很多由僵尸网络驱动的DDoS攻击利用数以万计的受感染物联网,向受害者网站发送大量流量作为攻击手段,最终造成严重后果.防御手段的不断创新,使得这种分布式拒绝服务攻击也改变了自己的战术,从大流量到“小流量”。一份数据显示,今年第三季度,5Gbit/s及以下的威胁数量同比增长超过3倍。教会企业抵御小流量DDoS攻击的三种方法(图片来自mticollege.edu)Gartner指出,到2020年,全球将有超过200亿台物联网设备连接,平均约有550万台设备加入网络环境每天。届时,超过一半的商业系统将内置物联网组件。在这方面,传统的桌面安全和本地防火墙难以抵御新的网络攻击。黑客只需要拦截某个连接工具就可以切入设备。越来越多的物联网设备正在成为DDoS菜,隐私逐渐成为网络交互的重要组成部分。如今,勒索病毒和各种流氓软件随处可见,许多攻击手段变得难以察觉。因此,物联网的加密措施至关重要。由于小规模攻击不依赖流量取胜,其隐蔽性会更强,一般的安全监控很难发现。此外,对于电商、金融等对网络状态高度敏感的业务形态,应该有专门的服务来阻断DDoS。应用层和协议层的攻击正在成为主要威胁,攻击者可以发起多维向量攻击。调查显示,超过86%的DDoS保护服务遇到的攻击使用两个或更多威胁向量,其中8%包含五个或更多向量。攻击类型和目标的细分使得应用威胁不同于容量威胁。前者需要的流量很小,可以用每秒的请求数来计算,代表针对HTTP和DNS的攻击。早在两年前,就有数据显示,网络层DDoS攻击已经连续几个季度呈下降趋势,而应用层攻击每周超过千次。或许小规模的攻击不会瞬间打垮业务、瘫痪网站,但长期来看还是会带来安全问题,尤其是目前越来越多的数据被赋予个人标签,商家需要这些信息对用户进行画像分析。这使得数据对黑客来说更有价值。对于服务商来说,这些小小的DDoS攻击也会影响服务质量,比如网络拥堵,而在体验至上的时代,这种差异足以让客户流失。因此,随之而来的重要问题是,如何有效抵御或遏制DDoS攻击?首先,用户要尽量了解攻击从何而来,因为黑客在攻击时调用的IP地址不一定是真的,一旦掌握了真实的地址段,就可以找到对应的代码段来隔离或临时过滤。同时,如果接入核心网的端口数量有限,也可以对端口进行屏蔽。比起被攻击后筋疲力尽,拥有完备的安全机制无疑更好。有些人可能会选择大规模部署网络基础设施,但这种方法只能延缓黑客攻击的进度,并不能解决问题。相比之下,最好“屏蔽”那些区域或临时地址段,以降低被攻击的风险。此外,还可以在骨干网和核心网的节点上设置防护墙,在发生大规模攻击时,降低主机被直接攻击的可能性。考虑到核心节点的带宽通常较高,容易成为黑客重点“关照”的位置,因此定期对现有主节点进行扫描,发现可能导致风险的漏洞非常重要。根据之前的信息和从安全厂商那里了解到的信息,多层防御DDoS攻击的方法还是适用的。例如,常驻防护设备必须24小时主动检测各类DDoS攻击,包括流量攻击、状态耗尽攻击、应用层攻击等;为避免上述防火墙等设备的弊端,用户应选择无状态表架构防护设备利用云平台和大数据分析,积累并快速检测攻击特征,建立指纹知识库,帮助企业及时发现并阻断恶意流量攻击。还是有一些像上面这样的防御手段,比如限制SYN/ICMP流量,过滤所有RFC1918IP地址等等,但是归根结底还是要有效遏制病根,不要等着出了问题寻找解决方案,这也是DDoS攻击“应有尽有”的原因。随着企业数据规模的快速增长,对业务敏捷性和安全性的要求越来越高,网络防护的责任将空前巨大,如何有效应对不再是一两家厂商的事。在跨平台、多环境场景下深入挖掘,可以找到更可靠的安全防护措施。
