近年來���,大量由僵尸網絡驅動的DDoS攻擊利用了成千上萬的被感染的物聯(lián)網��,通過向受害者網站發(fā)起大量的流量為攻擊手段����,最終造成嚴重后果�����。常年以來的頑疾DDoS似乎難以根治�����,那到底是否存在一些有效的遏制方法呢?
反復被DDoS攻擊怎么辦��?
Gartner預計�,到2020年全球將有超過200億的物聯(lián)網設備產生聯(lián)接,并且日均還會有約550萬臺設備加入到網絡環(huán)境��,屆時有超過半數的商業(yè)系統(tǒng)內置物聯(lián)網組件�����。對此����,傳統(tǒng)的桌面安全和本地防火墻是難以抵御新型網絡攻擊的,黑客只需要截獲某一個連接工具就能切入到設備端�����。
越來越多的物聯(lián)網設備正淪為DDoS的盤中餐����,隱私逐漸成為網絡交互的重要組成部分,在勒索軟件和各種流氓軟件隨處可見的今天����,很多攻擊手段卻變得難以被探測�,因此物聯(lián)網的加密措施至關重要�����。
考慮到物聯(lián)網的設備形態(tài)和功能千奇百怪����,從終端、無線接入����、網關,再到云平臺�,涉及的環(huán)節(jié)眾多����,要知道不少設備使用的操作系統(tǒng)也是不統(tǒng)一的,不是定制的就是非標準的�����,無形中為運維人員增加了負擔��。
一些支持物聯(lián)網的對象擁有動態(tài)特性,例如汽車和車輛��,或其他控制關鍵系統(tǒng)的設備����。賽門鐵克預計,針對控制關鍵基礎設施的物聯(lián)網設備的攻擊數量將不斷增加�,如配電與通信網絡。
隨著更多的員工以個人為單位使用智能音箱���、穿戴設備����、智能家居等產品�,安全風險的入口也越來越多,而且像工業(yè)類企業(yè)用到的傳感器也越來越細分�����,包括具有WiFi功能的恒溫器控制的采暖通風和HVAC系統(tǒng)等等��,這些傳感器在接入核心網的時候很可能沒有經過IT運維團隊的授權�����。一項調查顯示,大多數企業(yè)并沒有覺察到物聯(lián)網或工業(yè)物聯(lián)網的無線網絡����,與企業(yè)基礎設施是分離的。
當然�,敲詐勒索對DDoS世界來說并不陌生,但要看看攻擊者是如何利用敲詐勒索的也很有意思��。早期的勒索程序像DD4BC�����,會發(fā)送不知名的電子郵件�,包括攻擊和支付信息,日期和截止日期����,以及小型攻擊,同時威脅更大的攻擊和更大的支出�,如果受害者合作不能令人滿意��,就可能會遭殃了�。
像DDoS世界中的Memcached,攻擊者廣泛而迅速地采用了各種規(guī)模的跨組織和行業(yè)攻擊��,并且不久就能想出將威脅轉化為商機的方法。
另一個趨勢是���,2019年����,越來越多的攻擊者將試圖訪問家庭路由器與其他物聯(lián)網中心����,以捕獲經過這些路由器或中心的數據。例如���,入侵這些路由器中的惡意軟件可以竊取銀行憑證�����、捕獲信用卡號或向用戶顯示用于盜取敏感信息的虛假惡意網頁�。也就是說����,攻擊者通過新的方式利用家庭Wi-Fi路由器,以及其他安全性較差的物聯(lián)網設備來進行攻擊��。
由此����,引伸出來的重要問題是�,到底怎樣才能有效抵御或者說有效遏制DDoS攻擊呢���?首先��,用戶要去嘗試了解攻擊來自于何處�,原因是黑客在攻擊時所調用的IP地址并不一定是真實的�����,一旦掌握了真實的地址段�����,可以找到相應的碼段進行隔離���,或者臨時過濾�����。同時��,如果連接核心網的端口數量有限�����,也可以將端口進行屏蔽�����。
相較被攻擊之后的疲于應對�,有完善的安全機制無疑要更好��。有些人可能會選擇大規(guī)模部署網絡基礎設施�,但這種辦法只能拖延黑客的攻擊進度,并不能解決問題��。與之相比的話���,還不如去“屏蔽”那些區(qū)域性或者說臨時性的地址段�,減少受攻擊的風險面���。
此外���,還可以在骨干網、核心網的節(jié)點設置防護墻�,這樣在遇到大規(guī)模攻擊時可以讓主機減少被直接攻擊的可能���。考慮到核心節(jié)點的帶寬通常較高����,容易成為黑客重點“關照”的位置,所以定期掃描現(xiàn)有的主節(jié)點���,發(fā)現(xiàn)可能導致風險的漏洞�,就變得非常重要�����。
根據此前與從安全廠商了解到的消息�����,多層防護DDoS攻擊的方法仍然適用����。例如,駐地端防護設備必須24小時全天候主動偵測各類型DDoS攻擊���,包括流量攻擊�、狀態(tài)耗盡攻擊與應用層攻擊;為了避免出現(xiàn)上述防火墻等設備存在的弊端�����,用戶應該選擇無狀態(tài)表架構的防護設備利用云平臺�����、大數據分析��,積累并迅速察覺攻擊特征碼���,建立指紋知識庫,以協(xié)助企業(yè)及時偵測并阻擋惡意流量攻擊�����。
像以上的抵御方法還有一些�, 如 限制SYN/ICMP流量、過濾所有RFC1918 IP地址等等�,但歸根結底,還是要從根源上進行有效遏制��,不要等出了問題再去想辦法,這也是DDoS攻擊“不絕于耳”的原因���。
DDoS 攻擊防御方法
限制單 IP 請求頻率�。
網絡架構上做好優(yōu)化���,采用負載均衡分流���。
防火墻等安全設備上設置禁止 ICMP 包等。
通過 DDoS 硬件防火墻的數據包規(guī)則過濾����、數據流指紋檢測過濾、及數據包內容定制過濾等技術對異常流量進行清洗過濾�����。
采用 ISP 近源清洗����,使用電信運營商提供的近源清洗和流量壓制,避免全站服務對所有用戶徹底無法訪問����。這是對超過自身帶寬儲備和自身 DDoS 防御能力之外超大流量的補充性緩解措施�。
優(yōu)化操作系統(tǒng)的 TCP/IP 棧����。
應用服務器嚴格限制單個 IP 允許的連接數和 CPU 使用時間。
編寫代碼時���,盡量實現(xiàn)優(yōu)化并合理使用緩存技術。盡量讓網站靜態(tài)化�,減少不必要的動態(tài)查詢。網站靜態(tài)化不僅能大大提高抗攻擊能力����,而且還給駭客入侵帶來不少麻煩,至少到現(xiàn)在為止關于 HTML 的溢出還沒出現(xiàn)�。
增加 WAF(Web Application Firewall)設備,WAF 的中文名稱叫做 Web 應用防火墻�����。Web 應用防火墻是通過執(zhí)行一系列針對 HTTP / HTTPS 的安全策略來專門為 Web 應用提供保護的一款產品��。
使用 CDN / 云清洗����,在攻擊發(fā)生時,進行云清洗。通常云清洗廠商策略有以下幾步:預先設置好網站的 CNAME��,將域名指向云清洗廠商的 DNS 服務器�;在一般情況下,云清洗廠商的 DNS 仍將穿透 CDN 的回源的請求指向源站���,在檢測到攻擊發(fā)生時���,域名指向自己的清洗集群,然后再將清洗后的流量回源��。
CDN 僅對 Web 類服務有效���,針對游戲類 TCP 直連的服務無效����。這時可以使用 DNS 引流 + ADS (Anti-DDoS System) 設備來清洗�����,還有在客戶端和服務端通信協(xié)議做處理(如:封包加標簽��,依賴信息對稱等)��。
DDoS 攻擊究其本質其實是無法徹底防御的,我們能做得就是不斷優(yōu)化自身的網絡和服務架構��,來提高對 DDoS 的防御能力�����。
經營性網站備案信息
可信網站信用評價
網絡警察提醒您
誠信網站
中國互聯(lián)網舉報中心
網絡舉報APP下載
