從可對于絕大多數(shù)企業(yè)的運行能力起著至關重要的作用�����,來說明DDoS作為一攻擊方式為什么會得到如此的普及。
今天�,可用性對于一個企業(yè)來說如同電一樣重要。如果一個公司脫機了���,意味著不能從消費者那里盈利�,也無法使用到云數(shù)據(jù)和應用�。如果被公眾知道,這一故障將有損其企業(yè)的聲譽和品牌形象�。
黑客們努力找出公司的弱點,如對可用性的維護���,然后在基礎設施和現(xiàn)有安全防御中尋找能利用的薄弱點���。就此看來,DDoS的確是一個好工具���。DDoS攻擊可分為三大類型:
容量耗盡攻擊:這類攻擊試圖耗盡目標網(wǎng)絡和服務內部����、或目標網(wǎng)絡和服務及互聯(lián)網(wǎng)其他部分之間的帶寬����。這類攻擊的目的就是造成帶寬擁堵。
容量耗盡攻擊首次出現(xiàn)在2001年,微軟����、eBay和雅虎都被當時“大型” 容量耗盡攻擊影響而導致脫機,那次“大型” 容量耗盡攻擊其實只有300Mbps���,跟現(xiàn)在的容量耗盡攻擊相比實在小得多。如今的DDoS攻擊超過100Gbps�����,互聯(lián)網(wǎng)服務供應商面臨新的挑戰(zhàn)��,這使更多的企業(yè)思索如何保護公司的網(wǎng)絡和基礎設施����。
Arbor從250多家服務供應商收集到網(wǎng)絡數(shù)據(jù)顯示,DDoS攻擊很容易就能發(fā)展到更大的規(guī)模����,比現(xiàn)在的規(guī)模要大得多。
2012年9月的攻擊平均為1.67Gbps�,與2011年9月相比增長72%
中等范圍2-10Gbps的攻擊次數(shù)也增加了,2012年到目前為止增加14.35%
超過10 Gbps的大型攻擊�����,與2011相比增加90%
今年最大型的攻擊為100.84Gb/秒
傳輸控制協(xié)議狀態(tài)耗盡攻擊:這類攻擊試圖耗盡許多基礎設施組件內的連接狀態(tài)表,如負載均衡器���、防火墻和應用服務器自身���。即使是能維持數(shù)以百萬連接狀態(tài)的大容量設備也能被這類攻擊破壞崩潰。
事實上�,F(xiàn)rost & Sullivan的分析專家Richard Martinez曾說過:“在面對DDoS挑戰(zhàn)時,許多管理人員所作的共同反應是��,相信他們的防火墻和入侵防御系統(tǒng)設施能保護他們免于受害��。不幸的是�����,這是錯的��。防火墻和入侵防御系統(tǒng)設備在網(wǎng)絡保護中的確起關鍵作用�,但還不足以抵御復雜的DDoS攻擊。”
應用層攻擊:2010年DDoS發(fā)生了一次重大轉變��,從原先的大型容量耗盡攻擊發(fā)展成更小型���、更難察覺的應用層攻擊���,攻擊目標是某一應用或7層服務的部分方面����。這類攻擊是最復雜也最詭秘的攻擊�����,只需攻擊一臺機器就能成功造成低流量(這類攻擊因此變得很難有效察覺和預防)���。
現(xiàn)代DDoS是復雜性的威脅
每個類型的攻擊都給網(wǎng)絡運營商帶來獨有的挑戰(zhàn)。最先能防御的攻擊類型是容量耗盡攻擊��,可以通過云管理安全服務進行有效防御����。瞄準現(xiàn)有基礎設施的攻擊和那些以應用為目標的“低速緩慢”型攻擊是最難確定和防御的類型。近些年來����,DDoS之所以成為一個如此有效的武器,主要是因為攻擊復雜性上升��、攻擊類型、目標和技術的融合�����。
比如�,美國金融機構受到的近期攻擊。這次攻擊采用多種矢量攻擊工具��,在超文本傳輸協(xié)議�、超文本傳輸協(xié)議安全和域名服務器上發(fā)起應用層攻擊,在傳輸控制協(xié)議�、用戶數(shù)據(jù)報協(xié)議、網(wǎng)間控制報文協(xié)議等其他協(xié)議上發(fā)起容量耗盡攻擊���。這類攻擊的其他獨有特點是����,多家公司在同一垂直位置以超高帶寬成為攻擊目標�����。
缺乏防御力的個人網(wǎng)頁網(wǎng)絡應用服務器在攻擊中作為bots病毒使用�。另外,許多博客網(wǎng)站往往使用過時的TimThumb插件����,這是得遭受攻擊時幾乎在同一時間就能喪失抵抗力�����。Joomla和其他個人網(wǎng)頁應用也同樣受此影響�����。黑客會往這些未受維護的服務器上傳個人網(wǎng)頁Webshell腳本攻擊工具���,然后利用這些腳本進一步部署攻擊工具。黑客要么直接接入這些工具�,要么通過中介服務器、代理服務器或腳本接入��,因此慣用的管理和控制理念不適用�����。
這一復雜性迅速演變成攻擊向量����,需要專為此用途而制定的工具與云保護相結合��,來提供綜合保護,抵御大型攻擊和以應用層為目標的攻擊����。我們不期望在未來幾年看到DDoS再登上報紙頭條,除非我們的最佳防御實踐得到普遍部署��。
“沒有終局的成功����,也沒有致命的失敗,重要的是繼續(xù)前進的勇氣��。”溫斯頓?丘吉爾的一句名言�����,他也曾給過一個重要的建議��,信息技術安全專業(yè)人士應時刻保持警惕�,將防御等級升級到能抵御最新威脅的防御水準。
