“人多力量大”,“人多勢眾”都是用來形容小小的力量聚合起來便會成為大的力量。這一點不管是在好的方面,還是壞的方面都體現(xiàn)的淋漓盡致。
信息時代,小小的數(shù)據(jù)集合成為了大大的價值數(shù)據(jù),小小的網(wǎng)絡(luò)集合形成了大大的互聯(lián)網(wǎng),兩股小小的信息力量推動了時代的大浪潮。可以說信息時代就是小力量聚合形成大力量的最好象征。
但是對于信息時代最大的威脅,數(shù)據(jù)、信息安全問題來說,它面臨的威脅也是一個“協(xié)眾而來”,將小威脅化成大危機(jī)的攻擊行為——DDOS。面對洶涌而至的DDOS攻擊,全面防守顯然“費時費力”,效果也不盡理想,只有集中突破、固守本源才是上上之策。
了解敵人“長什么樣”——DDOS到底是什么?
分布式拒絕服務(wù)(DDoS istributed Denial of Service)攻擊指借助于客戶/服務(wù)器技術(shù),將多個計算機(jī)聯(lián)合起來作為攻擊平臺,對一個或多個目標(biāo)發(fā)動DoS攻擊,從而成倍地提高拒絕服務(wù)攻擊的威力。通常,攻擊者使用一個偷竊帳號將DDoS主控程序安裝在一個計算機(jī)上,在一個設(shè)定的時間主控程序?qū)⑴c大量代理程序通訊,代理程序已經(jīng)被安裝在Internet上的許多計算機(jī)上。代理程序收到指令時就發(fā)動攻擊。利用客戶/服務(wù)器技術(shù),主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運(yùn)行。
預(yù)測敵人的行動——了解DDOS的攻擊趨勢
在目前的網(wǎng)絡(luò)攻擊中,最讓站長們頭疼的一種就是針對DNS的攻擊。DNS一直都是網(wǎng)絡(luò)安全中薄弱的一個環(huán)節(jié),眾所周知的2009年“多省斷網(wǎng)”事件,2010年“百度被黑”事件,都是通過DNS攻擊引起的。而能引起這種大范圍影響的就是DDOS攻擊。
作為一種“協(xié)眾而來”的巨大威脅,了解它的攻擊趨勢對于集中力量進(jìn)行攻防是大前提。
【DDOS攻擊會越演越烈】雖然說目前的機(jī)房帶寬、內(nèi)核越來越強(qiáng)大,似乎抵御大流量的攻擊不再是問題。但是我們也必須看到的一點就是,對于黑客們來說,可以利用的網(wǎng)絡(luò)資源也越來越豐富、成本越來越低,如果說以往的攻擊只針對大網(wǎng)站、同行的惡意競爭,那么將來,攻擊者可能隨意選擇目標(biāo),任何網(wǎng)站都可以成為攻擊的對象。
【DDOS攻擊難以防備】在流量攻擊出現(xiàn)初期,因為采用的集中式IP進(jìn)行點對點攻擊,防御方只要找出這個IP段就能屏蔽其訪問,達(dá)到防御效果。而現(xiàn)在的DDOS攻擊采用分布式拒絕服務(wù)的手段,使用常見協(xié)議和服務(wù),攻擊數(shù)據(jù)經(jīng)過包裝,程序并不能辨認(rèn)出哪些IP是攻擊,所以也查不出攻擊源,無法通過屏蔽的方法進(jìn)行防御。所以DDOS攻擊會越來越難以防備。
【免費DNS現(xiàn)狀令人堪憂】DNS是網(wǎng)絡(luò)基礎(chǔ)服務(wù),一般來說域名注冊商都會提供這種免費的解析服務(wù),將名下所有的域名都通過自己的DNS服務(wù)器進(jìn)行解析。這種免費服務(wù)就存在一種缺陷,一旦域名遭受攻擊,服務(wù)商為了保障其他域名的正常訪問就會暫時屏蔽該域名的解析。這樣對于受攻擊域名來說遭受的損失就非常大。
【高防DNS防御DDOS攻擊】目前解決DNS所遭受的DDOS等流量、查詢類型的攻擊,只能依靠高防型的DNS。目前防御型的DNS不是依賴查找攻擊源進(jìn)行防御,而是直接依賴機(jī)房的強(qiáng)大,接納這種攻擊流量,保證網(wǎng)站正常訪問,攻擊者在無可奈何中就會停止攻擊。距統(tǒng)計,目前國內(nèi)機(jī)房能夠防御的最大攻擊流量為200G QPS,幾乎能抵御目前最高級別的DDOS攻擊。
目前高防型的DNS也比較多了,連原本只提供智能解析的DNSPOD現(xiàn)在也有防御服務(wù),不過防御效果如何本人沒有試過。目前擁有自身機(jī)房保障的高防型DNS有群英網(wǎng)絡(luò)下面的QYDNS,它的高防效果是本人親自測驗的,當(dāng)時攻擊流量是達(dá)到160G,網(wǎng)站依然能正常訪問,效果不錯。
對于數(shù)據(jù)、信息的威脅 數(shù)據(jù)加密永遠(yuǎn)是最好的“攻”“防”之力
雖然DDOS看似來勢洶涌,但是我們只要了解它的真實目的,便能進(jìn)行有效的防御甚至是反擊。而DDOS攻擊的對象正是不斷提升價值的數(shù)據(jù)和信息本身。所以我們只要能找一種能靈活應(yīng)對的本源防護(hù)之法,就可以達(dá)到集中力量進(jìn)行防御甚至是反擊的效果。而現(xiàn)今能勝任這一艱巨任務(wù)的安全技術(shù),非多模加密技術(shù)莫屬。
多模加密技術(shù)采用對稱算法和非對稱算法相結(jié)合的技術(shù),利用強(qiáng)勢的算法保證數(shù)據(jù)本源的防護(hù)質(zhì)量,從而大大提高了數(shù)據(jù)對于各種攻擊的抵抗力。同時由于多模加密的靈活性,可以讓用戶自行選擇加密的模式,這種靈活應(yīng)對的特性正是個人、企業(yè)甚至國家面對DDOS的反擊之力。值得一提的是,如此攻守兼?zhèn)涞臄?shù)據(jù)加密技術(shù),其使用的典型代表正是山麗的防水墻系列。
信息技術(shù)和互聯(lián)網(wǎng)的發(fā)展雖然推動了時代的發(fā)展,但是它們的陰暗面也使個人、企業(yè)甚至國家的信息安全正遭受多樣的威脅,DDOS就是其中之一。但是我們只要能找到一種對于數(shù)據(jù)、信息本源有強(qiáng)勢防御作用的安全技術(shù),相信定能穩(wěn)守住安全底線的,甚至做出反擊。