白皮书

利用 BIG-IP ASM 防范应用 DDoS 攻击:三步解决方案

Updated March 26, 2012
  • Share via AddThis

简介

在过去几年中,各类组织报告了越来越多涉及攻击者团伙试图通过分布式拒绝服务 (DDoS), 攻击耗尽其资源来破坏商业和机构网络应用的攻击事件。 攻击者团伙深知保护应用的可用性的是大多数组织的高度优先的事项,因为“可用性” 影响应用的收入,所以任何服务质量的下降都会导致收益减少并损害组织的声誉。

应用层 DDoS 攻击之所以流行,主要是因为完全防范该攻击是非常困难和挑战的。从设计层面看,网络的应用层具有通用性;每个应用都有独特的特征,但用于提供这些应用的接口和机制却是大同小异。因此,应用层容易受到各种各样的威胁,包括相对不复杂的攻击。例如,某大型信用卡公司曾卷入 2009 年维基解密事件中,在对该公司最近的 DDoS 攻击进行分析后发现,当该公司的网站首次出现宕机时,有 940 台计算机参与了攻击,这些攻击暴力破解了到应用的 HTTP 流量。1这个案例表明,即使是简单的攻击也能轻易地让一个网络应用陷入瘫痪。通过更复杂的 DDoS 工具,攻击者可以识别应用及其交付方式中的特定漏洞,使他们能够使用更少的带宽和更多的分布式资源来耗尽整个网络中的应用资源。

最近发现的运行某种 PHP5、Java 和 ASP.NET 组合的 Web 服务器的漏洞就是一个很好的例子,它说明了公共漏洞的发现和利用简直易如反掌。特别是当唯一的请求返回非唯一和重叠的响应时,针对这种非常特殊的平台组合精心设计的 HTTP 请求会导致 Web 服务器的哈希函数发生冲突。攻击者可以同时发送许多“哈希破坏”请求,从而成功地在 Web 服务器上制造拒绝服务事件,使合法资源消耗殆尽。

幸运的是,通过关注用户如何与应用实时交互以及这些应用如何通过网络交付,我们就可以预测攻击者和攻击将如何演变。当从保护的角度来看待威胁时,应用和网络管理员就有可能携手共同检测和防范 DDoS 威胁。

恰到好处的应用交付控制器 (ADC) 可以在网路安全中扮演一个无法估量的角色。F5 BIG-IP Application Security Manager (ASM) 架设在应用和用户之间,可以通过以下方式实时检测和保护用户免受攻击:

  • 检测应用是否受到攻击。
  • 识别攻击者信息,包括攻击是分布式的,还是来自单一地点。
  • 在不破坏应用可用性的前提下,有效缓解攻击,从而将这些针对缺乏防护经验的用户的影响降到最低。

通过控制访问、实施质询/响应和异常检测引擎,以及发挥理解应用行为的能力,BIG-IP ASM 可以防御恶意连接,并使攻击者不至于对应用造成破坏。

  • 第 1 步:检测应用是否受到攻击
  • 第 2 步:识别攻击者信息
  • 第 3 步:缓解攻击

图 1:F5 BIG-IP ASM 是一款 Web 应用防火墙,基于对应用层及其行为的理解能力,可以检测和缓解应用 DDoS 攻击的威胁。

应用保护的三个步骤:

第一步:如何检测应用攻击

最近的应用层 DDoS 事件表明,这种攻击可以被描述为对 Web 应用的大量 HTTP 请求,而且这种请求是从尽可能多的来源组成。在 DDoS 成为时下流行的攻击之前,标准的单点拒绝服务 (DoS) 攻击是攻击者社区屡试不爽的主要伎俩。与分布式攻击不同的是,标准 DoS 攻击使用单一来源发送尽可能多的请求,借此影响应用的可用性;而 DDoS 攻击则是从分布在多个地理位置的地点发起,千方百计绕过传统的保护方法。

从安全的角度来看,DoS 和 DDoS 攻击之间的这种差异将决定了安全过滤器用于检测和缓解攻击的方式。安全过滤器可以很容易地检测出从一个来源发送的 HTTP 请求的异常速率,方法与处理传统的 DoS 攻击如出一辙。一旦检测到,安全过滤器就会阻止来自单一来源的访问,从而轻松缓解攻击。

从保护的角度来看,易于检测和缓解的 DoS 攻击似乎微不足道,而 DDoS 则要复杂得多,因为它包括多源攻击,且每个来源都会发送大量 HTTP 请求。这些攻击通常是由“僵尸”PC 行列进行:匿名攻击者远程控制被恶意软件感染的设备,而机器的所有者通常无法察觉到攻击正在进行。为了检测此类攻击,DDoS 保护策略需要研究被攻击的应用是如何实现合法使用的。要做到这一点,唯一的方法就是认知应用在一段时间内是如何被访问的? 包括有效流量的所有特征。这些特征通常包括:

  • 访问率随时间而变。这使得应用在一周内不同时间和周天的访问率得以确定。例如,一些应用在星期一上午高峰时段的流量可能与其他时间以及一周其他日子的流量大不相同。
  • 速率因应用资源而异。应用不是一个有机体,其每个资源都有自己的特点。例如,应用登录页面的访问率必然会高于应用中其他页面的访问率。
  • 响应延迟。每个应用资源(以及整个应用)出现应用响应延迟即表明资源迎来耗尽之时。
  • 应用响应率。404(页面未找到错误)和 500(应用错误)等应用响应率会根据应用的使用方式而变化。
  • 地理位置。用户访问率可以根据用户的地理位置来划分,在许多情况下,网络应用管理员可以预测用户的位置。例如,国内一些政府的网络应用管理员可能会预料到,对于大多数应用,其用户多半会从境内访问这些应用。

对这些流量特征的检测应该基于异常检测,或者换句话说,也就是基于应用行为的变化。例如,如果一个应用的搜索页面的访问速率通常是每秒 500 个交易请求,但突然间这个速率跳至每秒 5000 个交易请求,则通常可以认为该搜索页面被滥用并可能受到了攻击。根据每个请求的来源位置,应用可能会受到 DDoS 攻击。在这个例子中,安全过滤器不应该监控攻击来源,而是要监控受攻击的资源。

BIG-IP ASM 通过学习应用的正常访问方式来检测此类攻击。根据配置的不同,BIG-IP ASM 一般通过收集以下信息来实现检测:

  • 应用中每个 URL 每秒处理的交易请求。
  • 应用中每个 URL 的 Web 服务器延迟。
  • 访问应用的每个源 IP 每秒处理的交易请求

BIG-IP ASM 会在应用的访问方式与认知规范值进行比较后发生变化时检测到攻击。

第二步:如何识别攻击者信息

在检测出应用受到 DDoS 攻击后,下一步防御措施就是确定是谁在攻击应用,或者至少要能够辨别出攻击者的某些信息。根据定义,DDoS 攻击并不是由一个待拦截的来源发动,而是由许多来源发起。在上面的异常搜索页面请求的例子中,可能有多个用户试图在应用上进行搜索。这些流量来源中的一些是有效用户,而另一些则是攻击的参与者,因此难点在于将合法和非法搜索加以区分。

最好的区分方式是通过分辨使用浏览器工作的正常用户和直接向应用发送请求的恶意自动工具来对用户进行质询。这种质询方式的一个例子便是 CAPTCHA 认证测试,它被用于许多应用的登录页面,试图通过要求用户对随机或个人质询做出响应来击退暴力破解攻击。

另一个有效质询的例子,也是 BIG-IP ASM 使用的例子,就是向用户注入 JavaScript。只有使用浏览器的客户端才能通过这一质询,而恶意的自动化工具则会在此败下阵来。因此,BIG-IP ASM 可以有选择地精确定位并阻止这些自动化工具。

当然,检测和攻击者识别并非万无一失。场景的复杂性会影响检测工作的准确性,具有质询环节的检测任务可能会导致误报。此外,没有响应安全质询并不一定等于攻击。例如,由于用户的浏览器限制或配置,质询可能无法接收响应。尽管如此,具有辨别潜在攻击者信息和向可疑用户发起一个或多个质询的能力的安全措施,仍可以更有效地检测进而缓解威胁。

第三步:如何缓解攻击

如上所述,应用交付往往是企业和组织的主要业务目标,并且可能是这些企业或组织的主要或唯一的与的客户的互动。在这种情况下,叫停应用用户的访问请求是无法接受的,即使可疑用户未能响应安全质询。因此,缓解 DDoS 攻击的工作应该遵守以下原则:

尽可能地保护应用免受 DDoS 攻击。

如果发生攻击,则要减轻攻击对应用的影响,同时保持应用的可用性,使其他用户能够正常使用。

符合这些原则的缓解方案之一便是通过降低可疑来源访问应用的速度来提高受攻击资源的整体可用性,从而保持应用可用性的同时防止 DDoS 攻击。这种方法的优点在于:

  • 应用服务质量保持不变, 同时降低对可疑用户的可用性服务, 并根据应用的总体可用资源来确定。
  • 攻击者不太可能发现攻击正在被缓解。

使用这种方法时,最坏的情况便是出现误报。这会放慢用户与应用的连接速度,但却不会阻止用户服务,从而保持了合法用户的可用性。在实际的攻击中,应用也会得到保护。

如果怀疑受到攻击,则会延迟访问或放弃连接。

面对潜在攻击,可以采取以下多种缓解措施:

  • 延迟来自可疑源 IP 的访问
  • 延迟对受到攻击的 URL 的访问
  • 放弃可疑源 IP 的连接
  • 放弃受到攻击的 URL 的连接

管理员可以通过设置策略来实现 BIG-IP ASM 在应用保护和可用性之间的平衡,进而对放弃可疑连接时所应启用的反攻级别作出调整。

报告

BIG-IP ASM 采用独特的双向方法来检测 DDoS 攻击和识别攻击者信息,从而在保持服务质量的同时减轻攻击的影响。由于 BIG-IP ASM 位于用户和应用之间,因此它可以保持对两者的认知,从而达成以下目的:

  • 监控应用资源行为。BIG-IP ASM 会学习正常的应用延迟和每秒事务处理率,并在这些速率大幅超过学习值时限制访问。
  • 对可疑用户发起质询并做出适当响应。BIG-IP ASM 为应用响应注入 JavaScript 质询,并限制应用对未能响应的用户或代理的可用性。
图示
图 2:BIG-IP ASM 仪表板提供了关于应用可用性和流量的执行报告,包括 DoS 和 DDoS 攻击期间的可用性。

BIG-IP ASM 还会通过操作仪表板和报告让 IT 管理员了解正常和潜在的异常应用活动。除了常规显示连接、吞吐量和可用性等操作数据的管理仪表板外,BIG-IP ASM 还提供有关 DoS 和 DDoS 事件的具体报告。管理员可以方便地参考已检测到的异常情况、缓解响应(包括掉线连接)和相关可疑 IP 地址的详细视图。通过这些数据,组织可以了解针对其网络的 DoS 和 DDoS 攻击的频率和水平,以及这些攻击可能对可用性造成的影响,从而可以放心地做出管理决策。

截图
图 3:BIG-IP ASM 报告提供了有关攻击类型、异常统计、主要请求 URL 和主要请求 IP 地址的详细统计信息。
截图
图 4:BIG-IP ASM 专门报告 DoS 和 DDoS 事件。

结论

网络应用既是许多组织的运营和客户服务的关键,又特别容易受到当今盛行的 DDoS 攻击。检测攻击是缓解攻击和维护应用可用性的第一步。在试图判断一个应用是否受到 DDoS 攻击时,应该考虑到应用的行为特征的任何变化,因为结合访问和响应率等信息可以让我们清楚地看到应用的状态。

F5 BIG-IP ASM 为保护应用和组织免受 DDoS 攻击提供了一体化的解决方案,其包括:

  • 认知应用行为特征。
  • 检测应用常规行为的变化。
  • 使用各种应对措施和选项来缓解攻击,以保持可用性并击退攻击者。
  • 提供详细的报告,以提高管理层对应用和安全状态的洞察力。

1《现在是 DDoS 的季节》('Tis the Season of DDoS),PandaLabs 博客,2010 年 12 月