很多由僵尸網(wǎng)絡(luò)驅(qū)動(dòng)的DDoS攻擊利用了成千上萬(wàn)的被感染的物聯(lián)網(wǎng),通過(guò)向受害者網(wǎng)站發(fā)起大量的流量為攻擊手段���,最終造成嚴(yán)重后果�。不斷推陳出新的防御方式使這種分布式拒絕服務(wù)攻擊也在變化著自己的戰(zhàn)術(shù)��,從大流量向“小流量”轉(zhuǎn)變��。一項(xiàng)數(shù)據(jù)顯示,5 Gbit/s及以下的攻擊威脅數(shù)量在去年第三季度同比增長(zhǎng)超過(guò)3倍��。
Gartner指出����,2020年全球?qū)⒂谐^(guò)200億的物聯(lián)網(wǎng)設(shè)備產(chǎn)生聯(lián)接,并且日均還會(huì)有約550萬(wàn)臺(tái)設(shè)備加入到網(wǎng)絡(luò)環(huán)境����,屆時(shí)有超過(guò)半數(shù)的商業(yè)系統(tǒng)內(nèi)置物聯(lián)網(wǎng)組件。對(duì)此���,傳統(tǒng)的桌面安全和本地防火墻是難以抵御新型網(wǎng)絡(luò)攻擊的��,黑客只需要截獲某一個(gè)連接工具就能切入到設(shè)備端���。
越來(lái)越多的物聯(lián)網(wǎng)設(shè)備正淪為DDoS的盤(pán)中餐,隱私逐漸成為網(wǎng)絡(luò)交互的重要組成部分����,在勒索軟件和各種流氓軟件隨處可見(jiàn)的今天,很多攻擊手段卻變得難以被探測(cè)�,因此物聯(lián)網(wǎng)的加密措施至關(guān)重要。
既然小規(guī)模攻擊不靠流量取勝,那么其隱蔽性就會(huì)更強(qiáng)����,通用類的安全監(jiān)測(cè)很難察覺(jué)。而且對(duì)于電商�����、金融等對(duì)網(wǎng)絡(luò)狀態(tài)高敏感的業(yè)務(wù)形式來(lái)說(shuō)����,應(yīng)該有專門(mén)的服務(wù)去阻攔DDoS。應(yīng)用層�、協(xié)議級(jí)的攻擊正在成為主要威脅,攻擊者可以發(fā)起多維的向量攻擊���。調(diào)查顯示���,在DDoS保護(hù)服務(wù)遇到的攻擊中有86%以上使用了兩個(gè)或多個(gè)威脅媒介�����,其中8%包含五個(gè)或多個(gè)媒介��。
攻擊類型和目標(biāo)的細(xì)分使得應(yīng)用威脅較容量威脅有所區(qū)別,前者所需的流量是小規(guī)模的����,可以通過(guò)每秒請(qǐng)求量計(jì)算,代表就是針對(duì)HTTP和DNS的攻擊�。早在兩年前就有數(shù)據(jù)表明,網(wǎng)絡(luò)層DDoS攻擊已連續(xù)多個(gè)季度呈現(xiàn)下降趨勢(shì)�����,而應(yīng)用層攻擊每周超過(guò)千次����。
或許小規(guī)模攻擊并不會(huì)瞬間搞垮業(yè)務(wù)癱瘓網(wǎng)站,但長(zhǎng)期來(lái)看仍會(huì)引起安全問(wèn)題�����,尤其是當(dāng)前越來(lái)越多的數(shù)據(jù)被賦予了個(gè)人性標(biāo)簽����,商家需要這些信息對(duì)用戶進(jìn)行畫(huà)像分析,這使得數(shù)據(jù)對(duì)黑客的價(jià)值提升了�����。對(duì)于服務(wù)商來(lái)說(shuō),這些小型的DDoS攻擊也會(huì)對(duì)服務(wù)質(zhì)量造成影響�,如帶來(lái)網(wǎng)絡(luò)阻塞的問(wèn)題,而在體驗(yàn)至上的時(shí)代���,這點(diǎn)差別已足矣丟掉客戶�。
由此�����,引伸出來(lái)的重要問(wèn)題是���,到底怎樣才能有效抵御或者說(shuō)有效遏制DDoS攻擊呢?首先�,用戶要去嘗試了解攻擊來(lái)自于何處����,原因是黑客在攻擊時(shí)所調(diào)用的IP地址并不一定是真實(shí)的,一旦掌握了真實(shí)的地址段�����,可以找到相應(yīng)的碼段進(jìn)行隔離��,或者臨時(shí)過(guò)濾����。同時(shí),如果連接核心網(wǎng)的端口數(shù)量有限�,也可以將端口進(jìn)行屏蔽。
相較被攻擊之后的疲于應(yīng)對(duì)����,有完善的安全機(jī)制無(wú)疑要更好。有些人可能會(huì)選擇大規(guī)模部署網(wǎng)絡(luò)基礎(chǔ)設(shè)施��,但這種辦法只能拖延黑客的攻擊進(jìn)度���,并不能解決問(wèn)題���。與之相比的話,還不如去“屏蔽”那些區(qū)域性或者說(shuō)臨時(shí)性的地址段���,減少受攻擊的風(fēng)險(xiǎn)面����。
此外�����,還可以在骨干網(wǎng)、核心網(wǎng)的節(jié)點(diǎn)設(shè)置防護(hù)墻����,這樣在遇到大規(guī)模攻擊時(shí)可以讓主機(jī)減少被直接攻擊的可能��?紤]到核心節(jié)點(diǎn)的帶寬通常較高�����,容易成為黑客重點(diǎn)“關(guān)照”的位置���,所以定期掃描現(xiàn)有的主節(jié)點(diǎn)��,發(fā)現(xiàn)可能導(dǎo)致風(fēng)險(xiǎn)的漏洞��,就變得非常重要�����。
根據(jù)此前與從安全廠商了解到的消息���,多層防護(hù)DDoS攻擊的方法仍然適用。例如�,駐地端防護(hù)設(shè)備必須24小時(shí)全天候主動(dòng)偵測(cè)各類型DDoS攻擊��,包括流量攻擊��、狀態(tài)耗盡攻擊與應(yīng)用層攻擊;為了避免出現(xiàn)上述防火墻等設(shè)備存在的弊端,用戶應(yīng)該選擇無(wú)狀態(tài)表架構(gòu)的防護(hù)設(shè)備利用云平臺(tái)����、大數(shù)據(jù)分析,積累并迅速察覺(jué)攻擊特征碼�����,建立指紋知識(shí)庫(kù)��,以協(xié)助企業(yè)及時(shí)偵測(cè)并阻擋惡意流量攻擊����。
像以上的抵御方法還有一些, 如 限制SYN/ICMP流量�、過(guò)濾所有RFC1918 IP地址等等,但歸根結(jié)底����,還是要從根源上進(jìn)行有效遏制,不要等出了問(wèn)題再去想辦法�,這也是DDoS攻擊“不絕于耳”的原因����。
隨著企業(yè)的數(shù)據(jù)規(guī)��?焖僭鲩L(zhǎng)�,對(duì)業(yè)務(wù)敏捷性和安全性要求越來(lái)越高,網(wǎng)絡(luò)防護(hù)的責(zé)任將會(huì)空前巨大���,而如何有效應(yīng)對(duì)已經(jīng)不是一兩家廠商的工作����,要通過(guò)產(chǎn)業(yè)上下游在跨平臺(tái)�、多環(huán)境的場(chǎng)景中進(jìn)行深度挖掘,才能找到更可靠的安全防護(hù)措施����。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
