免费视频淫片aa毛片_日韩高清在线亚洲专区vr_日韩大片免费观看视频播放_亚洲欧美国产精品完整版

斬?cái)郉DoS魔掌的六把利刃2012-01-30 12:10:08  來(lái)源:TechTarget中國(guó)    編輯:曉文雖然DDoS（分布式拒絕服務(wù)攻擊）早已是黑客的重量級(jí)武器，但其性質(zhì)和影響卻是今非昔比了。它已經(jīng)成為眾多通過(guò)網(wǎng)絡(luò)從事業(yè)務(wù)的公司的重要威脅，它變得更強(qiáng)大、更具有針對(duì)性，也更加復(fù)雜，會(huì)嚴(yán)重的影響企業(yè)的信譽(yù)。雖然DDoS（分布式拒絕服務(wù)攻擊）早已是黑客的重量級(jí)武器，但其性質(zhì)和影響卻是今非昔比了。它已經(jīng)成為眾多通過(guò)網(wǎng)絡(luò)從事業(yè)務(wù)的公司的重要威脅，它變得更強(qiáng)大、更具有針對(duì)性，也更加復(fù)雜，會(huì)嚴(yán)重的影響企業(yè)的信譽(yù)。而且，一些業(yè)余黑客也能夠發(fā)動(dòng)該攻擊，或者利用僵尸網(wǎng)絡(luò)為其工作。由于DDoS已經(jīng)發(fā)生了明顯的變化，傳統(tǒng)的DDoS減輕策略，如提供充足帶寬，防火墻，入侵防御系統(tǒng)等設(shè)備都無(wú)法充分保護(hù)企業(yè)網(wǎng)絡(luò)、應(yīng)用程序和服務(wù)。本文在充分總結(jié)世界知名企業(yè)挫敗DDoS攻擊和其它攻擊的基礎(chǔ)上，提出了可以幫助企業(yè)有效應(yīng)對(duì)DDoS攻擊，同時(shí)最小化其對(duì)企業(yè)運(yùn)營(yíng)影響的六大最佳方法。DDoS的變化為什么成千上萬(wàn)的公司花費(fèi)大量的人力物力苦苦維護(hù)和恢復(fù)其網(wǎng)絡(luò)服務(wù)，但每年仍有大量公司由于DDoS攻擊而喪失大量的金錢？下面這些變化使得DDoS攻擊更猖獗也更具有破壞性。1、日益復(fù)雜的策略臭名昭著的七月四日攻擊是由一種定制的僵尸發(fā)起并配合SYN、PING、GET洪水等來(lái)實(shí)施的。這些攻擊針對(duì)政府部門和私有企業(yè)。雖然這些攻擊的重量級(jí)并不高（每秒平均39兆字節(jié)），但它使用了200000個(gè)僵尸，這就極大地增強(qiáng)了其攻擊的影響和范圍。除了這種直接的洪水攻擊（此攻擊將大量的欺騙性數(shù)據(jù)包直接發(fā)送給受害者），攻擊者還在日益使用反射洪水攻擊。在反射洪水攻擊中，攻擊者使用遞歸DNS服務(wù)器來(lái)向受害者發(fā)動(dòng)攻擊，并在攻擊過(guò)程中不斷地強(qiáng)化攻擊從而使得追蹤攻擊源更加困難。2、針對(duì)性的與隨機(jī)的受害者雖然過(guò)去的多數(shù)攻擊都是隨機(jī)的，但當(dāng)今的攻擊常常專門對(duì)付一家企業(yè)或其一個(gè)部門或更小的一個(gè)部分。更糟的是，攻擊者往往會(huì)搞垮與其沒有直接矛盾的網(wǎng)站，其目的僅僅是為了擴(kuò)大對(duì)第三方目標(biāo)的影響。例如，分析師們相信，2009年針對(duì)Facebook的DDoS攻擊，其設(shè)計(jì)目的竟然是為了阻止該社交網(wǎng)站的某個(gè)用戶。而Facebook只不過(guò)是其一個(gè)間接的受害者。3、偷偷地利用應(yīng)用程序的漏洞進(jìn)行攻擊網(wǎng)絡(luò)罪犯可以不必采用強(qiáng)力攻擊來(lái)搞垮整個(gè)網(wǎng)絡(luò)，而是執(zhí)行微妙的應(yīng)用程序級(jí)攻擊來(lái)模仿合法的通信。這些攻擊運(yùn)行在一個(gè)應(yīng)用程序或應(yīng)用程序服務(wù)器活動(dòng)的正常閾值范圍之內(nèi)，這就使得基于閾值的檢測(cè)工具難以檢測(cè)它。目前為止，受攻擊的主要應(yīng)用程序目標(biāo)都是常用的軟件和網(wǎng)絡(luò)技術(shù)中的漏洞。然而，針對(duì)定制的應(yīng)用程序的攻擊也逞上升趨勢(shì)。4、初級(jí)工具即使擁有很少技術(shù)或技能的人也可以發(fā)動(dòng)DDoS攻擊。在互聯(lián)網(wǎng)上很容易就可以找到低成本的僵局網(wǎng)絡(luò)租用廣告，一個(gè)網(wǎng)站提供的僵局網(wǎng)絡(luò)就可以發(fā)動(dòng)10到100Gbps的攻擊，而其每天的花費(fèi)卻不多。想成為攻擊者的人也可以與其他人合作，使用“群體外包”策略。例如，針對(duì)Twitter的“綠色革命”攻擊就采用了此策略。在這次攻擊中，Twitter用戶將鏈接粘貼到“攻擊池”（例如，高容量的頁(yè)面重載）中，由此可以招集反政府力量摧毀政府網(wǎng)站。雖然“群體外包”策略需要不斷地激勵(lì)很多人，并且難以維持，但這種攻擊起碼體現(xiàn)出：任何人都可以輕易地發(fā)動(dòng)一次攻擊。5、每秒發(fā)送數(shù)以百萬(wàn)計(jì)的數(shù)據(jù)包網(wǎng)絡(luò)犯罪份子可以利用成千上萬(wàn)的“肉機(jī)”的處理能力和帶寬，形成能夠每秒發(fā)送數(shù)以百萬(wàn)計(jì)的數(shù)據(jù)包的僵局網(wǎng)絡(luò)，這幾乎可以擊垮任何大型的網(wǎng)絡(luò)。這種攻擊的重量級(jí)要比十年前強(qiáng)大一百倍。減輕DDoS攻擊面臨的挑戰(zhàn)雖然許多企業(yè)日益關(guān)注DDoS攻擊，但很少有企業(yè)部署專門的DDoS保護(hù)機(jī)制。那些能夠暫時(shí)解決DDoS攻擊的企業(yè)往往依賴于不具備快速減輕攻擊能力和靈活性的方法。盡管下面這些措施得到廣泛應(yīng)用，但對(duì)多數(shù)企業(yè)而言，只靠這些措施來(lái)抵擋當(dāng)今變化多端的大型DDoS攻擊是遠(yuǎn)遠(yuǎn)不夠的。1、過(guò)度配置帶寬雖然提供過(guò)度的帶寬是最常見的對(duì)抗DDoS的措施之一，但事實(shí)上，這樣做既無(wú)成本效益也不高效可行。對(duì)于企業(yè)來(lái)說(shuō)，提供高于其需要處理峰值負(fù)載的額外75%的帶寬是很少見的，而且一旦攻擊超過(guò)了所提供的帶寬數(shù)量，過(guò)度配置帶寬就無(wú)效了。此外，過(guò)度提供的帶寬僅能解決網(wǎng)絡(luò)級(jí)的攻擊，而不能應(yīng)對(duì)應(yīng)用程序級(jí)或操作系統(tǒng)級(jí)的攻擊。由于現(xiàn)代的攻擊每秒鐘能夠攜帶一百萬(wàn)個(gè)數(shù)據(jù)包，即使配置再好的網(wǎng)絡(luò)也會(huì)被擊垮。2、防火墻雖然防火墻過(guò)去常用來(lái)對(duì)付DoS（拒絕服務(wù)攻擊），且完全夠用，但是僵尸網(wǎng)絡(luò)等攻擊手段降低了在網(wǎng)絡(luò)邊緣阻止攻擊的有效性。使用防火墻來(lái)減輕DDoS攻擊可能會(huì)導(dǎo)致CPU的利用達(dá)到峰值，并耗盡內(nèi)存資源。此外，防火墻并沒有異常檢測(cè)能力。3、入侵檢測(cè)系統(tǒng)（IDS）入侵檢測(cè)設(shè)備一般位于防火墻之后，其設(shè)計(jì)目的是為了檢測(cè)某種惡意的數(shù)據(jù)包。無(wú)論IDS還是IPS，其設(shè)計(jì)目的都不是為了應(yīng)對(duì)海量的攻擊。將其用于減輕DDoS攻擊會(huì)對(duì)其入侵檢測(cè)的本來(lái)功能產(chǎn)生影響。此外，在IDS檢測(cè)到異常而發(fā)出警告時(shí)，攻擊通信已經(jīng)在消耗互聯(lián)網(wǎng)帶寬，嚴(yán)重影響網(wǎng)絡(luò)功能，導(dǎo)致CPU的利用達(dá)到峰值，并耗盡內(nèi)存資源。4、入侵防御系統(tǒng)（IPS）入侵防御系統(tǒng)有能力作為一種異常檢測(cè)器而工作，不過(guò)，IPS可能需要花幾星期時(shí)間才能理解正常的通信模式，然后，企業(yè)或其IPS廠商必須再花幾天時(shí)間進(jìn)行人工調(diào)整，指定應(yīng)當(dāng)準(zhǔn)許哪些通信，應(yīng)當(dāng)阻止哪些通信或?qū)δ男┩ㄐ虐l(fā)出警告。所以，威脅簽名的更新往往來(lái)得太晚，無(wú)法阻止DDoS攻擊。此外，許多IPS設(shè)備依賴于特定廠商的威脅信息，所以這種設(shè)備并沒有得到調(diào)整和更新，無(wú)法解決全部威脅，其中就包括DDoS攻擊簽名。最后，IPS設(shè)備受到TCP會(huì)話數(shù)量的限制，還受到它在特定時(shí)間能夠處理的帶寬數(shù)量的限制。在負(fù)載超過(guò)其負(fù)荷時(shí)，它就會(huì)“宕機(jī)”。5、路由器路由器無(wú)法阻止欺騙性IP源（這正是DDoS攻擊包的最主要源頭），也無(wú)法人工追蹤成千上萬(wàn)的IP地址，這就使得ACL（訪問控制列表）無(wú)法有效對(duì)付DDoS攻擊。6、依賴互聯(lián)網(wǎng)服務(wù)供應(yīng)商來(lái)減輕DDoS攻擊許多企業(yè)并不特別關(guān)注服務(wù)等級(jí)約定（SLA）、攻擊報(bào)告、帶寬能力、黑洞路由以及第三方DDoS減輕方案的其它細(xì)節(jié)，而是認(rèn)為其ISP供應(yīng)商會(huì)提供DDoS保護(hù)。這種依賴是很危險(xiǎn)的。第1頁(yè)/3頁(yè) 1 2 3  后一頁(yè)第1頁(yè)：DDoS的變化第2頁(yè)：減輕DDoS攻擊危害的六大最佳方法第3頁(yè)：最佳方法三：使用分層過(guò)濾