美國告伊朗!DDOS攻擊到底是個什么鬼?

責任編輯:jackye

作者:賈凱強

2016-03-29 09:25:19

摘自:中關村在線

3月25日,美國召開新聞發(fā)布會,指控七名伊朗籍男子在2011到2013年期間,侵入了包括摩根大通、富國銀行和美國運通威爾斯等至少46家金融機構。

3月25日,美國召開新聞發(fā)布會,指控七名伊朗籍男子在2011到2013年期間,侵入了包括摩根大通、富國銀行和美國運通威爾斯等至少46家金融機構。

美國告伊朗!DDOS攻擊到底是個什么鬼?

這個事件絕對是一個細思極恐的事件,僅7個人,在兩年左右的時間里連續(xù)用同一種方法攻擊近50家銀行,而且還全部成功了。更為可怕的是,他們所使用的攻擊手段也并不高明,是二十年前就已經(jīng)出現(xiàn)的DDOS攻擊(DDoS:Distributed Denial of Service分布式拒絕服務),但是無一例外,近50家金融機構全部中槍。

美國告伊朗!DDOS攻擊到底是個什么鬼?

金融安全等級再高,卻沒能擋住DDOS

DDOS又出來了

2012年9月開始,美國多家銀行的網(wǎng)站發(fā)生故障,相繼發(fā)生拒絕服務的情況。這一系列的攻擊帶給金融行業(yè)的沖擊是巨大的,長時間的無法登陸和無法服務給用戶帶來的極差的體驗。

“這是一個提醒,對于國家安全來講,網(wǎng)絡安全是極其重要的一環(huán),而網(wǎng)絡威脅所帶來的影響,其嚴重性正在逐步增長。”美國一位檢察官在新聞發(fā)布會上這樣提到,“絕對不能夠允許、容忍任何的集團或者個人破壞攻擊金融機構。”

眾所周知,金融系統(tǒng)的網(wǎng)絡安全系統(tǒng),其嚴密性遠高于其他系統(tǒng)。對于網(wǎng)絡安全的防范意識也處于較高的水平,那么這接近50家的金融系統(tǒng)是如何中招的呢?低劣的手段都能夠攻破金融系統(tǒng)的安全大門,這種手段到底有多可怕呢?

美國告伊朗!DDOS攻擊到底是個什么鬼?

DDOS就像一種古老而又強大的黑魔法

DDOS,這是個一個在網(wǎng)絡安全方面的元老級攻擊手段,其手法非常的簡單直接,但是卻很難防御,被譽為網(wǎng)絡攻擊的“核武器”。在信息安全的領域存在著三要素,保密性,完整性和可用性,三要素中的任何一點受到破壞就將會演變成安全事故,DDOS便是主要攻擊了其可用性。

美國告伊朗!DDOS攻擊到底是個什么鬼?

攻擊者往往不會親自出現(xiàn)

DDOS的攻擊方式多種多樣,其中所使用最多,最基礎的是DOS(Denial of Service,拒絕服務攻擊)。DOS針對可用性的攻擊手段非常簡單有效。通常,黑客會控制一臺傀儡機器竊取一個賬號,然后利用該賬號控制大量的賬號作為代理程序,利用客戶或者服務器技術,在幾秒鐘內(nèi)激活成百上千次代理程序?qū)Ρ还艟W(wǎng)站進行訪問。

很難防??!這是每個被DOS攻擊過的用戶最大的苦惱。因為DOS攻擊偽裝成了正常的訪問,主要目標為消耗網(wǎng)站的服務資源,并沒有入侵被攻擊網(wǎng)站的服務器或者網(wǎng)絡設施,與普通的黑客攻擊手法完全不同,因此總會給人一種防不勝防的無奈。

DDOS的攻擊手段:拙劣卻有效

據(jù)說,高端的黑客是很鄙視DDOS攻擊的,因為手法實在是太low了,初級入門者都可以使用。而且DDOS攻擊是一種兩敗俱傷型的攻擊手段,其之所以被稱為網(wǎng)絡攻擊的核武器,就是因為一個字:貴。防御方想要防御DDOS攻擊要花費大量的資金,攻擊方也是需要有很大的資金投入才可以維持攻擊。

美國告伊朗!DDOS攻擊到底是個什么鬼?

DDOS攻擊種類繁多

DDOS 的攻擊途徑分類大略有三種。第一種,利用軟件的缺陷,對服務方發(fā)送一些可能會引發(fā)事故或者故障而無法正常服務的報文,而這種攻擊非常致命,比普通的資源占用型攻擊要兇殘許多,往往一旦攻擊成功就會導致服務器癱瘓等重大問題。

第二種,利用協(xié)議漏洞對系統(tǒng)資源進行占用。這種攻擊往往會利用HTTP的協(xié)議漏洞,偽造IP進行攻擊。由于向服務器連接時需要有三次握手階段,用戶發(fā)送請求,服務器回應請求,用戶確認和服務器連接。但是在攻擊時,偽造IP僅僅執(zhí)行前兩個階段而形成死循環(huán),大量占用服務器資源導致網(wǎng)站無法正常工作。

美國告伊朗!DDOS攻擊到底是個什么鬼?

TCP三次握手階段(圖片源于百科)

第三種,也就是最最缺乏技術含量的一種,大量的資源比拼。由于攻擊者手中握有很多的代理程序,利用這些代理程序向服務器發(fā)送大量的垃圾數(shù)據(jù),占用帶寬,導致服務器拒絕服務。這種方法簡直就是資金硬拼,你用你的流量和攻擊換取我的加強基礎設施建設,甚至超規(guī)模建設等問題。

三種辦法聽起來都是很簡單的手段,但是一旦進行攻擊,其危險性超脫了很多人的預想。美國的金融機構紛紛中招也顯示了這個簡單粗暴的攻擊手段到底有多難防御,成名20年依然不能阻擋他神擋殺神佛的腳步,那么我們真的拿他無解了么?

想說防你很難,但又不得不防

對于軟件缺陷型攻擊的防御一般還是采取主動防御的措施,因為在三種攻擊中,該攻擊的后果最為嚴重,而且攻擊手段也非常隱蔽。對于系統(tǒng)應當經(jīng)常進行監(jiān)察檢測,及時發(fā)現(xiàn)漏洞,對此發(fā)布補丁、設置加固,消除漏洞。此外還可以購買一些更為專業(yè)的防御軟件,但是這并不能讓你萬事大吉。

利用協(xié)議漏洞的話防御起來也是比較困難的,因為通常這種遠程行為采用的是偽造IP地址,追查難度較大。因此,一般可以選擇部署安全設備進行相關設置,然后限制每個源 IP 地址每秒的域名解析請求次數(shù),對于突然出現(xiàn)的大量頻度較低的域名解析請求的源 IP 地址進行限制等手段。

美國告伊朗!DDOS攻擊到底是個什么鬼?

DDOS防御和攻擊,都是錢的斗爭

而第三種攻擊,除了直接砸錢拓寬寬帶以外,還可以采取一些其他的技術手段。比如可以部署流量清洗設備,設置一定的闕值,超過之后則選擇性丟棄相關數(shù)據(jù)包;識別DDOS攻擊手段,聯(lián)系服務商,在被攻擊時配合運營商引流進入“路由黑洞”等多種手段共同配合,解決問題。

雖說用這些手段可以防范攻擊,但是也不能做到完美的防御,DDOS攻擊是一種非常難以防御而又極其消耗財力物力人力的一種網(wǎng)絡攻擊手段,對于他的防御除了針對性的防御以外,還需要在平時做一些事情進行防范。

首先,適當減少企業(yè)通道成本。因為DDOS簡單說就是一個砸錢的攻擊手段,選取較為廉價的通道,甚至采用服務端對外的多路動態(tài)網(wǎng)絡+靜態(tài)網(wǎng)絡的方式,減小投入成本, 防御成本也就會相應減少,在防范時的升級工作可以有備無患。

其次,減少數(shù)據(jù)交換需求。對數(shù)據(jù)流采用加密處理,優(yōu)化數(shù)據(jù)交換需求, 采用壓縮并檢測排除的方法,減輕通道壓力。

美國告伊朗!DDOS攻擊到底是個什么鬼?

采用云數(shù)據(jù)庫是防御DDOS的新思路

再者,可以將需求數(shù)據(jù)庫轉(zhuǎn)為建設云數(shù)據(jù)庫,將重要數(shù)據(jù)分開存放,建立多通道專用的服務器內(nèi)網(wǎng), 即使被DDOS攻擊,也不至于全盤崩潰,在被攻擊時可選取幾條通道關閉并將服務轉(zhuǎn)移。

DDOS攻擊雖然無奈,但是也并非完全不可解。多種手段并行防范,從意識上崛起提升網(wǎng)絡安全才是重中之重。

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號