你的企业能够从容应对日益肆虐的DDoS攻击吗?

日期: 2017-05-25 作者:张程程 来源:TechTarget中国

DNS水刑攻击、SSL泛洪攻击、勒索DoS攻击、高级持续性DDoS攻击、应用泛洪攻击……各类攻击每天都在发生。你的企业能够成功检测并拦截这些攻击吗?又能完全阻断IoT僵尸网络攻击吗?

可以说,仅做好应对“常见”DDoS攻击的准备已远远不够。如今网络攻击工具变得更易可得,那些对电脑编程或网络几乎一无所知的黑客们也有可能发起攻击,并造成严重的破坏。

利用高级持续性DDoS攻击活动,黑客可以发起多矢量混合攻击活动,这些攻击活动中包含更高流量的网络攻击以及更复杂的应用攻击。此外,近期的IoT威胁也催生了史上最大规模的DDoS攻击,进入了1T时代。鉴于这些新的高级威胁,确保DDoS防护解决方案能够有效保护企业、应用以及客户免遭越发复杂的攻击的侵扰变得更为重要。

威胁现有缓解技术的新攻击类型

在Radware2016-2017年全球应用及网络安全报告中,有关新的攻击类型给出了一些数据:

  • 由于企业中IoT设备应用的大幅增加,可以创建强大的僵尸网络。因此,IoT僵尸网络成为了企业面临的最大威胁之一。其中最引人注目的就是Mirai僵尸网络,此僵尸网络在2016年秋季发起了史上最大规模的DDoS攻击。该僵尸网络利用了在基于BusyBox的IoT设备中查找到的60多个出厂默认凭证,并生成了迄今为止最为强大的僵尸网络。Mirai引入了包括通用路由封装(GRE)洪水攻击和DNS水刑攻击等在内的新的复杂攻击方式。2017年,Hajime和BrickerBot等更多僵尸网络不断被披露出来,这表明僵尸网络已经开始影响到网络安全。
  • DNS攻击:对任何企业而言,DNS都是关键的基础架构组件。虽然企业和服务提供商都采取了安全措施来保护DNS基础架构的安全,攻击者仍然可以生成更复杂的攻击,对服务产生更多影响。老练的攻击者可以利用DNS协议行为生成更大规模的攻击,如:DNS水刑攻击和DNS递归攻击等。缓解这些攻击就需要能够了解并深入分析DNS流量行为的工具。
  • 突发式攻击和高级持续性拒绝服务(APDoS)攻击活动,包括随机间隔下短时爆发的大流量攻击,以及可以同时针对所有网络层的多个方式,并可能持续数周的攻击。这些类型的攻击很可能引发网络服务器的频繁中断从而降低SLA,并且阻止合法用户访问服务。
  • SSL/加密攻击:攻击者正在利用SSL协议来掩盖攻击,并使得网络和应用层威胁中的攻击流量以及恶意软件检测更加复杂,SSL攻击数量同比增长了10%。许多安全解决方案都采用了被动引擎来进行SSL攻击防护,这就意味着这些解决方案无法有效地将加密的攻击流量从加密的合法流量中区分出来,只能限制请求速率。
  • L7层应用攻击:随着IoT僵尸网络的出现,L7层攻击已经成为了越来越盛行的网络攻击(64%的企业)之一。这些攻击有两种类型:利用众所周知的超文本传输协议(HTTP)实现资源耗尽的应用DoS攻击,以及利用HTTPS、DNS、SMTP、FTP、VOIP和其它应用协议中漏洞发起的DoS攻击。跟针对网络资源的攻击一样,针对应用资源的攻击也有很多形式,其中包括泛洪攻击和“低幅慢速”攻击。
  • 勒索DDoS攻击:2016年,勒索赎金成为了攻击企业的首要目的,占去年所有网络攻击的41%。勒索拒绝服务(RDoS)攻击是勒索攻击的一种,在这种攻击中,攻击者首先会发送一封威胁要攻击企业的勒索邮件,除非在最后期限之前支付赎金,否则业务、操作或功能都将不可用。自2010年以来,这些攻击每年都在增加,而且通常是以分布式拒绝服务(DDoS)攻击的形式出现。RDoS攻击不需要攻击者侵入目标网络或应用,因此风险性更高。
  • 反射/放大式攻击:反射和放大式攻击利用了某些技术协议中请求和响应速率的不一致性。例如,攻击者可以将路由器作为放大器,利用路由器的广播IP地址功能将信息发送到多个IP地址,源IP(返回地址)就被诱骗到了目标IP。如果速率很高,这些响应就会生成迄今为止最大规模的大流量DDoS攻击。
  • 电话DoS (TDoS)攻击可以针对目标网络发起海量呼叫,占用系统,使其无法接收合法呼叫。近年来,这些攻击针对的是各类企业和公共实体,包括金融部门和其它公共应急部门。在2016-2017年全球应用及网络安全报告中,Radware就已经预测到,TDoS攻击的复杂性和重要性都会有所增加,这让很多人都倍感意外。
  • 动态内容和基于CDN的攻击:企业经常利用内容交付网络(CDN)提供商为全球站点和应用性能提供支持。但问题是,由于企业无法拦截来自CDN IP地址的流量,因此CDN就为攻击提供了特别隐秘的掩护。恶意攻击者采用了IP地址欺诈的方式,不仅可以混淆自己的身份,而且还可能伪装成看似合法的用户,这些用户是基于位置或与他们可以攻入的IP地址相关的正面声誉信息的。通过请求利用CDN节点进行简单传递的非缓存内容让源服务器过载,动态内容攻击还可以进一步利用基于CDN的防护措施的漏洞发起攻击。

企业在选择DDoS防护解决方案时,要确保所选解决方案能够防范这些威胁,因此一个既可以与不断变化的攻击类型保持同步,并能够全面覆盖所有DDoS攻击种类的动态解决方案必不可少。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

张程程
张程程

TechTarget中国编辑。专注报道企业级安全、网络领域的技术更迭和趋势变革,负责安全网站与网络网站的内容规划、组稿、原创和编辑。