDoS tràn ngập tầng ứng dụng
6.1. Cơ chế dựa trên đích (Server-side):
Phần lớn ứng dụng giao thức lớp được tổ chức trong điều kiện của mô hình client-server. Một máy chủ là một quá trình mà thực hiện một dịch vụ cụ thể (ví dụ máy chủ DNS, Web server). Một khách hàng là một quá trình mà yêu cầu một dịch vụ từ một máy chủ. Như chúng ta đề cập trước đó, cơ chế phòng vệ destination dựa trên triển khai tại các điểm đến của các cuộc tấn công (tức là nạn nhân), trong đó là máy chủ của khách hàng - máy chủ giao thức lớp ứng dụng mô hình hoặc các proxy, ngược lại khi chúng ta xem xét một cụm web lưu trữ các ứng dụng web khác nhau.
Hầu hết các cơ chế quan sát chặt chẽ các máy chủ và mô hình hành vi khách hàng vì vậy họ có thể phát hiện bất kỳ bất thường và bỏ qua hoặc hạn chế tỷ lệ yêu cầu độc hại. Một số các cơ chế chính chống lạiDDoS cấp ứng dụng tràn ngập các cuộc tấn công như sau:
Bảo vệ chống lại các cuộc tấn công Reflection / khuếch đại:
cơ chế phòng thủ chống lại các cuộc tấn công phản ánh (Giả mạo IP) đã được thảo luận trước đó. Hầu hết các cơ chế bảo vệ chống lại các cuộc tấn công khuếch đại được triển khai ở phía máy chủ và mục đích của họ là để phát hiện lưu lượng độc hại từ các giao thức khác nhau như DNS và SIP bằng cách sử dụng các cơ chế khác nhau như kỹ thuật học lại. Ở đây, chúng em xem xét hai cơ chế đề xuất để bảo vệ các cuộc tấn công khuếch đại cho các giao thức DNS và SIP cấp ứng dụng. Kambourakis et al. trong đề xuất một Detector tấn công DNS Amplification (DAAD) cơ chế mà họ thu thập các yêu cầu DNS và trả lời sử dụng công cụ Iptraf . Sau đó, công cụ DAAD của họ xử lý mạng bị bắt dữ liệu, được lưu trữ trong cơ sở dữ liệu MySQL, on-the-fly, phân loại các yêu cầu / trả lời như đáng nghi hay không và tạo ra những cảnh báo tương ứng để chặn các yêu cầu DNS / trả lời trong trường hợp của một trải tấn công. Để phát hiện và tấn công tràn ngập khối VoIP các cuộc tấn công tràn ngập cụ thể và giao thức SIP nói chung Rahul et al. sử dụng một thuật toán di truyền để nhận được ủy quyền người sử dụng, sau đó hệ thống VoIP phát hiện đề xuất của họ (chiến lược) được sử dụng để phát hiện các cuộc tấn công TCP tràn ngập và SIP các cuộc tấn công tràn ngập trên các thiết bị SIP sử dụng Jacobian của họ nhanh và thuật toán khoảng cách Hellinger. Trong cơ chế đó, thuật toán Jacobian nhanh chóng đã được sử dụng để sửa chữa các ngưỡng giới hạn và Hellinger tính toán khoảng cách, đó là một sự bất thường thống kê thuật toán dựa, đã được sử dụng để phát hiện lệch lạc trong lưu lượng.
Khiên DDoS :
Cơ chế này sử dụng phương pháp thống kê để phát hiện đặc điểm của phiên HTTP và sử dụng hạn chế tỷ lệ như các cơ chế bảo vệ chính. DDoS-Shield gồm một cơ chế phân nghi ngờ và lịch DDoS - đàn hồi. Việc chuyển nhượng nghi ngờ cơ chế gán một giá trị liên tục như trái ngược với một số biện pháp nhị phân, trong đó đã được phân công của cơ chế cũ, cho mỗi phiên của khách hàng. Các DDoS - đàn hồi lên lịch hoạt động như một tỷ lệ - giới hạn và sử dụng tiếp tục các giá trị, bởi cơ chế giao phân nghi ngờ, để xác định và khi sắp xếp các yêu cầu của một phiên. Tuy nhiên, nó không phải là rõ ràng nếu một phiên hợp pháp được đưa ra một cơ hội khác để nhận được dịch vụ nếu nó là bỏ đi của DDoS - đàn hồi.
Phòng chống tấn công DDoS nghiêng (DAT):
cơ chế này theo dõi các tính năng của người sử dụng (ví dụ lưu lượng tức thời, khối lượng, hành vi phiên, vv) trong suốt một kết nối phiên để xác định xem người dùng có độc hại hay không. Đối với bahaviors người dùng khác nhau, DAT cung cấp các dịch vụ khác biệt.
6.2. Cơ chế lai (phân phối):
Hỗn hợp cơ chế bảo vệ là những cơ chế có sử dụng hợp tác / hợp tác giữa khách hàng và máy chủ để phát hiện và ứng phó với các cuộc tấn công. Ví dụ, phát hiện là thực hiện tại các nạn nhân (web server / reverse proxy) và phản ứng được bắt đầu và phân phối cho các khách hàng bên bởi các nạn nhân. Một số cơ chế lai chống lại cấp ứng dụng DDoS tấn công tràn ngập như sau:
Phân biệt DDoS flooding bots từ con người:
Cơ chế của thể loại này cố gắng phân biệt giữa lưu lượng từ các khách hàng với những người sử dụng hợp pháp (Human) và người sử dụng độc hại (chương trình).
Ví dụ, Kandula et al.. đề xuất một hệ thống để bảo vệ các cụm web từ cấp ứng dụng các cuộc tấn công DDoS bằng cách sử dụng hoàn toàn công cộng tự động Turing test để nói với máy tính và con người Apart (CAPTCHA). khung đề xuất của họ tối ưu chia thời gian dành cho chứng thực khách hàng mới và phục vụ những người được chứng thực. Một trong những nhược điểm chính của họ cách tiếp cận hoặc bất kỳ phương pháp tương tự như là yêu cầu người dùng để giải quyết các câu đố để xác thực bản thân có thể trở nên khó chịu cho người sử dụng và giới thiệu chậm trễ hơn cho người sử dụng hợp pháp. Hơn nữa, chính sách này sẽ vô hiệu hóa web truy cập trình thu thập để các trang web, do đó, công cụ tìm kiếm có thể không thể chỉ mục nội dung. Để giải quyết hạn chế của cơ chế CAPTCHA trên, Oikonomou et al.. đề xuất ba phòng thủ chống lại các cuộc tấn công flash đám đông mà phân biệt con người khỏi chương trình dựa trên sự độc đáo của hành vi con người liên quan đến với động lực yêu cầu, lựa chọn nội dung để truy cập và khả năng bỏ qua vô hình nội dung.
Kiểm soát đầu vào và điều khiển tắc nghẽn:
Trong cơ chế này, Srivatsa et al.. kiến nghị kiểm soát nhập hạn chế số lượng khách hàng đồng thời phục vụ bởi các trực tuyến dịch vụ. công trình kiểm soát nhập học dựa trên cổng ẩn mà làm cho các dịch vụ trực tuyến vô hình cho khách hàng trái phép của ẩn số cổng mà trên đó các dịch vụ chấp nhận đến yêu cầu. Sau đó, họ thực hiện kiểm soát tắc nghẽn trên thừa nhận khách hàng để phân bổ nguồn lực cho các khách hàng tốt bằng cách thích nghi thiết lập mức độ ưu tiên của khách hàng để đáp ứng khách hàng yêu cầu một cách kết hợp ngữ nghĩa ứng dụng cấp. Tuy nhiên, cơ chế này đòi hỏi phải có một máy chủ thử thách, trong đó có thể là mục tiêu của các cuộc tấn công DDoS.
Phát hiện lai dựa trên sự tin tưởng và thông tin lý thuyết dựa trên số liệu:
phát hiện lai dựa trên sự tin tưởng và thông tin lý thuyết dựa trên số liệu. Cơ chế này đề xuất một chương trình phát hiện lai dựa trên những thông tin tin cậy và lý thuyết dựa trên thông tin số liệu.Cơ chế này ban đầu bộ lọc dòng đáng ngờ dựa trên các giá trị niềm tin ghi bằng khách hàng. Sau đó, một dữ liệu ngẫu nhiên, mà là dựa trên thông tin số liệu, được áp dụng cho việc lọc cuối cùng của dòng đáng ngờ.
Lòng tin giá trị cho mỗi khách hàng được phân công của máy chủ dựa trên truy cập mô hình của khách hàng và được cập nhật mỗi khi khách hàng giao tiếp với máy chủ. Mỗi yêu cầu từ khách hàng luôn luôn bao gồm các giá trị niềm tin để tự xác định các máy chủ. Entropy của yêu cầu mỗi phiên được tính toán dựa trên người sử dụng Web hành vi duyệt web (HTTP tỷ lệ yêu cầu, trang xem thời gian và trình tự của các đối tượng có yêu cầu) của khách hàng mà là bị bắt từ nhật ký hệ thống trong không tấn công các trường hợp. Entropy sau đó được dùng cho tốc độ tiếp tục hạn chế dòng dòng. Có một lịch trình trong kiến trúc của cơ chế này mà lịch trình các buổi dựa trên giá trị niềm tin của người sử dụng và khối lượng công việc của hệ thống
II. Phân loại theo các mốc thời gian (giữa bắt đầu và kết thúc của một cuộc tấn công DDoS) diễn ra phòng chống
1. Trước khi tấn công (phòng chống tấn công)
Điểm tốt nhất trong thời gian để ngăn chặn một cuộc tấn công DDoS đang ở giai đoạn phát động của nó. Nói cách khác, phòng chống tấn công DDoS là tốt nhất.
Các cơ chế phòng ngừa có thể được triển khai tại các nguồn tấn công, mạng lưới trung gian, địa điểm hoặc một sự kết hợp của họ.
Hầu hết các cơ chế phòng ngừa nhằm mục đích để sửa chữa lỗ hổng bảo mật (ví dụ, các giao thức không an toàn, yếu đề án xác thực, và các hệ thống máy tính dễ bị tổn thương) mà có thể được khai thác để khởi động các cuộc tấn công DDoS. Một số phòng cơ chế đã được đề xuất trong văn học . Có một số cơ chế phòng ngừa chung mà nên được sử dụng hầu hết mọi nơi (ví dụ, máy chủ, máy chủ, và mạng lưới trung gian) và ở càng nhiều nơi càng tốt bằng cách cả hai máy chủ đầu cuối và các nhà cung cấp dịch vụ. Một số chung cơ chế phòng chống như sau:
Hệ thống & bảo mật giao thức cơ chế để tăng an ninh tổng thể của hệ thống
Ví dụ, bằng cách ngăn chặn bất hợp pháp truy cập vào các máy, loại bỏ lỗi, cập nhật giao thức được cài đặt, cài đặt các bản vá lỗi phần mềm, loại bỏ phần mềm không sử dụng, vv .
Bảo vệ không an toàn
Tiên lượng có thể trong trường hợp có điều gì sai (ví dụ, nhân rộng các dịch vụ và
các ứng dụng tại các địa điểm khác nhau trong trường hợp xảy ra tấn công DDoS thành công, liên tục kinh doanh và quản lý thiên tai kế hoạch, vv).
Phân bổ nguồn lực và kế toán
Cung cấp nguồn lực để đối phó với các cuộc tấn công DDoS và truy cập người dùng kiểm soát dựa trên các đặc quyền và hành vi của họ.
Cơ chế cấu hình lại
Những cơ chế làm thay đổi cấu trúc liên kết của một trong hai mạng nạn nhân để bổ sung thêm nguồn lực để chịu đựng các cuộc tấn công DDoS (ví dụ, sao chép tài nguyên dịch vụ ) hoặc các mạng trung gian để cô lập các cuộc tấn công nguồn (ví dụ, chiến lược tấn công cô lập).
Cài đặt tường lửa và cải thiện hệ thống phát hiện xâm nhập & ngăn chặn (IDPSs)
Tất cả các máy chủ đầu cuối là khuyến khích để cài đặt IDPSs để ngăn chặn chúng khỏi bị tổn hại bởi những kẻ thù.
Cân bằng tải và dòng điều khiển
Cơ chế 2 dòng điều khiển khác để ngăn chặn các cuộc tấn công DDoS. Các cựu cải thiện cả hiệu suất và giảm nhẹ so với tấn công DDoS, và sau này ngăn chặn các máy chủ từ đi xuống.
Cân nhắc an ninh server-side cụ thể
Một những vấn đề chính liên quan đến ứng dụng mức độ tràn ngập các cuộc tấn công là có một thiếu cơ chế bảo mật hoặc chính sách an ninh tại chỗ để giải quyết các máy chủ yếu chống lại các cuộc tấn công DDoS tràn ngập ở cấp ứng dụng. an ninh như vậy cơ chế, chính sách có thể bảo vệ các máy chủ từ khác nhau các cuộc tấn công. Ví dụ, Shekyan trong đề nghị sau đây chính sách như bảo vệ tốt nhất cho các máy chủ trong việc xử lý viết sẵn sàng cho ổ cắm đang hoạt động:
• Không chấp nhận kết nối với bất thường nhỏ kích thước cửa sổ quảng cáo.
• Không cho phép kết nối liên tục và HTT pipelining trừ khi hiệu suất thực sự được hưởng lợi từ nó.
• Hạn chế các kết nối đời tuyệt đối với một số hợp lý giá trị.
Một ví dụ khác, vô hiệu hóa recursion8 mở trên tên các máy chủ từ các nguồn bên ngoài và chỉ chấp nhận đệ quy truy vấn DNS có nguồn gốc từ các nguồn đáng tin cậy đã được đề xuất như là một cơ chế hiệu quả để làm giảm vector khuếch đại của các cuộc tấn công khuếch đại DNS . Cơ chế bảo mật hoặc các chính sách bảo mật tương tự cho nhau máy chủ, chẳng hạn như, các máy chủ Web, máy chủ ứng dụng, cơ sở dữ liệu máy chủ, vv, nên được xác định và nên được sử dụng bởi xem xét tổn thương hiện tại của các máy chủ chống lại khác nhau ở cấp ứng dụng các cuộc tấn công DDoS tràn ngập.
Cuối cùng, các nhà cung cấp dịch vụ có thể có chiến lược tại chỗ để xác định tốt hơn người sử dụng hợp pháp của mình
Ví dụ, họ có thể đưa giá năng động, mạng tập quán tài nguyên và phí khách hàng khác nhau cho việc sử dụng các nguồn lực khác nhau . Một chiến lược cung cấp dịch vụ hiệu quả là gần đây làm việc cho Cisco trong mã nâng cấp IPS 7.0 của họ. IPS 7.0 nâng cấp có tính năng tương quan toàn cầu có thể được cấu hình trên tất cả các nhà cung cấp dịch vụ IPS cảm biến để họ nhận thức được của các thiết bị mạng với một danh tiếng cho hoạt động độc hại, và có thể có hành động chống lại họ. Tính năng này rất hữu ích khi mạng lưới các nhà cung cấp dịch vụ đang bị tấn công DDoS từ một botnet tấn công từ các cảm biến có thể thả tất cả các lưu lượng đến từ xấu các nguồn uy tín.
Hơn nữa, toàn bộ quá trình này là rất rẻ tiền vì nó xảy ra trước khi có chữ ký được sử dụng. cơ chế phòng ngừa nhằm mục đích để cung cấp các hệ thống với tăng cường an ninh. Tuy nhiên, các cơ chế này có thể không bao giờ hoàn toàn loại bỏ các mối đe dọa của các cuộc tấn công DDoS vì chúng là luôn luôn dễ bị tấn công mới mà các chữ ký và bản vá lỗi là không có sẵn.
2. Trong khi tấn công (phát hiện tấn công)
Bước tiếp theo trong việc bảo vệ chống lại các cuộc tấn công DDoS là phát hiện tấn công, trong đó xảy ra trong cuộc tấn công. Các cơ chế phát hiện cũng có thể được triển khai tại nguồn, mạng lưới trung gian, địa điểm hoặc một sự kết hợp của họ. Có những cơ chế khác nhau để phát hiện các cuộc tấn công DDoS. Một số cơ chế phát hiện phát hiện dòng tấn công khi các liên kết mạng bị nghẽn đến một mức độ nhất định. Các cơ chế khác phát hiện DDoS tấn công tràn ngập lưu lượng (không bị tổn thương attacks) mẫu khi bất thường được phát hiện ở cả mạng / vận tải cấp lưu lượng và lưu lượng ở cấp ứng dụng (ví dụ, phân tích thông tin MIB , D-WARD , MULTOPS , TOPS, DDoS-Shield, DAT. Có nhiều IDPSs được dựa trên những cơ chế phát hiện. Họ sử dụng khai thác dữ liệu và kỹ thuật trí tuệ nhân tạo để phát hiện chính xác hơn. Những cơ chế giám sát một số tính năng / header của các luồng lưu lượng tại các địa điểm khác nhau và chỉ trong thời gian. Về cơ bản, họ tìm hiểu các hành vi bình thường của mạng hoặc / vận tải cấp hoặc lưu lượng cấp ứng dụng. Sau đó, dựa trên những thông tin mà họ đã theo dõi và thu thập họ có thể phát hiện bất kỳ thay đổi nào trên các mô hình lưu lượng và mô hình sử dụng các nguồn tài nguyên. Dựa trên những phân tích ở , thuật toán phát hiện bất thường để phát hiện một lũ DDoS các cuộc tấn công có thể được phân loại tùy thuộc vào một trong hai giám sát thông số hoặc kỹ thuật thống kê được sử dụng (ví dụ, thay đổi điểm phát hiện, phân tích wavelet ) hoặc chi tiết mức độ phân tích . Như chúng ta đã thảo luận trước đó, nơi thiết thực nhất để phát hiện DDoS tràn ngập tấn công là ở phía các nạn nhân từ bất thường sai lệch có thể không được dễ dàng tìm thấy cho đến khi các cuộc tấn công biến thành của mình
Giai đoạn cuối cùng. Ngay sau khi bị phát hiện, nó là khó khăn cho các nạn nhân để khởi động một cơ chế phản ứng hiệu quả vì trong vô số các gói tin độc hại đã được tổng hợp ở bên cạnh nạn nhân. Vì vậy, bảo vệ chống lại DDoS các cuộc tấn công tràn ngập nên được bắt đầu tại các điểm trước đó trong thời gian và càng gần càng tốt để các nguồn của các cuộc tấn công. Phát hiện (Bảo vệ) tại một trong hai mạng lưới trung gian hoặc các nguồn các cuộc tấn công có hai ưu điểm chính: (1) phát hiện là hơn giấu vì nó được triển khai ở một vị trí riêng biệt từ mục tiêu tấn công và (2) các cơ chế phát hiện ít dễ bị tấn công DDoS. Tuy nhiên, phát hiện chính xác là không dễ dàng hoặc nó thậm chí còn không thể đạt được kể từ khi có không đủ bằng chứng để phát hiện các cuộc tấn công vào các giai đoạn (ví dụ, nguồn và router upstream).
Hai thách thức cơ bản để phát hiện các cuộc tấn công DDoS tràn ngập trong thời gian và càng gần càng tốt để tấn công các nguồn là: (1) thiếu một triển khai rộng cơ chế phòng thủ DDoS tại các điểm khác nhau của Internet, và (2) thiếu sự phối hợp và hợp tác giữa phân phối cơ chế phòng thủ được triển khai nhằm tăng nhận diện chính xác, giảm công việc dư thừa không cần thiết (Vì thiếu sự phối hợp), và cuối cùng, để tăng hiệu quả hoạt động của cơ chế phòng thủ DDoS. Trong trường hợp DDoS cấp ứng dụng tràn ngập các cuộc tấn công, tất cả các cơ chế phát hiện hiện được triển khai tại các điểm đến (Máy chủ) vì nó không phải là có thể thực hiện phát hiện tại lớp 2 / lớp 3 mạng lưới trung gian.
Tuy nhiên, nó sẽ được có thể để ngăn chặn các cuộc tấn công DDoS ở cấp ứng dụng tràn ngập tại các mạng lưới trung gian nếu một số lớp 2 / lớp 3 chiết tính chất của các cuộc tấn công được tìm thấy bằng cách phân tích kỹ lưỡng các các cuộc tấn công và kiến trúc chuyên sâu.
(Còn phần tiếp theo)