互聯(lián)網(wǎng)的基礎(chǔ)架構(gòu)，如BGP、DNS、SSL等，其設(shè)計目的都是保障通信的正常進行，但此基礎(chǔ)架構(gòu)并非總是完全可信的。我們?nèi)钥梢钥吹揭恍┲卮蟮膯栴}需要解決。

 

　　Gartner的研究人員John Pescatore指出有四大主要的攻擊可以利用互聯(lián)網(wǎng)的基礎(chǔ)架構(gòu)：DoS和DDoS、證書授權(quán)損害和欺詐、 域名服務(wù)攻擊、 4G LTE。Gartner的研究人員Orans指出，互聯(lián)網(wǎng)從整體上說是穩(wěn)定的。但是如果你從其組成部分的層次上來看，就會發(fā)現(xiàn)存在一些不穩(wěn)定和不可靠的問題。

 

　　下面就是Gartner的研究人員所發(fā)現(xiàn)的四大主要的基礎(chǔ)架構(gòu)攻擊，以及對付這些攻擊的主要策略。

 

　　1、拒絕服務(wù)和分布式拒絕服務(wù)攻擊(即DoS和DDoS)

 

　　根據(jù)Arbor Networks的消息，這兩種攻擊絕對不會絕跡，而且至少有一半的ISP每月遭受一到十次的這種攻擊，而且用免費工具(如Low Orbit Ion Cannon(LOIC))這種廣受攻擊者歡迎的匿名DDoS武器，就可以更容易地發(fā)動攻擊。Orans說，黑客主義是一個問題：如果某人不喜歡你的企業(yè)，他就可以對你發(fā)動攻擊，且犯罪份子的攻擊也是一個問題。

 

　　Neustar的副總裁和高級技術(shù)專家Rodney Joffe在Gartner會議期間展示了一段視頻，展示了犯罪者的攻擊往往用于掩飾更為陰險的目標(biāo)攻擊。犯罪者越來越擅長于隱藏其操作，他們隱藏得越好，安全人員就越難以過濾和防御這種攻擊。

 

　　Joffe說，這種攻擊的偽裝性越來越好，企業(yè)應(yīng)當(dāng)部署B(yǎng)CP 38(網(wǎng)絡(luò)入口過濾)，以應(yīng)對源地址欺詐。在對付DDoS的過程中，這會帶來顯著的差異。

 

　　Gartner對遏止DDoS攻擊的建議：首先，評估喪失企業(yè)的Web給企業(yè)帶來的經(jīng)濟影響，并提供在遭受攻擊后的事件響應(yīng)計劃。Orans說，企業(yè)的計劃應(yīng)當(dāng)以業(yè)務(wù)的連續(xù)性和災(zāi)難恢復(fù)策略為重點。

 

　　其次，考慮減輕DDoS攻擊的服務(wù)。最廉價的方法是一種“管道清潔”服務(wù)，其成本超過帶寬服務(wù)價格的10%到15%。ISP可以檢測并減輕DDoS攻擊，因而犯罪者就無法完全占有你的信息通道，Oran說，這是一個富有成本效益的好方法。

 

　　Orans說，一種更凈化型的版本是“凈化型”服務(wù)，即你在遭受攻擊時，你可以將通信發(fā)送給一個供應(yīng)商。這些供應(yīng)商可以充當(dāng)一個中間人，并對通信進行“凈化”，取出DDoS通信，僅將善意通信發(fā)送給你。這種服務(wù)的每個站點的收費標(biāo)準為10000美元，當(dāng)然，你也可以根據(jù)帶寬來付費。另外一種服務(wù)是DDoS設(shè)備，它位于DMZ中，并可以檢測DDoS通信，進而改變其方向。

 

　　2、證書授權(quán)

 

　　數(shù)字證書遭到損害和攻擊的事實迫使許多專家尋求一種驗證網(wǎng)站或軟件的新方法。Pescatore說，真正的問題是這個注冊過程。數(shù)字證書只能如同其注冊過程一樣強�。好荑�的交換并不自動等同于認證。

 

　　SSL的發(fā)明者Taher Elgamal在Gartner的峰會上展示了一段視頻消息，他說，這純粹是一個過程問題而不是一個技術(shù)問題。在過去的幾年中，在證書授權(quán)遭到破壞后，就會出事，此時的用戶仍擁有證書授權(quán)，但他們并沒有占有其名字。此時，可信性已經(jīng)無從談起。