2015年DDoS攻擊特點以及對策

責任編輯:editor007

作者:李祥敬

2016-02-19 20:30:52

摘自:天極網

DDoS的攻擊方式有很多種,最基本的DDoS攻擊就是利用合理的服務請求來占用過多的服務資源,從而使合法用戶無法得到服務的響應。盡管DNSSEC可以防止域名被劫持,但它卻無法阻擋反射DDoS攻擊。

近日,由Ponemon Institute進行一個雙年度的研究報告顯示,大多數(shù)數(shù)據(jù)中心宕機是由錯誤的UPS(不間斷電源)設備引發(fā),占所有事故數(shù)量的25%,緊隨其后的是DDoS攻擊,占22%,DDos攻擊數(shù)量在過去幾年穩(wěn)步增長,在2013年DDos攻擊只占數(shù)據(jù)中心宕機次數(shù)的18%,而2010年只有4%。

2015年DDoS攻擊特點以及對策

DDoS也就是分布式拒絕服務攻擊,指借助于客戶/服務器技術,將多個計算機聯(lián)合起來作為攻擊平臺,對一個或多個目標發(fā)動DDoS攻擊,從而成倍地提高拒絕服務攻擊的威力。該攻擊方式利用目標系統(tǒng)網絡服務功能缺陷或者直接消耗其系統(tǒng)資源,使得該目標系統(tǒng)無法提供正常的服務。

DDoS的攻擊方式有很多種,最基本的DDoS攻擊就是利用合理的服務請求來占用過多的服務資源,從而使合法用戶無法得到服務的響應。

分布式拒絕服務攻擊采取的攻擊手段就是分布式的,在攻擊的模式改變了傳統(tǒng)的點對點的攻擊模式,使攻擊方式出現(xiàn)了沒有規(guī)律的情況,而且在進行攻擊的時候,通常使用的也是常見的協(xié)議和服務,這樣只是從協(xié)議和服務的類型上是很難對攻擊進行區(qū)分的。在進行攻擊的時候,攻擊數(shù)據(jù)包都是經過偽裝的,在源IP 地址上也是進行偽造的,這樣就很難對攻擊進行地址的確定,在查找方面也是很難的。這樣就導致了分布式拒絕服務攻擊在檢驗方法上是很難做到的。

分布式拒絕服務在進行攻擊的時候,要對攻擊目標的流量地址進行集中,然后在攻擊的時候不會出現(xiàn)擁塞控制。在進行攻擊的時候會選擇使用隨機的端口來進行攻擊,會通過數(shù)千端口對攻擊的目標發(fā)送大量的數(shù)據(jù)包,使用固定的端口進行攻擊的時候,會向同一個端口發(fā)送大量的數(shù)據(jù)包。

縱觀整個2015年的DDoS現(xiàn)狀,我們可以得出如下結論:

DDoS攻擊頻率更高,持續(xù)時間更長,大型DDoS攻擊增長非常迅速。

2015年DDoS攻擊特點以及對策

  DDoS攻擊手段越來越多,而且是兩種或者更多種攻擊手段同時并用。

第三個趨勢是DDoS攻擊對企業(yè)造成的損失越來越大。

新形勢下的DDoS市場

如果說以前的DDoS攻擊是長時間的持續(xù)性行為,那么步入新常態(tài)后,DDoS攻擊時間都低于一小時,不再像以前持續(xù)那么久。攻擊行為產生效果后會在企業(yè)防御前撤退,同時通過變化攻擊手法維持攻擊的有效性。

2015年DDoS攻擊特點以及對策

雖然目前很多運營商提供了流量清洗服務,但是在受到攻擊通知并啟動運營商的流量清洗服務之前,攻擊者可能已經轉移了。所以這需要企業(yè)在應對DDoS攻擊的時候需要更加有效的防御解決方案。

此外,DDoS攻擊影響的范圍在擴大,比如教育行業(yè)、政府和ISP。對于ISP來說,以前DDoS攻擊的對象是主機托管商的客戶,現(xiàn)在ISP自身也成為被攻擊的對象。

2015年DDoS攻擊特點以及對策

在攻擊手法上,DDoS攻擊出現(xiàn)加密型的攻擊,通過加密,攻擊直接穿透防火墻。而且攻擊是多維度的,不同類型的攻擊混合使用。而且DDoS攻擊的地域特征不是那么明顯,也就是在中國發(fā)生的攻擊也會出現(xiàn)在美國。

另外,DDoS攻擊不再像以前那樣偏向于偏向整個服務的阻斷,所謂阻斷就是服務完全不可用?,F(xiàn)在的DDoS讓服務變慢而不是直接阻斷,通過影響服務的客戶體驗實現(xiàn)攻擊。比如服務響應慢,其實是DDoS強制占用整個業(yè)務系統(tǒng)資源,從而拖慢系統(tǒng),服務受到干擾,直接影響客戶滿意度。

企業(yè)如何防范DDoS攻擊?

針對DDoS防護,建議企業(yè)遵循三個原則選擇供應商。第一,威脅情報的可視化非常重要。這個供應商需要有全球性的視角去看,業(yè)界有哪些最新出現(xiàn)的威脅,我可以盡快的響應。這個行業(yè)內有哪些共性的危機和危險,我可以去建議,這個是非常重要的。

第二點就是一線的攻防經驗,這家公司必須有很多的實操經驗,它必須實際幫客戶抵御很多的DDoS攻擊,它才能不斷改進它的技能。因為攻擊從本質上來說是人與人的斗爭,所謂魔高一尺,道高一丈。另外全球的防御能力和容量是非常重要的,因為DDoS攻擊源頭是分散在世界各地的。

第三是安全不再是一個支撐性的概念,而是一個業(yè)務的參與者,企業(yè)應將它上升到CXO的決策。有機構調研阻礙企業(yè)進行有效DDoS防護的因素,其中前三條因素都不是技術因素。第一條企業(yè)缺乏相應的安全預算預防DDoS。第二條企業(yè)缺乏安全人才,在市場上招聘一個有安全經驗的人非常困難,而且流動率很高。第三就是企業(yè)的CXO沒有參與到決策過程。

最后一點就是人員的安全意識,而且人員的安全意識應該是基于角色的安全意識。比如說您擁有CRM系統(tǒng)的管理權,您的安全等級是什么?您要做的安全預防措施是什么?這些教育培訓和管理是非常重要的。DDoS防護一半是技術問題,但更主要的是業(yè)務和決策層面的問題。

最新進展

根據(jù)Akamai最新的DDoS趨勢報告,利用DNSSEC協(xié)議的DDoS反射攻擊更加猖獗。攻擊者主要使用了.gov的域名,這歸咎于美國法規(guī)必須支持DNSSEC。

DNSSEC是域名系統(tǒng)安全擴展的簡稱,作為DNS協(xié)議的擴展,其包括了諸多保護DNS認證和數(shù)據(jù)完整度的安全特性,然而反射DDoS也在濫用DNSSEC協(xié)議。

業(yè)內也將反射DDoS稱作DRDoS或分布式反射拒絕服務攻擊。一名攻擊者將一個損壞的網絡包發(fā)送到服務器,然而之后它會被發(fā)送回另一個用戶(即攻擊的受害者)。該網絡包會濫用一個特定的協(xié)議,借助于各種缺陷,其可放大自身的數(shù)量。

盡管DNSSEC可以防止域名被劫持,但它卻無法阻擋反射DDoS攻擊。

Akamai SIRT(安全情報響應小組)表示:攻擊者沒有做什么特殊的事情,他們用的還是同樣的DDoS工具包,因為DNS解析器仍然開放著。問題的關鍵是他們請求了DNSSEC的域名(通常為.gov之類,修改為DNS請求的受害者IP,而不是他們自己的)。開放的DNS解析器會將它翻譯成一個IP,通過額外的DNSSEC請求數(shù)據(jù)來阻塞響應,然后將它發(fā)送回受害者IP。

此種情況告訴我們,2016年企業(yè)面臨的DDoS情況會更加嚴峻,這需要企業(yè)、安全服務商、電信運營商等產業(yè)鏈眾多廠商的協(xié)同才能實現(xiàn)DDoS的防御。

鏈接已復制,快去分享吧

企業(yè)網版權所有?2010-2024 京ICP備09108050號-6京公網安備 11010502049343號