減輕DDoS攻擊 保衛(wèi)網(wǎng)絡安全

隱藏在分布式拒絕服務攻擊（簡稱DDoS）背后的攻擊動機已經(jīng)從單純的經(jīng)濟利益（例如，勒索在線博彩站點和零售店）轉變?yōu)榫哂猩鐣�性和政治動機的，針對政府web站點、媒體、甚至是小型企業(yè)的活動。自從2010年12月黑客組織Anonymous開始瞄上那些反對維基百科的web站點以來，黑客主義團體例如Anonymous、LulzSec以及其它團體已經(jīng)使用DDoS攻擊來損害攻擊目標的名譽或是收入。

與此同時，利用僵尸網(wǎng)絡實施的攻擊，用海量的TCP或UDP數(shù)據(jù)包來“淹沒”站點的服務器，曾一度讓這些站點關閉達數(shù)小時之久。如今，僵尸網(wǎng)絡的操縱者開始使用更加復雜的策略，這些策略專注于網(wǎng)絡的特定區(qū)域、例如郵件服務器或是Web應用服務器。

其它的黑客團體使用DDoS的洪水攻擊來轉移安全團隊的注意力，與此同時黑客們獲得實際的目標、即有價值的公司或個人的信息。據(jù)Carlos Morales表示，這種戰(zhàn)略曾用在2011年聲名狼藉的針對索尼公司的攻擊。他是Arbor的全球銷售及運營副總裁，該公司是總部位于馬薩諸塞州切姆斯福德市的DDoS緩解服務提供商。

隨著跨市場攻擊的普及，DDoS攻擊的復雜性快速增長，導致了危險且不穩(wěn)定的攻擊態(tài)勢。安全研究人員和服務提供商一致同意，對于公司來說除了實施其它的網(wǎng)絡安全措施，保護自身免于拒絕服務攻擊變得愈加重要。

據(jù)Neustar的調(diào)查報告“2012年第1季度DDoS調(diào)查：當公司陷入一片漆黑”，75%的受訪人（位于北美、曾經(jīng)經(jīng)歷過DDoS攻擊的電信業(yè)、旅游業(yè)、金融業(yè)、IT以及零售業(yè)的公司）使用防火墻、路由器、交換機或入侵偵測系統(tǒng)來與DDoS攻擊進行戰(zhàn)斗。他們的研究人員表示與其說這些設備是解決方案的一部分，倒不如說是問題的一部分。

“很快地它們變成瓶頸所在，幫助攻擊者將系統(tǒng)變得緩慢或是關閉系統(tǒng)”，該報告聲明。“此外，防火墻無法抵制對應用層的攻擊，而它正逐步成為流行的DDoS攻擊途徑”。

鑒于這些原因，專家們建議有財力和人力的公司將明確的DDoS緩解技術或服務融合到他們的安全策略中。像Arbor Networks、Prolexic這樣的服務提供商和其它公司可以監(jiān)控流量中攻擊的跡象，在造成系統(tǒng)宕機、“淹沒”客服支持電話、以及對公司品牌和名譽造成損壞前阻止它們。

購買DDoS緩解的硬件需要招聘和培訓在這個領域有技術專長的雇員，但是專家表示這個成本可能更高。“通常來說，自己緩解DDoS攻擊是十分困難的”，Neustar公司的安全運營中心主管Ted Swearingen表示。公司必須采取所有額外的步驟來實施他們自己的DDoS緩解工具，例如加寬帶寬、增加防火墻數(shù)量、與ISP協(xié)作、增加網(wǎng)絡監(jiān)控并且雇用專家來運行它們。從長遠的角度來看這是不劃算的策略，他談到。在Neustar的調(diào)查報告中只有3%的公司使用這類保護措施。

在某些情況下，面對的攻擊規(guī)模過大、過于復雜、或是太超前以至于自己無法處理時，小型的DDoS緩解服務提供商甚至會向更大的廠商求助，要求提供支持。

安全主機提供商VirtualRoad.org就是一個例子。該公司為獨立媒體提供防護DDoS攻擊服務。這些媒體所在的國家面臨著政治和社會動亂，在這些地方政府機構或是其它地方的審查制度是嚴厲的，如伊朗、緬甸和 津巴布韋。像那樣只有少量客戶的小眾市場通常不需要額外的支持，但是去年VirtualRoad.org的CTO Tord Lundstrom表示他們已經(jīng)幾次與Prolexic公司合作。

Prolexic用基礎設施來對付這些攻擊，但是他們能處理的攻擊流量和復雜性也都有限。當攻擊流量太多，他們將流量路由給Prolexic，該安全公司按照統(tǒng)一費用收費、不管你被攻擊多少次。

“說來容易，’當攻擊到來時我們會處理它的’，但是當攻擊來臨時他們說，’好吧，你必須付我們更多錢、要么我們無法保護你’”，Lundstrom談到其它公司的服務說。像那樣的額外費用就是為什么那些需要高質(zhì)量DDoS防護（特別是像VirtualRoad.org那樣的小型企業(yè)）無法承擔。

對于公司來說，如果DDoS攻擊是用來轉移注意力的，那么它的影響可能更糟糕。根據(jù)Arbor最近的一項調(diào)查，27%的受訪人曾經(jīng)是多種攻擊方式的受害人。根據(jù)“Arbor特別報告：世界范圍的基礎設施安全報告”聲明，不僅是攻擊的復雜性在增加，攻擊的規(guī)模也在增大。該報告對來自美國、加拿大、拉丁美洲/南美洲、EMEA、非洲和亞洲的114個自我分類為一層、二層以及其它IP網(wǎng)絡運營商進行民意調(diào)查。

在2008年，人們發(fā)現(xiàn)最大的攻擊大約有40 Gbps。在2010年一次異常的100 Gbps峰值后，去年有記錄的最大攻擊為60 Gbps。這預示著攻擊規(guī)模在逐步地增長，但是Arbor公司的Morales認為數(shù)量最終會開始到達平穩(wěn)狀態(tài)。因為使用更小規(guī)模的攻擊，大約10 Gbps就可以擊垮大多數(shù)的網(wǎng)絡。

然而，即使攻擊停止增長，DDoS攻擊不會完全地停止發(fā)生，Morales表示。甚至是遷移到IPv6也不會停止每天攻擊的火力，因為在報告中已經(jīng)有一些IPv6網(wǎng)絡攻擊的記錄。

因為這類攻擊策略本性穩(wěn)定，專家們建議在線提供業(yè)務的所有公司要準備好面對這種攻擊，摒棄掉“它不會發(fā)生在我身上”這種態(tài)度。幸運的是，最近激進黑客分子的活動已經(jīng)讓DDoS攻擊給CSO們和CEO們帶來足夠的輿論壓力、讓他們開始關注，但是那僅僅是第一步，Morales表示。如果你想達到這個目標，將保護全面貫徹到業(yè)務需要中是十分重要的，VirtualRoad.org的Lundstrom說：“目標是不停地做保護工作。”

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]