萬盛學電腦網

 萬盛學電腦網 >> 系統工具 >> DDoS攻擊:絕對不容忽視的安全問題

DDoS攻擊:絕對不容忽視的安全問題

  在網絡安全界,DDoS攻擊已經不是一個新鮮的名詞。最早的DDoS攻擊可以追溯到1996年,在中國DDoS攻擊於2002年開始頻繁出現,2003年已經初具規模。然而近幾年,這個老生常談的網絡攻擊方式卻以新的攻擊方式,給帶來巨大的網絡安全威脅。

  “事實上DDoS攻擊並不是一個陌生的話題,但卻是一個絕對不容忽視的安全問題。” 梭子魚技術總監賈玉彬如是說道,“簡單概述,目前DDoS攻擊新趨勢是:從TCP/IP層上移到了應用層。”

  根據 Gartner預測,DDOS攻擊會占2013年所有的應用層攻擊中的25%左右。基於應用層的DDOS攻擊每年以三倍的速度增長。在過去,DDOS攻擊使用大量偽造的UDP, TCP SYN, 或者ICMP流量來意圖淹沒目標網絡。然而,當今的攻擊平台已經進化到包含應用層的DDOS攻擊,目標是Web系統和DNS系統。

  賈玉彬表示:“隨著攻擊手段和攻擊目標的變化,將使得任何一個互聯網上的應用都可能會成為攻擊目標,70%以上的為隨機受害者。”在他看來,目前DDoS攻擊的手段和方式主要有三種:

  1、大流量型攻擊,主要憑借大量的僵屍網絡和應用層DDoS攻擊受害者的Web應用,例如大流量訪問需要消耗大量系統資源的url,從而導致Web應用崩潰;

  2、匿名者組織,這個組織通過社交網絡組織大量人力並提供LOIC和JS LOIC兩種工具,這些來自社交網絡的人員都是真真正正的人而不是僵屍主機,所以這種攻擊更難於防范;

  3、慢客戶端攻擊,這種利用了HTTP協議本身的缺陷,只需要非常少量的資源即可快速使目標受害者的站點陷入癱瘓,典型的工具如 Slowloris,目前這種攻擊目前非常流行,從協議的合規性分析,這種攻擊流量是正常的流量,所以依靠特征庫和黑名單技術的防護設備檢測不出這種攻擊。

  面對呈現新形式的DDoS攻擊,賈玉彬指出中國在抵御DDoS攻擊方面所做的工作仍有很大的提升空間;“目前,大部分的企事業單位還停留在防御對網絡層的DDoS的攻擊防護或者是對大流量攻擊的防護,這顯然是不夠的。”

  對此,賈玉彬也為在如何防御DDoS攻擊方面提出了建議。他指出,防御DDoS攻擊需要重點做好兩個方面防御措施:

  1、部署邊界網絡防火牆和IPS,過濾網絡層的DDoS攻擊;

  2、部署Web應用防火牆(WAF),防御對應用層的DDoS攻擊進行防護,前提是部署的WAF需要支持對僵屍(主機)網絡攻擊的識別和防護、慢客戶端攻擊的防護、匿名者攻擊的防護。

  不管怎樣,當DDoS這種看似陳舊過時的攻擊以新的攻擊方式卷土重來的時候,如果不進行有效主動防御,那麼本身就將有可能成為網絡安全問題的一部分。對而言,這是一個絕對不容忽視的安全問題。

copyright © 萬盛學電腦網 all rights reserved