很多都是僵尸网络驱动的。DDoS攻击利用成千上万的感染物联网,通过向受害者网站发起大量流量作为攻击手段,最终造成严重后果。这种分布式的拒绝服务攻击也在改变其战术,从大流量到“小流量”转换。数据显示,5 Gbit/s今年第三季度,以下攻击威胁数量同比增长3倍以上。
三招教企业抵抗小流量DDoS攻击(图片来自mticollege.edu)
Gartner指出2020年,全球将有超过200亿台物联网设备连接,平均每天将有约550万台设备加入网络环境,届时将有超过一半的商业系统内置物联网组件。在这方面,传统的桌面安全和当地的防火墙很难抵御新的网络攻击,黑客只需要拦截一个连接工具就可以进入设备端。
越来越多的物联网设备正在成为DDoS隐私逐渐成为网络交互的重要组成部分。如今,勒索软件和各种流氓软件随处可见,但许多攻击手段变得难以探测,因此物联网的加密措施非常重要。
由于小规模攻击不取决于流量,其隐蔽性将更强,通用安全监控难以检测。此外,对于电子商务、金融等对网络状态高度敏感的业务形式,应该有专门的服务来阻止DDoS。应用层和协议级攻击正成为主要威胁,攻击者可以发动多维向量攻击。调查显示,在DDoS86%以上的保护服务攻击使用了两个或多个威胁媒体,其中8%包括五个或多个媒体。
攻击类型和目标的细分使应用威胁不同于容量威胁。前者所需的流量是小规模的,可以通过每秒请求量计算,代表HTTP和DNS攻击。早在两年前,就有数据显示网络层层DDoS攻击已经连续几个季度下降,而应用层攻击每周超过1000次。
也许小规模攻击不会立即摧毁业务瘫痪的网站,但从长远来看,它仍然会导致安全问题,特别是越来越多的数据被贴上个人标签,企业需要这些信息来分析用户的肖像,这提高了数据对黑客的价值。对于服务提供商来说,这些小的DDoS攻击也会影响服务质量,比如网络堵塞,在体验第一的时代,这种差异足以失去客户。
因此,引伸的重要问题是如何有效抵抗或遏制DDoS攻击呢?首先,用户应该尝试了解攻击来自哪里,因为黑客在攻击中调用了它IP地址不一定是真的。一旦掌握了真实的地址段,可以找到相应的代码段进行隔离或临时过滤。同时,如果连接到核心网络的端口数量有限,也可以屏蔽端口。
与被攻击后的疲劳相比,拥有完善的安全机制无疑更好。有些人可能会选择大规模部署网络基础设施,但这种方法只能延迟黑客的攻击进度,而不能解决问题。相比之下,最好“屏蔽”区域或临时地址段可以降低攻击的风险。
此外,还可以在骨干网和核心网的节点设置防护墙,以减少主机在遇到大规模攻击时直接攻击的可能性。考虑到核心节点的带宽通常很高,很容易成为黑客的焦点“关照”因此,定期扫描现有的主节点,发现可能导致风险的漏洞,变得非常重要。
根据之前从安全厂家了解到的消息,多层防护DDoS攻击方法仍然适用。例如,驻地防护设备必须每天24小时主动检测各种类型DDoS攻击,包括流量攻击、状态耗尽攻击和应用层攻击;为避免上述防火墙等设备的缺点,用户应选择云平台和大数据分析,积累和快速检测攻击特征代码,建立指纹知识库,帮助企业及时检测和阻止恶意流量攻击。
有上述抵抗方法,如 限制SYN/ICMP流量、过滤所有RFC1918 IP地址等,但归根结底,要从根本上有效遏制,不要等问题再想办法。DDoS攻击“不绝于耳”的原因。
随着企业的数据规模快速增长,对业务敏捷性和安全性要求越来越高,网络防护的责任将会空前巨大,而如何有效应对已经不是一两家厂商的工作,要通过产业上下游在跨平台、多环境的场景中进行深度挖掘,才能找到更可靠的安全防护措施。