互联网最大单一威胁 DDOS已成网络公害

2009-05-12 04:33:34来源:未知 阅读 ()

新老客户大回馈,云服务器低至5折

  2008年随着Web2.0的继续兴盛,以及股票、证券等热点话题的持续升温,使得基于网络应用的各种电子商务、金融、电信、门户网站等企业面临更加严峻的安全形势。

  从前几年的Yahoo、亚马逊、CNN及最近淘宝等为代表的被攻击事件可以看出,分布式拒绝服务攻击(DDoS)的技术发展非常迅速,所造成的破坏也更加严重。目前已成为大型网站和网络服务器运营商的一项主要安全威胁。

  DDoS已成网络公害

  DDoS被设计为通过暴力手段淹没目标网络的行为,从而使受害者无法处理合法的请求。在多种表现形式中,通常我们看到的是流量拥塞和带宽消耗,而不是应用资源。

  东软网络安全产品营销中心副总经理李青山指出:“就当前攻击的形势和特点来看,拒绝服务攻击中尤以DDoS的破坏力最强,攻击效率最高,危害也更为严重。DDoS尤其对企业的网络型业务构成的威胁最为严重,造成的经济损失也十分巨大。它同时也是一种很难用传统办法去防护的攻击手段,服务器、带宽都是它的攻击目标。和交通堵塞一样,DDoS已经成为一种网络公害。”

  Arbor Networks联合创始人及CTO罗马伦博士表示,DDoS攻击并不是什么新发现,其强度和大众化在过去十年中伴随僵尸网络Botnets的上升而不断增长。僵尸网络提供DDoS所需的“火力”:带宽、计算机以及网络基础设施等攻击。在2006年,大约占总数一半的僵尸网络中,至少发生了一次DDoS攻击。

  Arbor Networks的一份全球网络基础设施报告显示,僵尸网络及DDoS攻击已经成为对互联网服务提供商(ISP)网络今天最大的单一威胁。

  Arbor Networks公司观察到的网络用户最大的持续DDoS攻击,在2003年是2.5Gbps,到2008年最大的持续袭击规模超过40Gbps。使互联网服务供应商感到事态更加复杂的一个事实是,中级“业余”攻击和多达数十Gbps的“专业”攻击差距日益扩大,其中涉及成千上万的僵尸主机。

  在过去几年里,大部分一级和二级网络服务供应商完成重大投资的骨干基础设施,升级链接到OC192(10Gbps的网络)以及更高。然而,互联网服务供应商调查报告显示持续攻击超过24Gbps,这已经达到了带宽资源的两倍以上。(如图所示)

  

 

  指纹共享与流量清洗

  这种新的利用僵尸网络的DDoS攻击已经给服务供应商网络带来了非常严重的后果。由于互联网的性质,DDoS攻击永远不可能被停止。即使没有僵尸和复杂的工具,任何人都可以用一些手段鼓励网民同时访问一个网站,建立一个有效的洪水般的流量,以扰乱该网站的稳定。

  如果异常流量是截然不同的,那么它可以被丢弃在网络入口点,尽量不妨碍正常流量。例如,要在上游路由器过滤所有ICMP回应以中断Flooding袭击。即使当攻击发送随机的数据包时,“不寻常”的网络流量也可以放心丢弃,降低到安全带宽。李青山指出:企业若要寻求真正有效的解决方案,应当从两方面着手:第一、减少企业内部的网络服务使用,例如杜绝P2P下载、禁止登录未知网站等。第二、选择一套智能化的防护系统,在不改变网络原有架构的前提下,实现动态防护,从根本上解决DDoS的防护问题和其他隐蔽攻击问题。

  罗马伦博士说,衡量DDoS攻击主要方式,可以通过ATLAS系统,并结合Arbor Peakflow部署的客户数据和Darknet传感器,观察检视恶意流量穿越骨干网的情报。

  另外,恶意流量清洗策略可以说是应付大规模DDoS攻击最成功的策略,是采取多方位手段的组合。如果来源的IP地址可确定,攻击应该被阻断在源头上;或如果ISP无法联系源头,路由策略可以用来减少攻击通路(通过执行单播反向路径转发的路由器)。根据攻击类型,防御技术如SYN Proxy同步代理一样也可以工作。此外,不同级别的流量可以在线速DPI过滤设备上整型限速到可接受的水平。

标签:

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有

上一篇:站长在社区盈利过程中常犯的一些错误

下一篇:站长的另一种活法——赚并快乐着