企业安全“攻守道”——论DDoS攻击

企业安全“攻守道”——论DDoS攻击

对于威胁行为者而言,分布式拒绝服务(Distributed denial-of-service,DDoS)攻击仍然是从受害者处敲诈金钱、窃取数据的首选武器,甚至为了进一步黑客主义意图,还可以随时发起大规模网络战争。分布式拒绝服务(DDoS)攻击旨在耗尽网络、应用程序或服务的资源,使真正的用户无法获得访问权限。

曾经这一主要在金融服务、电子商务和游戏行业泛滥的威胁,如今已经成为各种规模的企业都需要面临的一种威胁形式。如今,出于差不多同样的动机,小型企业也开始像大型企业一样,成为了DDoS攻击的目标。

随着僵尸网络构建工具包和所谓的“stresser”、“booter”以及其他DDoS出租服务的广泛运用,几乎任何人都可以针对他们所选择的目标发起DDoS攻击。如今,不再仅仅是国家支持的黑客和APT组织能够使用DDoS基础架构,就连普通的网络犯罪分子也能够轻松发起一场DDoS攻击。

DDoS攻击究竟为何物?

DDoS是英文Distributed Denial of Service的缩写,意即“分布式拒绝服务”,目的是耗尽可用于网络、应用程序或服务的资源,阻止合法用户对正常网络资源的访问,让网站响应不及时而瘫痪。

DDoS与一般黑客寻找漏洞,劫持用户网络进行注入的恶意攻击不同,DDoS并不需要特定的入口来打入目标内部,而是通过很多“僵尸主机”(被攻击者入侵过或可间接利用的主机)向受害主机发送大量看似合法的网络包,从而造成网络阻塞或服务器资源耗尽而导致拒绝服务,分布式拒绝服务攻击一旦被实施,攻击网络包就会犹如洪水般涌向受害主机,从而把合法用户的网络包淹没,导致合法用户无法正常访问服务器的网络资源,因此DDoS也被称作“洪水式攻击”。

企业安全“攻守道”——论DDoS攻击

DDoS攻击体系结构

DDoS攻击有不同的类型,但一般而言,DDoS攻击是从多个不同的主机同时发起的,甚至会影响最大企业的互联网服务和资源的可用性。

对许多企业来说,DDoS每天都会发生。根据第十次全球基础设施安全报告,42%的受访者每月发现超过21起DDoS攻击,而2013年这一比例为25%。这些攻击不仅仅是频率在增加,而且规模也在扩大。2013年,有不到40次攻击,超过100 Gbps,但在2014年,有159次攻击100Gbps,最大的是400Gbps。2013年,只有不到40次攻击速度超过100Gbps,但2014年有159次攻击速度超过100Gbps,最大的攻击速度为400Gbps。

企业网络应选择最佳的DDoS攻击防范服务,以确保其网络安全性。

DDoS攻击的类型

不同类型的DDoS攻击差别很大,但通常可分为三大类:

1.容量耗尽攻击——这种攻击的目的是用宽带消耗的流量或资源请求破坏网络的基础架构。

2.TCP状态表耗尽攻击——攻击者使用此方法滥用TCP协议的状态性,耗尽服务器、负载平衡器和防火墙中的资源。

3.应用层攻击——这些攻击的目标是第7层应用程序或服务的某些方面。

容量攻击仍然是DDoS攻击中最常见的攻击类型,但是将三个矢量结合在一起的攻击变得越来越普遍,从而增加了攻击的广度和规模。DDoS 的类型的分布,其中64%是属于容量耗尽型攻击,18%是属于状态耗尽型攻击,应用层攻击也大约是18%。

企业安全“攻守道”——论DDoS攻击

DDoS攻击的主要驱动因素都大致相同:政治和意识形态、恶意破坏。虽然DDoS是黑客和恐怖分子的首选进攻武器,但它也被用于勒索或破坏竞争对手的活动。

DDoS攻击作为一种掩护策略被使用的频率也越来越高。例如,高级持续威胁运动正在使用针对网络的DDoS攻击分散对方注意力,攻击者真正目的在于泄露被盗数据。

随着黑客社区将各种原本复杂的攻击根据打包成易于使用、可下载的程序,即使是那些没有必备专业知识的人也可以购买这些工具以启动DDoS攻击。而且情况还会变得更糟,攻击者会采用一切办法控制设备,从游戏控制台到路由器和调制解调器,以增加可以生成的攻击流量。

这些设备具有默认打开的网络功能,并使用默认帐户和密码,因而极容易成为DDoS攻击的目标。大多数设备支持通用即插即用(UPnP),其基础协议可能被滥用。

Akamai公司发现,有410万面向互联网的UPnP设备可能容易被用于反射类型的DDoS攻击。越来越多的安全性较差或配置不良的互联网连接设备使得攻击者更易实施攻击。

企业安全“攻守道”——论DDoS攻击

预防方法:标本兼治,根源防御

到目前为止,进行DDoS攻击的防御还是比较困难的。首先,这种攻击的特点是它利用了TCP/IP协议的漏洞,除非不用TCP/IP,才有可能完全抵御住DDoS攻击。不过这不等于我们就没有办法阻挡DDoS攻击,我们可以尽力来减少DDoS的攻击。DDoS防御是一个系统工程,对于企业来说,需标本兼治,从根源防御。

下面是一些基本的防御方法:

1.确保服务器的系统文件是最新的版本,并及时更新系统补丁。

2.关闭不必要的服务。

3.限制同时打开的SYN半连接数目。

4.缩短SYN半连接的time out 时间。

5.正确设置防火墙:

禁止对主机的非开放服务的访问;

限制特定IP地址的访问;

启用防火墙的防DDoS的属性;

严格限制对外开放的服务器的向外访问;

运行端口映射程序祸端口扫描程序,要认真检查特权端口和非特权端口。

6.认真检查网络设备和主机/服务器系统的日志。只要日志出现漏洞或是时间变更,那这台机器就可能遭到了攻击。

7.限制在防火墙外与网络文件共享。这样会给黑客截取系统文件的机会,主机的信息暴露给黑客,无疑是给了对方入侵的机会。

保护面向互联网的设备和服务,不仅保护了个人网络的安全,也减少了由于DDoS攻击可能被感染的设备数量。可重复测试并执行严格的方法:对所有类型的Web应用程序漏洞进行渗透测试

黑客滥用生成DDoS流量的协议有NTP、DNS、SSDP、Chargen、SNMP和DVMRP,因此任何使用这些服务的用户都需要仔细检查配置并在强化的专用服务器上运行。

许多攻击之所以有效,因为攻击者可以使用伪造的源IP地址生成通信流量。企业需要采用反欺骗过滤器,以防止黑客发送的声称来自其他网络的数据包。所有不同的DDoS攻击类型都无法预测或避免,即使是资源有限的攻击者也可能产生大量通信流量,从而导致大范围的网络瘫痪或严重破坏。

虽然几乎不可能完全消除或减轻DDoS攻击,但从长远来看,减少这些问题的关键是确保所有设备和服务的都配置正确,这样公共服务就无法被潜在的攻击者无法利用和滥用。通过帮助他人,我们也将帮助自己。通过了解DDoS攻击的原理,对我们防御的措施再加以改进,我们可以尽量挡住一部分的DDoS攻击。

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/sole/view/119602.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code