三招教企业抵御小流量DDoS攻击
很多由僵尸网络驱动的DDoS攻击利用了成千上万的被感染的物联网,通过向受害者网站发起大量的流量为攻击手段,最终造成严重后果。不断推陈出新的防御方式使这种分布式拒绝服务攻击也在变化着自己的战术,从大流量向“小流量”转变。一项数据显示,5 Gbit/s及以下的攻击威胁数量在今年第三季度同比增长超过3倍。
三招教企业抵御小流量DDoS攻击(图片来自mticollege.edu)
Gartner指出,2020年全球将有超过200亿的物联网设备产生联接,并且日均还会有约550万台设备加入到网络环境,届时有超过半数的商业系统内置物联网组件。对此,传统的桌面安全和本地防火墙是难以抵御新型网络攻击的,黑客只需要截获某一个连接工具就能切入到设备端。
越来越多的物联网设备正沦为DDoS的盘中餐,隐私逐渐成为网络交互的重要组成部分,在勒索软件和各种流氓软件随处可见的今天,很多攻击手段却变得难以被探测,因此物联网的加密措施至关重要。
既然小规模攻击不靠流量取胜,那么其隐蔽性就会更强,通用类的安全监测很难察觉。而且对于电商、金融等对网络状态高敏感的业务形式来说,应该有专门的服务去阻拦DDoS。应用层、协议级的攻击正在成为主要威胁,攻击者可以发起多维的向量攻击。调查显示,在DDoS保护服务遇到的攻击中有86%以上使用了两个或多个威胁媒介,其中8%包含五个或多个媒介。
攻击类型和目标的细分使得应用威胁较容量威胁有所区别,前者所需的流量是小规模的,可以通过每秒请求量计算,代表就是针对HTTP和DNS的攻击。早在两年前就有数据表明,网络层DDoS攻击已连续多个季度呈现下降趋势,而应用层攻击每周超过千次。
或许小规模攻击并不会瞬间搞垮业务瘫痪网站,但长期来看仍会引起安全问题,尤其是当前越来越多的数据被赋予了个人性标签,商家需要这些信息对用户进行画像分析,这使得数据对黑客的价值提升了。对于服务商来说,这些小型的DDoS攻击也会对服务质量造成影响,如带来网络阻塞的问题,而在体验至上的时代,这点差别已足矣丢掉客户。
由此,引伸出来的重要问题是,到底怎样才能有效抵御或者说有效遏制DDoS攻击呢?首先,用户要去尝试了解攻击来自于何处,原因是黑客在攻击时所调用的IP地址并不一定是真实的,一旦掌握了真实的地址段,可以找到相应的码段进行隔离,或者临时过滤。同时,如果连接核心网的端口数量有限,也可以将端口进行屏蔽。
相较被攻击之后的疲于应对,有完善的安全机制无疑要更好。有些人可能会选择大规模部署网络基础设施,但这种办法只能拖延黑客的攻击进度,并不能解决问题。与之相比的话,还不如去“屏蔽”那些区域性或者说临时性的地址段,减少受攻击的风险面。
此外,还可以在骨干网、核心网的节点设置防护墙,这样在遇到大规模攻击时可以让主机减少被直接攻击的可能。考虑到核心节点的带宽通常较高,容易成为黑客重点“关照”的位置,所以定期扫描现有的主节点,发现可能导致风险的漏洞,就变得非常重要。
根据此前与从安全厂商了解到的消息,多层防护DDoS攻击的方法仍然适用。例如,驻地端防护设备必须24小时全天候主动侦测各类型DDoS攻击,包括流量攻击、状态耗尽攻击与应用层攻击;为了避免出现上述防火墙等设备存在的弊端,用户应该选择无状态表架构的防护设备利用云平台、大数据分析,积累并迅速察觉攻击特征码,建立指纹知识库,以协助企业及时侦测并阻挡恶意流量攻击。
像以上的抵御方法还有一些, 如 限制SYN/ICMP流量、过滤所有RFC1918 IP地址等等,但归根结底,还是要从根源上进行有效遏制,不要等出了问题再去想办法,这也是DDoS攻击“不绝于耳”的原因。
随着企业的数据规模快速增长,对业务敏捷性和安全性要求越来越高,网络防护的责任将会空前巨大,而如何有效应对已经不是一两家厂商的工作,要通过产业上下游在跨平台、多环境的场景中进行深度挖掘,才能找到更可靠的安全防护措施。