DDoS攻击:绝对不容忽视的安全问题

  在网络安全界,DDoS攻击已经不是一个新鲜的名词。最早的DDoS攻击可以追溯到1996年,在中国DDoS攻击于2002年开始频繁出现,2003年已经初具规模。然而近几年,这个老生常谈的网络攻击方式却以新的攻击方式,给带来巨大的网络安全威胁。

  “事实上DDoS攻击并不是一个陌生的话题,但却是一个绝对不容忽视的安全问题。” 梭子鱼技术总监贾玉彬如是说道,“简单概述,目前DDoS攻击新趋势是:从TCP/IP层上移到了应用层。”

  根据 Gartner预测,DDOS攻击会占2013年所有的应用层攻击中的25%左右。基于应用层的DDOS攻击每年以三倍的速度增长。在过去,DDOS攻击使用大量伪造的UDP, TCP SYN, 或者ICMP流量来意图淹没目标网络。然而,当今的攻击平台已经进化到包含应用层的DDOS攻击,目标是Web系统和DNS系统。

  贾玉彬表示:“随着攻击手段和攻击目标的变化,将使得任何一个互联网上的应用都可能会成为攻击目标,70%以上的为随机受害者。”在他看来,目前DDoS攻击的手段和方式主要有三种:

  1、大流量型攻击,主要凭借大量的僵尸网络和应用层DDoS攻击受害者的Web应用,例如大流量访问需要消耗大量系统资源的url,从而导致Web应用崩溃;

  2、匿名者组织,这个组织通过社交网络组织大量人力并提供LOIC和JS LOIC两种工具,这些来自社交网络的人员都是真真正正的人而不是僵尸主机,所以这种攻击更难于防范;

  3、慢客户端攻击,这种利用了HTTP协议本身的缺陷,只需要非常少量的资源即可快速使目标受害者的站点陷入瘫痪,典型的工具如 Slowloris,目前这种攻击目前非常流行,从协议的合规性分析,这种攻击流量是正常的流量,所以依靠特征库和黑名单技术的防护设备检测不出这种攻击。

  面对呈现新形式的DDoS攻击,贾玉彬指出中国在抵御DDoS攻击方面所做的工作仍有很大的提升空间;“目前,大部分的企事业单位还停留在防御对网络层的DDoS的攻击防护或者是对大流量攻击的防护,这显然是不够的。”

  对此,贾玉彬也为在如何防御DDoS攻击方面提出了建议。他指出,防御DDoS攻击需要重点做好两个方面防御措施:

  1、部署边界网络防火墙和IPS,过滤网络层的DDoS攻击;

  2、部署Web应用防火墙(WAF),防御对应用层的DDoS攻击进行防护,前提是部署的WAF需要支持对僵尸(主机)网络攻击的识别和防护、慢客户端攻击的防护、匿名者攻击的防护。

  不管怎样,当DDoS这种看似陈旧过时的攻击以新的攻击方式卷土重来的时候,如果不进行有效主动防御,那么本身就将有可能成为网络安全问题的一部分。对而言,这是一个绝对不容忽视的安全问题。

(0)

相关推荐

  • 如何解决交换机的DDoS攻击与内网服务器DDoS攻击的问题

    有过网吧或机房管理经验朋友肯定知道,机器中的病毒是很让人头疼的事情,尤其是内网服务器DDoS攻击和交换机的DDoS攻击,直接影响网吧网络的安全问题,分享解决这个问题的方法。 1、在PC上安装过滤软件 ...

  • 如何摆平交换机的DDoS攻击的问题

    有过网吧或机房管理经验朋友肯定知道,机器中的病毒是很让人头疼的事情,尤其是内网服务器DDoS攻击和交换机的DDoS攻击,直接影响网吧网络的安全问题,分享解决这个问题的方法。 1,在PC上安装过滤软件 ...

  • 无线局域网DDoS攻击技术包括那些技术要点

    无线局域网DDoS攻击技术包括那些技术要点

  • 交换机遭遇DDoS攻击该如何来解决?

    一个局域网内有一台机子中了病毒,如果不及时杀毒和隔离,其他的机子很快便会感染病毒.一旦病毒感染全场机器,轻则断网杀毒,投入大量人力物力反复检查;重则系统破坏,网吧被迫停业.网吧业主对病毒可谓谈之色变, ...

  • 怎么理解DOS和DDOS攻击 又该如何防范?

    对于租用服务器建站的朋友来说,可能经常会听到DOS攻击.DDOS攻击等事件.不过,想必很多站长都把DOS攻击等同于DDOS攻击,认为这两者是相同的.其实,这个一个错误的理解. 操作方法 01 我们常说 ...

  • Freebsd+IPFW结合使用防小规模DDOS攻击的配置方法

    由于服务器分布太散,不能采用硬件防火墙的方案,虽然IPtables功能很强大,足以应付大部分的攻击,但 Linux系统自身对DDoS攻击的防御力本来就弱,只好另想办法了。 一、Freebsd的魅力 发 ...

  • Win2000通过修改注册表提高抗DDOS攻击能力

    拒绝服务攻击(Distributed Denial of Service)。 所谓拒绝服务,是指在特定攻击发生后, 被攻击的对象不能及时提供应有的服务,例如本来应提供 网站服务(HTTP Servic ...

  • DDoS攻击服务器的原理

    在服务器遭遇的攻击中,DDoS(DistributedDenialofService,分布式拒绝服务)攻击是一种非常可伯的黑客行为,它可以让一个大型服务器群也能很快地出现访问故障。随着Internet ...

  • linux下防DDOS攻击软件及使用方法详解

    互联网如同现实社会一样充满钩心斗角,网站被DDOS也成为站长最头疼的事。在没有硬防的情况下,寻找软件代替是最直接的方法,比如用 iptables,但是iptables不能在自动屏蔽,只能手动屏蔽。 一 ...