ddos(分布式拒絕服務(wù))攻擊由來已久,但如此簡單粗暴的攻擊手法為何時至今日依然有效,并成為困擾各大網(wǎng)站穩(wěn)定運營的“頭號敵人”呢����?實際上�����,這與ddos攻擊不斷變化演進(jìn)不無關(guān)系�。面對此種態(tài)勢���,企業(yè)又該如何開展積極有效地防御部署呢�����?高人指出����,現(xiàn)在只有多層級的ddos防護(hù)才是王道��。
ddos攻擊是一種利用大量攻擊流量淹沒目標(biāo)網(wǎng)絡(luò)�����,令受害網(wǎng)站無法處理正常訪問請求的一種高破壞力�、高攻擊效率的網(wǎng)絡(luò)攻擊手法。由于其成本低廉��、高效��,因此被網(wǎng)絡(luò)犯罪分子們所青睞�����,成為他們攻擊、勒索商業(yè)網(wǎng)站的重要武器����,F(xiàn)階段的ddos攻擊呈現(xiàn)出三大趨勢:
首先是攻擊的M型(兩極化)趨勢。當(dāng)前的ddos攻擊不僅有以超大攻擊流量為主的泛洪攻擊����,還有能夠進(jìn)行精準(zhǔn)打擊的狀態(tài)耗盡攻擊、應(yīng)用層攻擊�。不論哪種攻擊方式,都能夠發(fā)揮強(qiáng)大殺傷力�,對企業(yè)網(wǎng)站造成嚴(yán)重傷害。
其次是新形態(tài)ddos攻擊規(guī)模不斷攀升����。早年間黑客動用數(shù)十Mbps、甚至1Gbps攻擊流量�,便可達(dá)到效果,但隨著目前用戶防御實力升級����,攻擊者也順勢加碼,自從2013年首次出現(xiàn)300G規(guī)模攻擊流量后���,2014年出現(xiàn)了400Gbps�,2015年則達(dá)到500Gbps�,未來再破記錄的幾率也不低。
再有就是攻擊速度的變化�����。除了傳統(tǒng)的一段時間內(nèi)集中發(fā)起的ddos攻擊外����,利用緩慢甚至是微量的惡意訪問流量卻能夠拖垮企業(yè)應(yīng)用服務(wù)器的攻擊行為也開始在全球盛行起來。而且利用單一事件混搭多種攻擊型態(tài)的ddos攻擊����,如先發(fā)動狀態(tài)耗盡攻擊,隨后再進(jìn)行流量攻擊也開始流行�����,并給網(wǎng)站帶來猝不不及防的威脅性���。
那么面對上述ddos攻擊趨勢���,目前主流的ddos防護(hù)機(jī)制無法勝任么��?在當(dāng)下��,防ddos攻擊的主流廠商大致可分為三個派系�。
一類為基于防火墻��、入侵檢測系統(tǒng)����、Web應(yīng)用防護(hù)系統(tǒng)、負(fù)載均衡設(shè)備加上ddos防護(hù)方案的廠商����,一類是當(dāng)?shù)剡\營商或流量清洗中心,還有一類是CDN廠商���。
不過對于上述各派的ddos防護(hù)方案來說����,或多或少都存在一些軟肋“罩門”���。比如����,第一類廠商推出的傳統(tǒng)安全設(shè)備,原本不是為了ddos防護(hù)所設(shè)計的��。因此����,這些有狀態(tài)表(Stateful)的設(shè)備, 很容易在發(fā)揮出ddos防護(hù)機(jī)能之前就被攻擊者利用狀態(tài)耗盡攻擊而自身難保了����。而一些非專業(yè)ddos保護(hù)設(shè)備則容易造成誤判���。
對于運營商或ISP流量清洗中心來說����,雖然可以提供有限的流量清洗能力���, 但面對暴力流量攻擊發(fā)生時����, 往往仍然無法進(jìn)行有效清洗��,或者說洗不干凈��,而且無法主動偵測L7等攻擊行為以及不能掌控預(yù)算花費,在ddos防御的縱深度上有一定欠缺��。
而對于CDN廠商來說則往往欠缺防御廣度��,例如其不能阻擋非網(wǎng)頁型態(tài)的攻擊行為��;針對實際IP進(jìn)行攻擊也無法攔截����;動態(tài)網(wǎng)頁型的客戶則無法阻擋狀態(tài)耗盡攻擊;受限金融法規(guī)規(guī)范�,對金融交易所需加解密無法支持等等。
既然現(xiàn)階段的ddos防護(hù)方案都存在這樣或那樣的不盡人意���,究竟該如何應(yīng)對ddos攻擊呢�����?一個完善可靠的ddos防護(hù)��,必須采用多層級的全方位阻斷策略�。而這樣的防護(hù)體系需要具備下面的六大特征:
第一�,駐地端防護(hù)設(shè)備必須24小時全天候主動偵測各類型ddos攻擊,包括流量攻擊�����、狀態(tài)耗盡攻擊與應(yīng)用層攻擊。
第二�,駐地端防護(hù)設(shè)備只要偵測到攻擊流量后,即可實現(xiàn)阻擋���。
第三����,利用Arbor Pravail可用性保護(hù)系統(tǒng)(APS)設(shè)備����,可以自動阻擋攻擊者的試探性流量���,并推遲其后續(xù)攻擊頻率���,積極防御。
第四���,為了避免出現(xiàn)上述防火墻等設(shè)備存在的弊端�,用戶應(yīng)該選擇無狀態(tài)表架構(gòu)(Stateless Architecture)的防護(hù)設(shè)備���。
第五���,利用云平臺���、大數(shù)據(jù)分析,積累并迅速察覺攻擊特征碼�,建立指紋知識庫(Signature Database),以協(xié)助企業(yè)及時偵測并阻擋惡意流量攻擊���。
第六��,將APS設(shè)備與Arbor Cloud云端清洗中心相結(jié)合�����,開展聯(lián)動防護(hù)���。
顯而易見,通過上面的全方位阻斷策略���,企業(yè)不僅可以構(gòu)建出一套高效的多層級ddos防護(hù)體系����,還能在日益難纏的ddos攻擊中也能立于不敗之地。
常規(guī)預(yù)防措施
1. 使用防火墻�����。防火墻無法完全保障應(yīng)用程序或服務(wù)器不受大流量的DDoS攻擊��,但可以有效地防止簡單的攻擊��。
2. 禁用未使用的服務(wù)����。確保禁用所有不需要和未使用的服務(wù)和應(yīng)用程序,能幫助提高網(wǎng)絡(luò)的安全性�����。
3. 安裝最新安全補(bǔ)丁����。安裝最新補(bǔ)丁把漏洞及時修復(fù)���,能幫助降低攻擊風(fēng)險�,因為大多數(shù)攻擊都是針對特定的軟件或硬件漏洞�����。
過濾技術(shù)
過濾機(jī)制的話,可以使用不同的方法�����,比如入口/出口過濾���,基于歷史的IP過濾和基于路由器的數(shù)據(jù)包過濾等等�����,來過濾流量并阻止?jié)撛诘奈kU請求�。
謹(jǐn)慎選擇云服務(wù)提供商
仔細(xì)選擇云提供商�����,尋找一個值得信賴的云服務(wù)商���,能提供DDoS緩解策略的那種��。一般來說��,優(yōu)秀的云服務(wù)商制定的策略��,可檢測和緩解基于協(xié)議���,基于卷和應(yīng)用程序級別的攻擊��,DDoS緩解服務(wù)甚至可以在問題流量到達(dá)受害者網(wǎng)絡(luò)之前將其清除�,這是最省心的辦法了��。
由于許多組織的經(jīng)營由于疫情的影響而陷入困境��,而受到網(wǎng)絡(luò)攻擊可能成為壓垮駱駝的最后一根稻草��。因此進(jìn)行全面的防御DDoS是必不可少的�,但是從大規(guī)模的網(wǎng)絡(luò)攻擊到復(fù)雜而持久的應(yīng)用層威脅,組織需要考慮的潛在解決方案的最重要因素是什么?
(1)簡單快速緩解DDoS攻擊
當(dāng)幾秒鐘的停機(jī)時間可能會對組織業(yè)務(wù)帶來損害時���,第一個DDoS數(shù)據(jù)包攻擊系統(tǒng)與DDoS緩解系統(tǒng)開始清理傳入流量之間的時間是至關(guān)重要的考慮因素��。考慮到在確保業(yè)務(wù)連續(xù)性方面的作用����,DDoS保護(hù)的實施和操作應(yīng)該不會繁瑣。如果防御DDoS軟件的操作過于復(fù)雜,組織無法承受網(wǎng)絡(luò)攻擊之后帶來的損失����。
(2)針對性的技術(shù)能力
DDoS保護(hù)涉及快速分析、識別和緩解惡意流量�。組織需要采用專門針對每種類型攻擊的防御DDoS技術(shù)。這些技術(shù)不僅用于網(wǎng)絡(luò)攻擊檢測���,還用于更細(xì)粒度的流量分析���,當(dāng)識別DDoS和潛在攻擊時,可以幫助提供重要的“全局”視圖���。
(3)整合能力
原生API功能是現(xiàn)代DDoS保護(hù)系統(tǒng)的關(guān)鍵要素���。通過機(jī)器學(xué)習(xí)分析流量并根據(jù)行為模式變化定義和更新相關(guān)DDoS安全策略的技術(shù),可以阻止容量攻擊(采用不需要的請求淹沒受害者的系統(tǒng))和協(xié)議攻擊(利用傳輸層)�����。通過與安全信息和事件管理(SIEM)平臺的原生整合����,可以將安全信息和事件實時捕獲���,保留和傳遞到所選的SIEM應(yīng)用程序,在更廣泛的上場景中可以輕松訪問和查看這些信息����。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
