三招教企業(yè)抵御小流量DDoS攻擊
發(fā)布時(shí)間:2021-11-19 11:33
來(lái)源:中關(guān)村在線(xiàn)
閱讀:0
作者:徐鵬
欄目: 網(wǎng)絡(luò )安全
歡迎投稿:712375056
很多由僵尸網(wǎng)絡(luò )驅動(dòng)的DDoS攻擊利用了成千上萬(wàn)的被感染的物聯(lián)網(wǎng)��,通過(guò)向受害者網(wǎng)站發(fā)起大量的流量為攻擊手段�����,最終造成嚴重后果�����。
很多由驅動(dòng)的利用了成千上萬(wàn)的被感染的物聯(lián)網(wǎng)���,通過(guò)向受害者網(wǎng)站發(fā)起大量的流量為攻擊手段����,最終造成嚴重后果����。不斷推陳出新的防御方式使這種分布式拒絕服務(wù)攻擊也在變化著(zhù)自己的戰術(shù)�,從大流量向“小流量”轉變�����。一項數據顯示�,5 Gbit/s及以下的攻擊威脅數量在今年第三季度同比增長(cháng)超過(guò)3倍���。
三招教企業(yè)抵御小流量DDoS攻擊(圖片來(lái)自mticollege.edu)
Gartner指出���,2020年全球將有超過(guò)200億的物聯(lián)網(wǎng)設備產(chǎn)生聯(lián)接��,并且日均還會(huì )有約550萬(wàn)臺設備加入到網(wǎng)絡(luò )環(huán)境�,屆時(shí)有超過(guò)半數的商業(yè)系統內置物聯(lián)網(wǎng)組件����。對此�,傳統的桌面安全和本地防火墻是難以抵御新型網(wǎng)絡(luò )攻擊的�����,黑客只需要截獲某一個(gè)連接工具就能切入到設備端��。
越來(lái)越多的物聯(lián)網(wǎng)設備正淪為DDoS的盤(pán)中餐�,隱私逐漸成為網(wǎng)絡(luò )交互的重要組成部分����,在勒索軟件和各種流氓軟件隨處可見(jiàn)的今天�,很多攻擊手段卻變得難以被探測�,因此物聯(lián)網(wǎng)的加密措施至關(guān)重要�����。
既然小規模攻擊不靠流量取勝��,那么其隱蔽性就會(huì )更強����,通用類(lèi)的安全監測很難察覺(jué)�。而且對于電商�����、金融等對網(wǎng)絡(luò )狀態(tài)高敏感的業(yè)務(wù)形式來(lái)說(shuō)���,應該有專(zhuān)門(mén)的服務(wù)去阻攔DDoS���。應用層����、協(xié)議級的攻擊正在成為主要威脅�����,攻擊者可以發(fā)起多維的向量攻擊�。調查顯示�����,在DDoS保護服務(wù)遇到的攻擊中有86%以上使用了兩個(gè)或多個(gè)威脅媒介��,其中8%包含五個(gè)或多個(gè)媒介�����。
攻擊類(lèi)型和目標的細分使得應用威脅較容量威脅有所區別����,前者所需的流量是小規模的���,可以通過(guò)每秒請求量計算�,代表就是針對HTTP和DNS的攻擊�����。早在兩年前就有數據表明�����,網(wǎng)絡(luò )層DDoS攻擊已連續多個(gè)季度呈現下降趨勢����,而應用層攻擊每周超過(guò)千次���。
或許小規模攻擊并不會(huì )瞬間搞垮業(yè)務(wù)癱瘓網(wǎng)站�,但長(cháng)期來(lái)看仍會(huì )引起安全問(wèn)題����,尤其是當前越來(lái)越多的數據被賦予了個(gè)人性標簽���,商家需要這些信息對用戶(hù)進(jìn)行畫(huà)像分析��,這使得數據對黑客的價(jià)值提升了��。對于服務(wù)商來(lái)說(shuō)���,這些小型的DDoS攻擊也會(huì )對服務(wù)質(zhì)量造成影響��,如帶來(lái)網(wǎng)絡(luò )阻塞的問(wèn)題�,而在體驗至上的時(shí)代����,這點(diǎn)差別已足矣丟掉客戶(hù)�。
由此��,引伸出來(lái)的重要問(wèn)題是���,到底怎樣才能有效抵御或者說(shuō)有效遏制DDoS攻擊呢?首先�,用戶(hù)要去嘗試了解攻擊來(lái)自于何處��,原因是黑客在攻擊時(shí)所調用的IP地址并不一定是真實(shí)的���,一旦掌握了真實(shí)的地址段���,可以找到相應的碼段進(jìn)行隔離���,或者臨時(shí)過(guò)濾����。同時(shí)�����,如果連接核心網(wǎng)的端口數量有限����,也可以將端口進(jìn)行屏蔽���。
相較被攻擊之后的疲于應對��,有完善的安全機制無(wú)疑要更好��。有些人可能會(huì )選擇大規模部署網(wǎng)絡(luò )基礎設施�,但這種辦法只能拖延黑客的攻擊進(jìn)度���,并不能解決問(wèn)題��。與之相比的話(huà)�,還不如去“屏蔽”那些區域性或者說(shuō)臨時(shí)性的地址段���,減少受攻擊的風(fēng)險面����。
此外�,還可以在骨干網(wǎng)��、核心網(wǎng)的節點(diǎn)設置防護墻����,這樣在遇到大規模攻擊時(shí)可以讓主機減少被直接攻擊的可能����?�?紤]到核心節點(diǎn)的帶寬通常較高�,容易成為黑客重點(diǎn)“關(guān)照”的位置�����,所以定期掃描現有的主節點(diǎn)����,發(fā)現可能導致風(fēng)險的漏洞�����,就變得非常重要���。
根據此前與從安全廠(chǎng)商了解到的消息���,多層防護DDoS攻擊的方法仍然適用����。例如�,駐地端防護設備必須24小時(shí)全天候主動(dòng)偵測各類(lèi)型DDoS攻擊�,包括流量攻擊���、狀態(tài)耗盡攻擊與應用層攻擊;為了避免出現上述防火墻等設備存在的弊端����,用戶(hù)應該選擇無(wú)狀態(tài)表架構的防護設備利用云平臺��、大數據分析�,積累并迅速察覺(jué)攻擊特征碼�,建立指紋知識庫���,以協(xié)助企業(yè)及時(shí)偵測并阻擋惡意流量攻擊�����。
像以上的抵御方法還有一些����, 如 限制SYN/ICMP流量�、過(guò)濾所有RFC1918 IP地址等等���,但歸根結底����,還是要從根源上進(jìn)行有效遏制����,不要等出了問(wèn)題再去想辦法�,這也是DDoS攻擊“不絕于耳”的原因�。
隨著(zhù)企業(yè)的數據規??焖僭鲩L(cháng)�����,對業(yè)務(wù)敏捷性和安全性要求越來(lái)越高�,網(wǎng)絡(luò )防護的責任將會(huì )空前巨大�,而如何有效應對已經(jīng)不是一兩家廠(chǎng)商的工作���,要通過(guò)產(chǎn)業(yè)上下游在跨平臺�����、多環(huán)境的場(chǎng)景中進(jìn)行深度挖掘��,才能找到更可靠的安全防護措施���。
