DDoS攻击如此有效是其自身的复杂性所致

从可对于绝大多数企业的运行能力起着至关重要的作用,来说明DDoS作为一攻击方式为什么会得到如此的普及。

今天,可用性对于一个企业来说如同电一样重要。如果一个公司脱机了,意味着不能从消费者那里盈利,也无法使用到云数据和应用。如果被公众知道,这一故障将有损其企业的声誉和品牌形象。

黑客们努力找出公司的弱点,如对可用性的维护,然后在基础设施和现有安全防御中寻找能利用的薄弱点。就此看来,DDoS的确是一个好工具。DDoS攻击可分为三大类型:

容量耗尽攻击:这类攻击试图耗尽目标网络和服务内部、或目标网络和服务及互联网其他部分之间的带宽。这类攻击的目的就是造成带宽拥堵。

容量耗尽攻击首次出现在2001年,微软、eBay和雅虎都被当时“大型” 容量耗尽攻击影响而导致脱机,那次“大型” 容量耗尽攻击其实只有300Mbps,跟现在的容量耗尽攻击相比实在小得多。如今的DDoS攻击超过100Gbps,互联网服务供应商面临新的挑战,这使更多的企业思索如何保护公司的网络和基础设施。

Arbor从250多家服务供应商收集到网络数据显示,DDoS攻击很容易就能发展到更大的规模,比现在的规模要大得多。

2012年9月的攻击平均为1.67Gbps,与2011年9月相比增长72%

中等范围2-10Gbps的攻击次数也增加了,2012年到目前为止增加14.35%

超过10 Gbps的大型攻击,与2011相比增加90%

今年最大型的攻击为100.84Gb/秒

传输控制协议状态耗尽攻击:这类攻击试图耗尽许多基础设施组件内的连接状态表,如负载均衡器、防火墙和应用服务器自身。即使是能维持数以百万连接状态的大容量设备也能被这类攻击破坏崩溃。

事实上,Frost & Sullivan的分析专家Richard Martinez曾说过:“在面对DDoS挑战时,许多管理人员所作的共同反应是,相信他们的防火墙和入侵防御系统设施能保护他们免于受害。不幸的是,这是错的。防火墙和入侵防御系统设备在网络保护中的确起关键作用,但还不足以抵御复杂的DDoS攻击。”

应用层攻击:2010年DDoS发生了一次重大转变,从原先的大型容量耗尽攻击发展成更小型、更难察觉的应用层攻击,攻击目标是某一应用或7层服务的部分方面。这类攻击是最复杂也最诡秘的攻击,只需攻击一台机器就能成功造成低流量(这类攻击因此变得很难有效察觉和预防)。

现代DDoS是复杂性的威胁

每个类型的攻击都给网络运营商带来独有的挑战。最先能防御的攻击类型是容量耗尽攻击,可以通过云管理安全服务进行有效防御。瞄准现有基础设施的攻击和那些以应用为目标的“低速缓慢”型攻击是最难确定和防御的类型。近些年来,DDoS之所以成为一个如此有效的武器,主要是因为攻击复杂性上升、攻击类型、目标和技术的融合。

比如,美国金融机构受到的近期攻击。这次攻击采用多种矢量攻击工具,在超文本传输协议、超文本传输协议安全和域名服务器上发起应用层攻击,在传输控制协议、用户数据报协议、网间控制报文协议等其他协议上发起容量耗尽攻击。这类攻击的其他独有特点是,多家公司在同一垂直位置以超高带宽成为攻击目标。

缺乏防御力的个人网页网络应用服务器在攻击中作为bots病毒使用。另外,许多博客网站往往使用过时的TimThumb插件,这是得遭受攻击时几乎在同一时间就能丧失抵抗力。Joomla和其他个人网页应用也同样受此影响。黑客会往这些未受维护的服务器上传个人网页Webshell脚本攻击工具,然后利用这些脚本进一步部署攻击工具。黑客要么直接接入这些工具,要么通过中介服务器、代理服务器或脚本接入,因此惯用的管理和控制理念不适用。

这一复杂性迅速演变成攻击向量,需要专为此用途而制定的工具与云保护相结合,来提供综合保护,抵御大型攻击和以应用层为目标的攻击。我们不期望在未来几年看到DDoS再登上报纸头条,除非我们的最佳防御实践得到普遍部署。

“没有终局的成功,也没有致命的失败,重要的是继续前进的勇气。”温斯顿?丘吉尔的一句名言,他也曾给过一个重要的建议,信息技术安全专业人士应时刻保持警惕,将防御等级升级到能抵御最新威胁的防御水准。