DOIT 发表于:13年09月26日 16:10 [综述] DOIT.com.cn
现在,几乎所有组织都需要 Internet 访问。一些组织完全依赖于这种访问来实现业务连续性,其他组织的依赖程度较轻。不过如果 Internet 服务中断,几乎所有组织都会受到某种影响(更重要的是,会产生成本)。为了确保不发生这种情况,组织对冗余设备、连接和数据中心服务进行投资。但是,这其中没有一种冗余可防护针对 Internet 服务可用性的领先威胁—DDoS 攻击。
DDoS 攻击自出现以来已超过十年,在过去几年内成为更广泛的组织的重要业务风险。意识形态黑客主义的崛起促使 DDoS 攻击以政府、教育机构、企业甚至是慈善组织为目标。对这些攻击进行的媒体报道使我们所有人对这种风险有了更多认识。这实现了攻击者宣传其意图这一目标,因而 DDoS 肯定将继续用作抗议武器。DDoS 还越来越多地用作竞争企业之间的竞争武器,并成为其他网络犯罪(如财务欺诈或数据窃取(15 % 的 WISR 调查受访者指出了这两种动机)的组成部分。
为企业和服务提供商网络(包括世界上绝大多数 Internet 服务提供商和当前使用的许多最大型企业网络)提供网络安全和管理解决方案的领先提供商Arbor Networks为此对针对服务可用性的不断演变的威胁——DDoS做了详细的调查分析。
DDoS 攻击背后的动机已更加多样化(请参见以下信息图),从而导致更加频繁地针对更多组织。如果面向 Internet 的服务或基于云的服务访问对企业十分重要,那么现在便应将 DDoS 纳入业务风险规划活动。
DDoS 攻击的目标有哪些?看看 WISR 统计数据,服务提供商可发现有 78% 的受监视攻击以其客户为目标,其中电子商务/ 企业客户(这些客户可能损失最大)是最常见的目标类型(请参见图 1)。
DDoS 攻击通常仍被认为是可导致网络拥塞的大型流量突发,从而阻止真实的客户流量传达到服务。这些“容量”攻击是主要 DDoS 攻击类别之一,可经常发生。容量攻击仍非常受攻击者喜爱。它们可有效地压制组织的 Internet访问能力,从而使任何边界防御无效。这些攻击的规模可能非常大;2010 年、2011 年和 2012 年中检测到大约100 Gbps 的攻击(请参见图 2)。2013 年已检测到创纪录的 300 Gbps 攻击,这将在本文后面部分更详细地讨论(虽然未报告给 ATLAS 系统)。
关键问题在于,大型攻击比您所想象的更加常见;仅在 2013 年 1 季度,Arbor 的 ATLAS 系统便跟踪到 600 多个大于 10 Gbps 的容量攻击。另一个值得关注的方面是容量攻击的平均大小越来越大。根据 2013 年上半年的 ATLAS 数据,平均大小为 2.12 Gbps —足以使许多组织的 Internet 连接达到饱和(请参见信息图 2)。为了抵御这些攻击,最终用户组织越来越多地转变为使用基于云的 DDoS 防护。41% 的服务提供商 WISR 受访者提供了这些服务。
但是,容量 DDoS 攻击仅仅是一种攻击类别。应用程序层 DDoS 攻击也在过去几年中日益普遍。事实上,有 86%的 WISR 服务提供商受访者在 2012 年检测到针对 Web 服务的应用程序层攻击,另有 37% 的受访者检测到针对加密 HTTPS Web 服务的攻击。
应用程序层攻击可能十分隐蔽和复杂,并使用难以与真实用户流量区分的流量。这些攻击以第 7 层的服务为目标,可以攻击该服务提供的 Web 服务器、应用程序或内容(例如登录子系统、财务结果的重复下载、产品目录的复杂查询等)。
最有效的 DDoS 攻击类型往往同时与多种攻击平台混合在一起(例如“燕子行动”攻击)。这些多平台攻击已变得更为常见,有 46 % 的 WISR 受访者在 2012 年报告过这种攻击。多平台攻击以第 7 层和部署的容量/ 基础设施上的服务为目标。虽然这些攻击已经成功(因而得到发展),但是企业可以使用合适的分层 DDoS 防御抵御这些攻击。DDoS 攻击对 Internet 服务可用性构成了重大威胁。组织应保护其面向 Internet 的服务并确保其数据中心(无论是否在内部进行管理)受到充分保护。