三招教企业抵御小流量DDoS攻击(图片来自mticollege.edu)
Gartner指出,2020年全球将有超过200亿的物联网设备产生联接,并且日均还会有约550万台设备加入到网络环境,届时有超过半数的商业系统内置物联网组件。对此,传统的桌面安全和本地防火墙是难以抵御新型网络攻击的,黑客只需要截获某一个连接工具就能切入到设备端。
越来越多的物联网设备正沦为DDoS的盘中餐,隐私逐渐成为网络交互的重要组成部分,在勒索软件和各种流氓软件随处可见的今天,很多攻击手段却变得难以被探测,因此物联网的加密措施至关重要。
既然小规模攻击不靠流量取胜,那么其隐蔽性就会更强,通用类的安全监测很难察觉。而且对于电商、金融等对网络状态高敏感的业务形式来说,应该有专门的服务去阻拦DDoS。应用层、协议级的攻击正在成为主要威胁,攻击者可以发起多维的向量攻击。调查显示,在DDoS保护服务遇到的攻击中有86%以上使用了两个或多个威胁媒介,其中8%包含五个或多个媒介。
攻击类型和目标的细分使得应用威胁较容量威胁有所区别,前者所需的流量是小规模的,可以通过每秒请求量计算,代表就是针对HTTP和DNS的攻击。早在两年前就有数据表明,网络层DDoS攻击已连续多个季度呈现下降趋势,而应用层攻击每周超过千次。
或许小规模攻击并不会瞬间搞垮业务瘫痪网站,但长期来看仍会引起安全问题,尤其是当前越来越多的数据被赋予了个人性标签,商家需要这些信息对用户进行画像分析,这使得数据对黑客的价值提升了。对于服务商来说,这些小型的DDoS攻击也会对服务质量造成影响,如带来网络阻塞的问题,而在体验至上的时代,这点差别已足矣丢掉客户。
由此,引伸出来的重要问题是,到底怎样才能有效抵御或者说有效遏制DDoS攻击呢?首先,用户要去尝试了解攻击来自于何处,原因是黑客在攻击时所调用的IP地址并不一定是真实的,一旦掌握了真实的地址段,可以找到相应的码段进行隔离,或者临时过滤。同时,如果连接核心网的端口数量有限,也可以将端口进行屏蔽。
相较被攻击之后的疲于应对,有完善的安全机制无疑要更好。有些人可能会选择大规模部署网络基础设施,但这种办法只能拖延黑客的攻击进度,并不能解决问题。与之相比的话,还不如去“屏蔽”那些区域性或者说临时性的地址段,减少受攻击的风险面。
此外,还可以在骨干网、核心网的节点设置防护墙,这样在遇到大规模攻击时可以让主机减少被直接攻击的可能。考虑到核心节点的带宽通常较高,容易成为黑客重点“关照”的位置,所以定期扫描现有的主节点,发现可能导致风险的漏洞,就变得非常重要。
根据此前与从安全厂商了解到的消息,多层防护DDoS攻击的方法仍然适用。例如,驻地端防护设备必须24小时全天候主动侦测各类型DDoS攻击,包括流量攻击、状态耗尽攻击与应用层攻击;为了避免出现上述防火墙等设备存在的弊端,用户应该选择无状态表架构的防护设备利用云平台、大数据分析,积累并迅速察觉攻击特征码,建立指纹知识库,以协助企业及时侦测并阻挡恶意流量攻击。
像以上的抵御方法还有一些, 如 限制SYN/ICMP流量、过滤所有RFC1918 IP地址等等,但归根结底,还是要从根源上进行有效遏制,不要等出了问题再去想办法,这也是DDoS攻击“不绝于耳”的原因。
随着企业的数据规模快速增长,对业务敏捷性和安全性要求越来越高,网络防护的责任将会空前巨大,而如何有效应对已经不是一两家厂商的工作,要通过产业上下游在跨平台、多环境的场景中进行深度挖掘,才能找到更可靠的安全防护措施。