多层防御战略、DNS服务器保护以及IT架构的可见性是企业用户免于DDos攻击之痛与代价的最有效的防御方法。
单一的拒绝服务攻击(Denial of service assaults)是从一台计算机设备发起的,DDos攻击涉及僵尸程序的渗透,也就是说这才是造成整个网络安全最大的威胁。Verizon(全成威瑞森无线通讯,是美国第一家提供320万像素照相手机配套销售的无线营运商)在其2012年数据违规调查报告中称这些攻击是"比其他安全威胁更可怕、更具威胁性,无论是现实环境还是预计的情况下"。
研究机构Stratecast在最近的调研报告中也指出DDos攻击每年呈20%到45%的增长,尤其是基于应用的DDos攻击增长的趋势已接近三位数。Stratecast进一步谈到,通过DDoS的攻击是黑客组织最频繁使用的工具,时常作为多重技术攻击战略的一部分。
且研究专家发现DDOS攻击不仅在攻击频率上增加,在带宽侵蚀与攻击持续性方面也同样不断的增加。十年前,举例说明,50Gbps的攻击在一年之中也就出现一两次;现如今,诸如这样的攻击几乎每周都有发生。
此外,攻击形式也变得更加聪明隐晦,不再是简单的运行一个发送泛洪数据的脚本,攻击者开始通过一系列的操作,使之适应攻击的类型或攻击目标。
随着更多的企业在其网络中允许移动设备的使用,DDos攻击将继续激增。Fortinet的威胁研究实验室FortiGuard Labs同时也发现移动僵尸例如Zitmo与传统的PC上盛行的僵尸攻击具有相同的特点与功能。FortiGuard Labs在2013年的威胁预测中也提出,拒绝服务攻击出现新的形式,同时影响PC与移动设备。
DDos攻击通常会造成很大的代价。除了因攻击造成的停工损失收入外,受攻击的公司还不得不忍受IT故障分析与恢复的时间、误工的损失以及因此而造成的合同损失与公司品牌与声誉的损失。
DDoS攻击问题的不断深化,表明企业必须采取必要的安全策略进行防御的必要性。料敌于先机也就是主动性防御,是所有安全战略的防护策略,且可以减少被攻击的风险。也就是说与其删除所有的DDoS流量,不如集中在如何保持服务,尤其是重要的业务服务尽可能最小的遭受干扰。基于此,业务是通过访问网络环境而开始的,从而才有回复的方案。这些交互中,应将备份与恢复考虑在内,另外监控同样是快速高效恢复业务服务的方法之一。
对于主动性防御,需要三个关键步骤来完成多层防御战略、DNS服务器保护以及IT架构的可见性与控制性。
多层防御
多层防御战略对于DDoS防御来讲至关重要,且涉及专门的边界解决方案用户防御与减缓来自网络各个方面的威胁。这些工具应该提供防欺骗、主机认证技术、数据层面与应用层的阀值、状态与协议确认、基线执行、闲置检测、黑白名单与基于地理位置的访问控制列表。
当考虑专门的DDoS解决方案时,公司需要确认这些方案不但能够检测基于应用层的DDoS攻击且要非常高效阻断常规、一般或者定制的DDoS攻击技术与模式,且具有"学习"识别基于流量数据的可接受的以及异常的流量行为模式。流量分析是协助快速检测并限制威胁的关键,同时可以减少误报。
为了获得更高效的操作,公司机构也应该寻求提供高级的虚拟化与基于地理位置功能的DDoS解决方案。地理位置技术,在另一方面,可以使公司机构阻断来自于未知或可疑的不相关来源的恶意流量;通过削减来自公司机构之外的地址信息流量可减少了终端服务器带宽的负载与资源的消耗。
虚拟化实现后,策略管理员可以创建并审查在单个设备中的多个独立的策略域,从而防止攻击在一个网段影响辐射到其他网段。该机制的精髓在于防御预设而不是将赌注投掷在单一的一套策略中;管理员可以预先定义多重配置,在之前的策略不充分的情况下,应用更为严格的策略。
DNS服务器的安全防护
作为整体防御战略的一部分,企业必须保护其最关键资产与架构。许多公司机构因web的可用性保留自己的DNS服务器,这也是在DDoS攻击中被首先当作目标的系统。一旦DNS服务器被攻击,攻击者们便能够快速拿下公司的web操作,并创建一个拒绝服务的环境。安全市场中有可用的DNS防御解决方案,可防御事务处理ID、UDP源端口以及随机化的入侵。
保持IT架构的可见性与控制性
公司机构需要有一种能够保持系统在攻击前、攻击中或攻击后的警觉性。IT环境的全方位的可视性在业内已不是什么秘密,这样的情形下,管理员能够检测到网络流量的异常以及快速发现攻击,也使管理员具有更智能与更具有分析能力实现适当的迁移与安全预警。最佳的防御是具有报警系统能够持续且自动的实现监控,并在检测到DDoS流量时发出报警并促发响应机制。
对网络具有颗粒度的可视性与控制性是至关重要的。网络的可视性可以协助管理员获取攻击的根源并阻断流量溢出,同时合法的流量能够自由的来去;以及使管理员能够具有发起实时以及历史攻击分析的能力。另外,高级的源地址跟踪功能可以定位非哄骗性攻击的地址,甚至可以联系到攻击者的域名管理员,从而提供了防御的力度。
将注意力回归到业务层面
如同其他安全威胁一样,DDoS攻击将持续的增长并在未来变得更为猖獗。DDoS技术不断的演化也要求公司机构具有应对这样猖獗肆虐攻击的前瞻性洞察力,并落实在实时防御行动。
因此,在遭遇DDoS威胁之前,首先要加强应对计划以及网络架构访问机制。巩固关键服务器并对数据划分优先性安全访问管理。同时,对网络的全方位了解是实现最佳管理与监控的基础,也是使管理员能够做出攻击预警与防御机制,最快确定攻击来源的关键。
只有做到多层防御战略、DNS服务器保护以及IT架构的可见性,企业才能使远离DDoS攻击,集中在业务的管理与处理。