??? 也許很多人還沒有注意到��,據(jù)Arbor Networks的統(tǒng)計(jì)�����,2008年僵尸網(wǎng)絡(luò)的拒絕服務(wù)攻擊超過了每秒40GB的限度���。這也就是說����,當(dāng)前的僵尸網(wǎng)絡(luò)的攻擊規(guī)模已經(jīng)達(dá)到一個(gè)僵尸網(wǎng)絡(luò)有190萬臺僵尸電腦的程度����,而僵尸網(wǎng)絡(luò)的拒絕服務(wù)攻擊是最難防御的攻擊之一。因此��,這也是拒絕服務(wù)攻擊成為勒索者試圖把在線商家作為人質(zhì)獲取贖金的常用手段的原因��。這對于犯罪分子來說是一筆大買賣���,而且這個(gè)生意很興隆�。
??? 下面這種情況就很常見:犯罪分子利用一個(gè)僵尸網(wǎng)絡(luò)大軍滲透和消除對于你有價(jià)值的服務(wù)��。攻擊目標(biāo)的范圍包括僅用一個(gè)拒絕服務(wù)攻擊使你的一臺重要服務(wù)器達(dá)到飽和或者使你的互聯(lián)網(wǎng)連接達(dá)到飽和���,有效地中斷你的全部互聯(lián)網(wǎng)服務(wù)��。在某些情況下����,這些壞蛋首先發(fā)起攻擊,中斷網(wǎng)絡(luò)服務(wù)���,然后要求支付贖金�。有時(shí)候���,這些壞蛋僅僅發(fā)出贖金的要求,并且威脅說如果不在某日之前滿足他們的要求��,他們將中斷攻擊目標(biāo)的網(wǎng)站����。
??? 當(dāng)然,這些可能對我們來說已經(jīng)不是什么新鮮事了��。但是��,如果你遭到過僵尸網(wǎng)絡(luò)的拒絕服務(wù)攻擊或者遭到過多次這種攻擊��,你是否想過你和你的公司應(yīng)該采取什么措施嗎?你如何準(zhǔn)備應(yīng)對這種類型的攻擊?許多公司(包括大企業(yè)和小企業(yè))都這樣對待這個(gè)問題�����,他們解釋說"我們沒有黑客要的東西"或者"我們是小目標(biāo)��,不值得這樣麻煩"。在某些情況下�����,這種事情是非常真實(shí)的�,就是拒絕服務(wù)攻擊的風(fēng)險(xiǎn)不值得安全投資。但是�����,在許多情況下����,這種想法是一種危險(xiǎn)的錯誤。這種風(fēng)險(xiǎn)實(shí)際上比想象的要大��。如果我從一個(gè)壞蛋的角度考慮這個(gè)問題����,我在追求一二樣?xùn)|西,金錢或者名譽(yù)���。如果你能夠提供其中任何一樣?xùn)|西���,你就有機(jī)會成為攻擊目標(biāo)����。
??? 因此���,現(xiàn)在我們就來解決這個(gè)問題��。你如何能夠打敗一個(gè)僵尸網(wǎng)絡(luò)的拒絕服務(wù)攻擊?這個(gè)答案取決于你遇到的拒絕服務(wù)攻擊的類型����、你的網(wǎng)絡(luò)基礎(chǔ)設(shè)施��、你擁有的安全工具和其它變量����。盡管在你的獨(dú)特的環(huán)境中你如何防御拒絕服務(wù)攻擊有許多變量����,但是,強(qiáng)調(diào)一些最流行的策略是有價(jià)值的����。
??? 下面是打敗拒絕服務(wù)攻擊的一些技巧。其中有些方法過去在防御拒絕服務(wù)攻擊中取得了成功�。有些方法是全新的����,但是�����,提供了一種非常令人心動的解決方案����。
??? 由ISP提供的拒絕服務(wù)攻擊防御產(chǎn)品或者拒絕服務(wù)攻擊服務(wù)
??? 這種防御策略是通常是最有效的,當(dāng)然也是最昂貴的���。許多ISP(互聯(lián)網(wǎng)服務(wù)提供商)為你的互聯(lián)網(wǎng)鏈路提供某種方式的云計(jì)算拒絕服務(wù)攻擊保護(hù)���。這個(gè)想法是ISP在允許通訊進(jìn)入你的互聯(lián)網(wǎng)線路之前先清理你的通訊。由于這種防御是在云計(jì)算中完成的���,你的互聯(lián)網(wǎng)鏈路不會被拒絕服務(wù)攻擊阻塞���。不被阻塞至少是這個(gè)防御的目標(biāo)。再說一次����,沒有一勞永逸的高明辦法�。
??? 這種服務(wù)也可以由第三方在云計(jì)算拒絕服務(wù)攻擊防御服務(wù)中提供���。在發(fā)生拒絕服務(wù)攻擊時(shí)��,他們把你的通訊轉(zhuǎn)移到他們那里���。他們清理你的通訊然后再把這些通訊發(fā)回給你。這一切都是在云計(jì)算中發(fā)生的��,因此�����,你的互聯(lián)網(wǎng)線路不會被阻塞�����。ISP提供的拒絕服務(wù)攻擊服務(wù)的例子包括AT&T的互聯(lián)網(wǎng)保護(hù)服務(wù)和Verizon Business提供的拒絕服務(wù)攻擊防御減輕服務(wù)�。
??? RFC3704過濾
??? 基本的訪問控制列表(ACL)過濾器�。RFC3704的主要前提是數(shù)據(jù)包應(yīng)該來自于合法的、分配的地址段��、與結(jié)構(gòu)和空間分配一致。要達(dá)到這個(gè)目的���,有一個(gè)全部沒有使用的或者保留的IP地址的列表����。這些地址是你從互聯(lián)網(wǎng)中永遠(yuǎn)看不到的��。如果你確實(shí)看到了這些地址�,那么,它肯定是一個(gè)欺騙的源IP地址�,應(yīng)該丟棄。這個(gè)列表的名稱是Bogon列表��,你應(yīng)該咨詢一下你的ISP����,看他們是否能在這個(gè)欺騙的通訊進(jìn)入你的互聯(lián)網(wǎng)鏈路之前在云計(jì)算中為你管理這種過濾。Bogon列表大約每個(gè)月修改一次�����。因此�,如果ISP沒有為你做這個(gè)事情,那么���,你必須自己管理你的Bogon訪問控制列表規(guī)則(或者找另一家ISP)��。
??? 黑洞過濾
??? 這是一個(gè)非常有效的常見的技術(shù)�。一般來說,這需要與你的ISP一起做���。RTBH(遠(yuǎn)程觸發(fā)黑洞)過濾是一種能夠提供在不理想的通訊進(jìn)入一個(gè)保護(hù)的網(wǎng)絡(luò)之前放棄這種通訊的能力的技術(shù)����。這種技術(shù)使用 BGP(邊界網(wǎng)關(guān)協(xié)議)主機(jī)路由把發(fā)往受害者服務(wù)器的通訊轉(zhuǎn)接到下一跳的一個(gè)null0接口��。RTBH有許多變體�����,但是�,其中一個(gè)變態(tài)值得特別關(guān)注。與你的ISP一起試試RTBH過濾��,讓他們?yōu)槟阍谠朴?jì)算中放棄那種通訊��,從而防止拒絕服務(wù)攻擊進(jìn)入你的通訊線路��。
??? 思科IPS 7.0源IP聲譽(yù)過濾
??? 思科最近發(fā)布了IPS 7.0代碼更新�����。這個(gè)升級包括一個(gè)名為全球關(guān)聯(lián)的功能�。簡言之,全球關(guān)聯(lián)功能檢查它看到的每一個(gè)源IP地址的聲譽(yù)得分��。如果這個(gè)來源的聲譽(yù)不好�����,入侵防御系統(tǒng)(IPS)的傳感器就可以放棄這個(gè)通訊或者提高一個(gè)點(diǎn)擊的風(fēng)險(xiǎn)級別值��。下面是思科對全球關(guān)聯(lián)功能的解釋:
??? IPS 7.0包含一個(gè)名為"思科全球關(guān)聯(lián)"的新的安全功能��。這個(gè)功能利用了我們在過去的許多年里收集的大量的安全情報(bào)�����。思科IPS將定期從思科SensorBase網(wǎng)絡(luò)接收威脅更新信息���。這個(gè)更新的信息包括互聯(lián)網(wǎng)上已知的威脅的詳細(xì)信息�,包括連續(xù)攻擊者����、僵尸網(wǎng)絡(luò)收獲者����、惡意爆發(fā)和黑網(wǎng)(dark nets)等���。IPS使用這個(gè)信息在惡意攻擊者有機(jī)會攻擊重要資產(chǎn)之前過濾掉這些攻擊者��。IPS然后把全球威脅數(shù)據(jù)結(jié)合到自己的系統(tǒng)中以便更早地檢測和防御惡意活動�。
??? 當(dāng)然���,你可以設(shè)置全球關(guān)聯(lián)�,這樣的話�����,你的傳感器就能夠知道有惡意活動聲譽(yù)的網(wǎng)絡(luò)設(shè)備�����,并且能夠?qū)@種設(shè)備采取行動����。
思科調(diào)整SensorBase的方法之一是接收來自思科7.0 IPS傳感器的信息�����。企業(yè)可以選擇使用這個(gè)程序,也可以選擇不適用這個(gè)程序����。思科IPS使用的SensorBase有不同的威脅種類。其中兩種是僵尸網(wǎng)絡(luò)收獲者和以前的拒絕服務(wù)攻擊實(shí)施者�。
??? 因此,當(dāng)你遭到僵尸網(wǎng)絡(luò)拒絕服務(wù)攻擊的時(shí)候�,這個(gè)傳感器將放棄所有的來至聲譽(yù)不良的來源的通訊。這個(gè)過程在使用這種特征之前就開始了�,對于傳感器資源(處理器、背板等)來說是非常便宜的�����。這使它成為在拒絕服務(wù)攻擊期間使用的一個(gè)理想的方法��。這也是思科IPS在處理IPS特征之前檢查SensorBase的原因����。
??? 許多僵尸網(wǎng)絡(luò)拒絕服務(wù)攻擊使用通向你的網(wǎng)絡(luò)服務(wù)器的SSL(安全套接字層)。這有助于攻擊者隱藏其負(fù)載���,防止你可能擁有的檢測引擎的檢查����。然而,考慮到全球關(guān)聯(lián)僅使用源IP地址的聲譽(yù)得分做出決定��,防御SSL分布式拒絕服務(wù)攻擊是沒有問題的��。沒有任何其它廠商為自己的IPS解決方案增加基于聲譽(yù)的檢查功能�,因此,它們不能防御任何形式的SSL分布式拒絕服務(wù)攻擊�。一些IPS廠商確實(shí)能夠能通過解密傳輸中的數(shù)據(jù)打開和查看SSL數(shù)據(jù)包內(nèi)部。然而�����,這個(gè)過程在IPS資源(處理器��、背板�����、內(nèi)存等)方面太昂貴�,不能用于分布式拒絕服務(wù)攻擊。它會迅速消除傳感器本身的通訊瓶頸���。
??? 當(dāng)然����,如果這個(gè)分布式拒絕服務(wù)攻擊阻塞了你的鏈路����,這個(gè)策略可能就不起作用。但是�����,如果分布式拒絕服務(wù)攻擊僅僅阻塞了部分服務(wù)器�����,而沒有阻塞整個(gè)網(wǎng)絡(luò)���,那就表明這個(gè)防御措施的作用很好���。全球關(guān)聯(lián)不是一個(gè)妙方,而是你的工具箱中的另一個(gè)工具���。
??? IP源防護(hù)
??? 這個(gè)問題不是五大主要問題的一部分�,不過�����,這個(gè)問題仍然值得一提。這個(gè)技巧是打開你的交換機(jī)中的IP源防護(hù)功能��。這個(gè)功能可以阻止主機(jī)在變成僵尸電腦的時(shí)候發(fā)出欺騙性的數(shù)據(jù)包�。這不是一個(gè)防御工具,而是一個(gè)守法公民工具�,盡管它能夠阻止內(nèi)部的欺騙性的分布式拒絕服務(wù)攻擊。
??? 如果每一家公司都打開IP源防護(hù)功能�,它就能夠幫助減少我們遇到的欺騙性分布式拒絕服務(wù)攻擊的數(shù)量。啟用IP源防護(hù)功能的一項(xiàng)增加的好處是能夠幫助你找到你的網(wǎng)絡(luò)中已經(jīng)成為僵尸網(wǎng)絡(luò)一部分的主機(jī)�。當(dāng)這個(gè)惡意軟件發(fā)動欺騙性攻擊的時(shí)候,這個(gè)交換機(jī)端口能夠自動鎖死��,并且向你的安全監(jiān)視站點(diǎn)報(bào)告這個(gè)事件�。或者你報(bào)告這個(gè)事件并且保持打開這個(gè)端口�����,但是���,除了真正的IP地址源通訊之外��,放棄所有的通訊�。
關(guān)鍵詞標(biāo)簽:拒絕服務(wù)攻擊
火絨安全軟件開啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速
火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法
網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程