随着网络安全形势的日益严峻以及网络攻击复杂程程度和恶意程度的不断加深,安全的责任问题就变得越来越重要。事实上,尽管那些备受瞩目的网络攻击会招来各种指责,但是要确定被指责的对象是一件超乎大多数人想象的困难的事情。
Radware专家表示,在他们的职业生涯中,许多客户都曾向他们寻求帮助,通过收集攻击数据将攻击者绳之以法。遗憾的是,懂行的攻击者通常会利用很多工具来避免被追踪,从而逃脱为自己的行为承担责任。IP欺诈、入侵服务器以及僵尸网络是攻击者最常用的三种策略,这使得对网络攻击的追踪变得非常困难。
IP欺诈
互联网协议也就是通常所说的IP被用于互联网的各个角落。它的最初设计目的是在部分网络突然中断时能够保证网络的互操作性和容错能力,安全性并没有被考虑在内。每个IP数据包都有一个包头,路由器和其它设备据此可以知道数据包的来源以及目的地是哪里。目的地设备根据源IP地址信息来确定响应数据包应该如何返回。更改数据包头内容是件轻而易举的事。
攻击者伪造数据包头中的源IP地址的方法被称为IP欺诈。这是一种很常见也易于实现的攻击手段。尤其在DDoS攻击中,攻击者通常将数据包的源IP地址指向被攻击目标。可以预见的攻击结果是受害者将会收到来自互联网的大量响应数据包,这些响应数据包风暴将会减慢或阻断合法网络流量的传输。有的时候,攻击数据包会直接发给攻击目标中的某个IP地址,而攻击数据包的源地址则会使用无辜的第三方的IP地址。不过源IP欺诈也有一定的局限性,它不能建立双向通信,这使得它不适用于较为复杂的攻击行为。
入侵服务器
在出现僵尸网络之前,攻击者远程侵入服务器最常见的手段就是利用操作系统漏洞进行攻击。通过在服务器上安装恶意软件,攻击者得以隐藏其活动证据,并在连接失败之后仍然可以更容易地重新访问服务器。
一旦恶意软件被成功安装,攻击者就可以从被感染的服务器上发起攻击,同时攻击者会删除日志信息以掩盖攻击踪迹。精明的攻击者会入侵多个服务器,以创建一个没有日志记录的冗长服务器串,使得调查者难以找到攻击者的来源。系统管理员必须成为安全专家,安装补丁并更改配置,以保护他们的系统免受攻击。
僵尸网络
当高速互联网访问不再局限于服务器时,工作站就成为了黑可更好的攻击目标。信息安全部门不会密切监控这些工作站,而且这些工作站的系统漏洞通常也没有完全修复。此外,很少有管理员愿意投入大量时间去研究工作站的异常事件。
创建、管理、租用和利用大量被感染的电脑是一项庞大的工程。僵尸网络经常被用于各种目的的攻击,如:进行DDoS攻击、网络入侵、恶意软件传播以及其它网络犯罪。通过僵尸网络成员与受害者网络之间的网络流量,可以非常容易地跟踪到被感染的电脑,但是人们所能追踪到的也只是被感染的受害者。另外的方法就是对命令和控制数据流进行分析,但是精明的僵尸网络操控者并不会将数据流直接从自己家的电脑直接发送到被控制的僵尸网络节点上。
命令和控制数据流通常会使用诸如IRC、Twitter、IM或点对点网络这样的隐秘通道。同时,命令和控制服务器往往比较分散,通常利用fast-flux DNS方法进行隐藏,利用被攻破的服务器作为代理服务器实现对僵尸网络的控制。
如何保护企业安全无忧
非常遗憾的是网络运营商和执法部门经常无法抓获那些狡猾的犯罪分子。企业应当采用适当的策略、规章制度和技术来保护自己。提供网络行为分析、DoS缓解和IP信誉服务等功能的强大的边界防护方案可以与应用感知安全方案共同协作,提供全面的安全防护。
Radware专家指出,作为全球领先的虚拟数据中心和云数据中心应用交付和应用安全解决方案提供商,Radware可以为企业安全提供全方位的保护。 Radware的攻击缓解系统(AMS)是一种实时网络和应用攻击缓解解决方案,能够实时保护应用基础架构免遭网络和应用故障中断、应用安全漏洞利用、恶意软件传播、信息盗用、Web服务及网页篡改等攻击的侵扰,全面保护网络、服务器和应用。