隨著網(wǎng)絡(luò)安全形勢的日益嚴峻以及網(wǎng)絡(luò)攻擊復雜程程度和惡意程度的不斷加深�,安全的責任問題就變得越來越重要。事實上�,盡管那些備受矚目的網(wǎng)絡(luò)攻擊會招來各種指責,但是要確定被指責的對象是一件超乎大多數(shù)人想象的困難的事情����。
Radware專家表示,在他們的職業(yè)生涯中�����,許多客戶都曾向他們尋求幫助���,通過收集攻擊數(shù)據(jù)將攻擊者繩之以法��。遺憾的是�,懂行的攻擊者通常會利用很多工具來避免被追蹤����,從而逃脫為自己的行為承擔責任�。IP欺詐��、入侵服務(wù)器以及僵尸網(wǎng)絡(luò)是攻擊者最常用的三種策略�����,這使得對網(wǎng)絡(luò)攻擊的追蹤變得非常困難�。
IP欺詐
互聯(lián)網(wǎng)協(xié)議也就是通常所說的IP被用于互聯(lián)網(wǎng)的各個角落。它的最初設(shè)計目的是在部分網(wǎng)絡(luò)突然中斷時能夠保證網(wǎng)絡(luò)的互操作性和容錯能力��,安全性并沒有被考慮在內(nèi)�。每個IP數(shù)據(jù)包都有一個包頭,路由器和其它設(shè)備據(jù)此可以知道數(shù)據(jù)包的來源以及目的地是哪里�����。目的地設(shè)備根據(jù)源IP地址信息來確定響應數(shù)據(jù)包應該如何返回��。更改數(shù)據(jù)包頭內(nèi)容是件輕而易舉的事��。
攻擊者偽造數(shù)據(jù)包頭中的源IP地址的方法被稱為IP欺詐���。這是一種很常見也易于實現(xiàn)的攻擊手段��。尤其在DDoS攻擊中��,攻擊者通常將數(shù)據(jù)包的源IP地址指向被攻擊目標����。可以預見的攻擊結(jié)果是受害者將會收到來自互聯(lián)網(wǎng)的大量響應數(shù)據(jù)包���,這些響應數(shù)據(jù)包風暴將會減慢或阻斷合法網(wǎng)絡(luò)流量的傳輸。有的時候�,攻擊數(shù)據(jù)包會直接發(fā)給攻擊目標中的某個IP地址,而攻擊數(shù)據(jù)包的源地址則會使用無辜的第三方的IP地址����。不過源IP欺詐也有一定的局限性,它不能建立雙向通信���,這使得它不適用于較為復雜的攻擊行為��。
入侵服務(wù)器
在出現(xiàn)僵尸網(wǎng)絡(luò)之前�����,攻擊者遠程侵入服務(wù)器最常見的手段就是利用操作系統(tǒng)漏洞進行攻擊�����。通過在服務(wù)器上安裝惡意軟件����,攻擊者得以隱藏其活動證據(jù),并在連接失敗之后仍然可以更容易地重新訪問服務(wù)器�。
一旦惡意軟件被成功安裝,攻擊者就可以從被感染的服務(wù)器上發(fā)起攻擊�,同時攻擊者會刪除日志信息以掩蓋攻擊蹤跡。精明的攻擊者會入侵多個服務(wù)器�����,以創(chuàng)建一個沒有日志記錄的冗長服務(wù)器串����,使得調(diào)查者難以找到攻擊者的來源。系統(tǒng)管理員必須成為安全專家��,安裝補丁并更改配置�,以保護他們的系統(tǒng)免受攻擊。
僵尸網(wǎng)絡(luò)
當高速互聯(lián)網(wǎng)訪問不再局限于服務(wù)器時�,工作站就成為了黑可更好的攻擊目標。信息安全部門不會密切監(jiān)控這些工作站����,而且這些工作站的系統(tǒng)漏洞通常也沒有完全修復����。此外���,很少有管理員愿意投入大量時間去研究工作站的異常事件����。
創(chuàng)建����、管理�、租用和利用大量被感染的電腦是一項龐大的工程。僵尸網(wǎng)絡(luò)經(jīng)常被用于各種目的的攻擊����,如:進行DDoS攻擊、網(wǎng)絡(luò)入侵��、惡意軟件傳播以及其它網(wǎng)絡(luò)犯罪��。通過僵尸網(wǎng)絡(luò)成員與受害者網(wǎng)絡(luò)之間的網(wǎng)絡(luò)流量�����,可以非常容易地跟蹤到被感染的電腦,但是人們所能追蹤到的也只是被感染的受害者����。另外的方法就是對命令和控制數(shù)據(jù)流進行分析,但是精明的僵尸網(wǎng)絡(luò)操控者并不會將數(shù)據(jù)流直接從自己家的電腦直接發(fā)送到被控制的僵尸網(wǎng)絡(luò)節(jié)點上����。
命令和控制數(shù)據(jù)流通常會使用諸如IRC、Twitter�、IM或點對點網(wǎng)絡(luò)這樣的隱秘通道。同時�����,命令和控制服務(wù)器往往比較分散�����,通常利用fast-flux DNS方法進行隱藏����,利用被攻破的服務(wù)器作為代理服務(wù)器實現(xiàn)對僵尸網(wǎng)絡(luò)的控制。
如何保護企業(yè)安全無憂
非常遺憾的是網(wǎng)絡(luò)運營商和執(zhí)法部門經(jīng)常無法抓獲那些狡猾的犯罪分子��。企業(yè)應當采用適當?shù)牟呗浴⒁?guī)章制度和技術(shù)來保護自己���。提供網(wǎng)絡(luò)行為分析��、DoS緩解和IP信譽服務(wù)等功能的強大的邊界防護方案可以與應用感知安全方案共同協(xié)作��,提供全面的安全防護����。
Radware專家指出�,作為全球領(lǐng)先的虛擬數(shù)據(jù)中心和云數(shù)據(jù)中心應用交付和應用安全解決方案提供商,Radware可以為企業(yè)安全提供全方位的保護��。 Radware的攻擊緩解系統(tǒng)(AMS)是一種實時網(wǎng)絡(luò)和應用攻擊緩解解決方案�����,能夠?qū)崟r保護應用基礎(chǔ)架構(gòu)免遭網(wǎng)絡(luò)和應用故障中斷���、應用安全漏洞利用、惡意軟件傳播�����、信息盜用、Web服務(wù)及網(wǎng)頁篡改等攻擊的侵擾����,全面保護網(wǎng)絡(luò)、服務(wù)器和應用����。
