近日,由ponemon
institute進行一個雙年度的研究報告顯示,大多數資料中心當機是由錯誤的ups(不間斷電源)裝置引發,占所有事故數量的25%,緊随其後的是ddos攻擊,占22%,ddos攻擊數量在過去幾年穩步增長,在2013年ddos攻擊隻占資料中心當機次數的18%,而2010年隻有4%。
ddos也就是分布式拒絕服務攻擊,指借助于客戶/伺服器技術,将多個計算機聯合起來作為攻擊平台,對一個或多個目标發動ddos攻擊,進而成倍地提高拒絕服務攻擊的威力。該攻擊方式利用目标系統網絡服務功能缺陷或者直接消耗其系統資源,使得該目标系統無法提供正常的服務。
ddos的攻擊方式有很多種,最基本的ddos攻擊就是利用合理的服務請求來占用過多的服務資源,進而使合法使用者無法得到服務的響應。
分布式拒絕服務攻擊采取的攻擊手段就是分布式的,在攻擊的模式改變了傳統的點對點的攻擊模式,使攻擊方式出現了沒有規律的情況,而且在進行攻擊的時候,通常使用的也是常見的協定和服務,這樣隻是從協定和服務的類型上是很難對攻擊進行區分的。在進行攻擊的時候,攻擊資料包都是經過僞裝的,在源ip
位址上也是進行僞造的,這樣就很難對攻擊進行位址的确定,在查找方面也是很難的。這樣就導緻了分布式拒絕服務攻擊在檢驗方法上是很難做到的。
分布式拒絕服務在進行攻擊的時候,要對攻擊目标的流量位址進行集中,然後在攻擊的時候不會出現擁塞控制。在進行攻擊的時候會選擇使用随機的端口來進行攻擊,會通過數千端口對攻擊的目标發送大量的資料包,使用固定的端口進行攻擊的時候,會向同一個端口發送大量的資料包。
縱觀整個2015年的ddos現狀,我們可以得出如下結論:
ddos攻擊頻率更高,持續時間更長,大型ddos攻擊增長非常迅速。
ddos攻擊手段越來越多,而且是兩種或者更多種攻擊手段同時并用。
第三個趨勢是ddos攻擊對企業造成的損失越來越大。
新形勢下的ddos市場
如果說以前的ddos攻擊是長時間的持續性行為,那麼步入新常态後,ddos攻擊時間都低于一小時,不再像以前持續那麼久。攻擊行為産生效果後會在企業防禦前撤退,同時通過變化攻擊手法維持攻擊的有效性。
雖然目前很多營運商提供了流量清洗服務,但是在受到攻擊通知并啟動營運商的流量清洗服務之前,攻擊者可能已經轉移了。是以這需要企業在應對ddos攻擊的時候需要更加有效的防禦解決方案。
此外,ddos攻擊影響的範圍在擴大,比如教育行業、政府和isp。對于isp來說,以前ddos攻擊的對象是主機托管商的客戶,現在isp自身也成為被攻擊的對象。
在攻擊手法上,ddos攻擊出現加密型的攻擊,通過加密,攻擊直接穿透防火牆。而且攻擊是多元度的,不同類型的攻擊混合使用。而且ddos攻擊的地域特征不是那麼明顯,也就是在中國發生的攻擊也會出現在美國。
另外,ddos攻擊不再像以前那樣偏向于偏向整個服務的阻斷,所謂阻斷就是服務完全不可用。現在的ddos讓服務變慢而不是直接阻斷,通過影響服務的客戶體驗實作攻擊。比如服務響應慢,其實是ddos強制占用整個業務系統資源,進而拖慢系統,服務受到幹擾,直接影響客戶滿意度。
企業如何防範ddos攻擊?
針對ddos防護,建議企業遵循三個原則選擇供應商。第一,威脅情報的可視化非常重要。這個供應商需要有全球性的視角去看,業界有哪些最新出現的威脅,我可以盡快的響應。這個行業内有哪些共性的危機和危險,我可以去建議,這個是非常重要的。
第二點就是一線的攻防經驗,這家公司必須有很多的實操經驗,它必須實際幫客戶抵禦很多的ddos攻擊,它才能不斷改進它的技能。因為攻擊從本質上來說是人與人的鬥争,所謂魔高一尺,道高一丈。另外全球的防禦能力和容量是非常重要的,因為ddos攻擊源頭是分散在世界各地的。
第三是安全不再是一個支撐性的概念,而是一個業務的參與者,企業應将它上升到cxo的決策。有機構調研阻礙企業進行有效ddos防護的因素,其中前三條因素都不是技術因素。第一條企業缺乏相應的安全預算預防ddos。第二條企業缺乏安全人才,在市場上招聘一個有安全經驗的人非常困難,而且流動率很高。第三就是企業的cxo沒有參與到決策過程。
最後一點就是人員的安全意識,而且人員的安全意識應該是基于角色的安全意識。比如說您擁有crm系統的管理權,您的安全等級是什麼?您要做的安全預防措施是什麼?這些教育教育訓練和管理是非常重要的。ddos防護一半是技術問題,但更主要的是業務和決策層面的問題。
最新進展
根據akamai最新的ddos趨勢報告,利用dnssec協定的ddos反射攻擊更加猖獗。攻擊者主要使用了.gov的域名,這歸咎于美國法規必須支援dnssec。
dnssec是域名系統安全擴充的簡稱,作為dns協定的擴充,其包括了諸多保護dns認證和資料完整度的安全特性,然而反射ddos也在濫用dnssec協定。
業内也将反射ddos稱作drdos或分布式反射拒絕服務攻擊。一名攻擊者将一個損壞的網絡包發送到伺服器,然而之後它會被發送回另一個使用者(即攻擊的受害者)。該網絡包會濫用一個特定的協定,借助于各種缺陷,其可放大自身的數量。
盡管dnssec可以防止域名被劫持,但它卻無法阻擋反射ddos攻擊。
akamai
sirt(安全情報響應小組)表示:攻擊者沒有做什麼特殊的事情,他們用的還是同樣的ddos工具包,因為dns解析器仍然開放着。問題的關鍵是他們請求了dnssec的域名(通常為.gov之類,修改為dns請求的受害者ip,而不是他們自己的)。開放的dns解析器會将它翻譯成一個ip,通過額外的dnssec請求資料來阻塞響應,然後将它發送回受害者ip。
此種情況告訴我們,2016年企業面臨的ddos情況會更加嚴峻,這需要企業、安全服務商、電信營運商等産業鍊衆多廠商的協同才能實作ddos的防禦。
本文轉自d1net(轉載)