淺析防御僵屍網絡基於應用層的DDOS攻擊

　　近期數據顯示，針對應用層的DDOS攻擊有加速的趨勢。據預測，基於應用層的DDOS攻擊每年以三倍的速度增長，Gartner預測DDOS攻擊會占2013年所有的應用層攻擊中的25%左右。研究指出，黑客現在利用DDOS攻擊來分散安全管理員的注意力從而伺機竊取敏感信息或者用戶賬號中的金錢。Verizon在2012年的數據外洩研究報告中指出“這些攻擊比別的攻擊更加令人恐懼，無論是真的發生的或者是基於設想的。”連接互聯網的設備，社交網絡，和雲計算的發展更是加速了這些新型的攻擊變化。

　　過去，DDOS攻擊使用大量偽造的UDP, TCP SYN, 或者ICMP流量來意圖淹沒目標網絡。各種供應商提供了不同的解決方案來對付他們，包括各種邊界設備和服務提供商提供的防御服務，如，ISPs防火牆，雲服務，CDN清洗平台。然而，當今的攻擊平台已經進化到包含應用層的DDOS攻擊，目標是Web系統和DNS系統。而且，從攻擊者的角度來看，應用層的DDOS攻擊需要更少的資源和可以更隱秘地進行，他們能使用網絡基礎設施仍然能有回應的情況下，秘密地使應用服務不可訪問，達到拒絕服務的效果。

　　接下來，我們簡要闡述一些典型的針對應用層的DDOS攻擊以及防御解決方案。

　　僵屍網絡和應用層DDOS攻擊

　　僵屍網絡是感染了惡意程序的網絡計算機被C&C服務器控制的一個龐大網絡。最新攻擊不僅使網絡計算機，還能使更多的移動設備和基於雲的設備也成為肉雞。復雜的僵屍網絡程序，如Mebroot，可以運行在操作系統之前，避免防病毒軟件的檢測，從而可以隨心所欲地控制成為肉雞的計算機。

　　僵屍網絡與C&C服務器之間的通訊是在隱蔽的信道中進行的，並且經過加密，采用先進的逃逸技術來掩蓋蹤跡，可以輕易地穿過防火牆而不被察覺。控制僵屍網絡的黑客，通過C&C僵屍網絡控制服務器來發布攻擊指令，如發送垃圾郵件，DDOS攻擊，遍歷銀行個人用戶密碼信息或者信用卡號等信息。

　　目前，租用或者創建僵屍網絡已經成為繁榮的地下市場。以下的DIY Zeus僵屍網絡統計圖顯示了被感染計算機的地理位置分布情況：

　　雖然防御DDOS攻擊非常重要，但是防止您的應用服務器和網絡資源變成僵屍網絡的一部分也同樣重要。把應用服務器變為僵屍網絡的肉雞對於黑客來說具有非常大的吸引力，因為服務器可以為他們提供更龐大的系統攻擊資源和為他們獲取更多的肉雞提供優秀的平台。

　　應用服務器通常會含有定制的，自帶的，或者是第三方的應用程序。任何的零日漏洞都會導致被黑客攻擊而使您的服務器或網絡資源成為僵屍網絡的活動區域。梭子魚Web應用防火牆提供健壯的安全特性來防止惡意軟件的上傳，命令注入，目錄遍歷，或者任何其他諸如探測或者攻擊等的入侵應用服務器的行為。