??? 也許很多人還沒有注意到,據(jù)Arbor Networks的統(tǒng)計���,2008年僵尸網(wǎng)絡的拒絕服務攻擊超過了每秒40GB的限度。這也就是說���,當前的僵尸網(wǎng)絡的攻擊規(guī)模已經(jīng)達到一個僵尸網(wǎng)絡有190萬臺僵尸電腦的程度����,而僵尸網(wǎng)絡的拒絕服務攻擊是最難防御的攻擊之一����。因此���,這也是拒絕服務攻擊成為勒索者試圖把在線商家作為人質(zhì)獲取贖金的常用手段的原因��。這對于犯罪分子來說是一筆大買賣���,而且這個生意很興隆��。
??? 下面這種情況就很常見:犯罪分子利用一個僵尸網(wǎng)絡大軍滲透和消除對于你有價值的服務���。攻擊目標的范圍包括僅用一個拒絕服務攻擊使你的一臺重要服務器達到飽和或者使你的互聯(lián)網(wǎng)連接達到飽和,有效地中斷你的全部互聯(lián)網(wǎng)服務��。在某些情況下���,這些壞蛋首先發(fā)起攻擊����,中斷網(wǎng)絡服務��,然后要求支付贖金���。有時候��,這些壞蛋僅僅發(fā)出贖金的要求����,并且威脅說如果不在某日之前滿足他們的要求,他們將中斷攻擊目標的網(wǎng)站���。
??? 當然����,這些可能對我們來說已經(jīng)不是什么新鮮事了��。但是���,如果你遭到過僵尸網(wǎng)絡的拒絕服務攻擊或者遭到過多次這種攻擊���,你是否想過你和你的公司應該采取什么措施嗎?你如何準備應對這種類型的攻擊?許多公司(包括大企業(yè)和小企業(yè))都這樣對待這個問題,他們解釋說"我們沒有黑客要的東西"或者"我們是小目標��,不值得這樣麻煩"����。在某些情況下,這種事情是非常真實的��,就是拒絕服務攻擊的風險不值得安全投資��。但是��,在許多情況下���,這種想法是一種危險的錯誤����。這種風險實際上比想象的要大��。如果我從一個壞蛋的角度考慮這個問題��,我在追求一二樣東西���,金錢或者名譽����。如果你能夠提供其中任何一樣東西����,你就有機會成為攻擊目標。
??? 因此��,現(xiàn)在我們就來解決這個問題����。你如何能夠打敗一個僵尸網(wǎng)絡的拒絕服務攻擊?這個答案取決于你遇到的拒絕服務攻擊的類型��、你的網(wǎng)絡基礎設施����、你擁有的安全工具和其它變量��。盡管在你的獨特的環(huán)境中你如何防御拒絕服務攻擊有許多變量���,但是��,強調(diào)一些最流行的策略是有價值的��。
??? 下面是打敗拒絕服務攻擊的一些技巧���。其中有些方法過去在防御拒絕服務攻擊中取得了成功。有些方法是全新的���,但是����,提供了一種非常令人心動的解決方案����。
??? 由ISP提供的拒絕服務攻擊防御產(chǎn)品或者拒絕服務攻擊服務
??? 這種防御策略是通常是最有效的��,當然也是最昂貴的����。許多ISP(互聯(lián)網(wǎng)服務提供商)為你的互聯(lián)網(wǎng)鏈路提供某種方式的云計算拒絕服務攻擊保護���。這個想法是ISP在允許通訊進入你的互聯(lián)網(wǎng)線路之前先清理你的通訊。由于這種防御是在云計算中完成的����,你的互聯(lián)網(wǎng)鏈路不會被拒絕服務攻擊阻塞。不被阻塞至少是這個防御的目標����。再說一次,沒有一勞永逸的高明辦法��。
??? 這種服務也可以由第三方在云計算拒絕服務攻擊防御服務中提供���。在發(fā)生拒絕服務攻擊時����,他們把你的通訊轉(zhuǎn)移到他們那里。他們清理你的通訊然后再把這些通訊發(fā)回給你���。這一切都是在云計算中發(fā)生的��,因此����,你的互聯(lián)網(wǎng)線路不會被阻塞���。ISP提供的拒絕服務攻擊服務的例子包括AT&T的互聯(lián)網(wǎng)保護服務和Verizon Business提供的拒絕服務攻擊防御減輕服務���。
??? RFC3704過濾
??? 基本的訪問控制列表(ACL)過濾器。RFC3704的主要前提是數(shù)據(jù)包應該來自于合法的���、分配的地址段��、與結構和空間分配一致���。要達到這個目的,有一個全部沒有使用的或者保留的IP地址的列表����。這些地址是你從互聯(lián)網(wǎng)中永遠看不到的���。如果你確實看到了這些地址,那么��,它肯定是一個欺騙的源IP地址����,應該丟棄。這個列表的名稱是Bogon列表���,你應該咨詢一下你的ISP,看他們是否能在這個欺騙的通訊進入你的互聯(lián)網(wǎng)鏈路之前在云計算中為你管理這種過濾��。Bogon列表大約每個月修改一次��。因此���,如果ISP沒有為你做這個事情����,那么���,你必須自己管理你的Bogon訪問控制列表規(guī)則(或者找另一家ISP)����。
??? 黑洞過濾
??? 這是一個非常有效的常見的技術。一般來說���,這需要與你的ISP一起做��。RTBH(遠程觸發(fā)黑洞)過濾是一種能夠提供在不理想的通訊進入一個保護的網(wǎng)絡之前放棄這種通訊的能力的技術���。這種技術使用 BGP(邊界網(wǎng)關協(xié)議)主機路由把發(fā)往受害者服務器的通訊轉(zhuǎn)接到下一跳的一個null0接口。RTBH有許多變體��,但是���,其中一個變態(tài)值得特別關注��。與你的ISP一起試試RTBH過濾��,讓他們?yōu)槟阍谠朴嬎阒蟹艞壞欠N通訊����,從而防止拒絕服務攻擊進入你的通訊線路����。
??? 思科IPS 7.0源IP聲譽過濾
??? 思科最近發(fā)布了IPS 7.0代碼更新���。這個升級包括一個名為全球關聯(lián)的功能。簡言之����,全球關聯(lián)功能檢查它看到的每一個源IP地址的聲譽得分。如果這個來源的聲譽不好����,入侵防御系統(tǒng)(IPS)的傳感器就可以放棄這個通訊或者提高一個點擊的風險級別值。下面是思科對全球關聯(lián)功能的解釋:
??? IPS 7.0包含一個名為"思科全球關聯(lián)"的新的安全功能����。這個功能利用了我們在過去的許多年里收集的大量的安全情報���。思科IPS將定期從思科SensorBase網(wǎng)絡接收威脅更新信息����。這個更新的信息包括互聯(lián)網(wǎng)上已知的威脅的詳細信息��,包括連續(xù)攻擊者����、僵尸網(wǎng)絡收獲者����、惡意爆發(fā)和黑網(wǎng)(dark nets)等���。IPS使用這個信息在惡意攻擊者有機會攻擊重要資產(chǎn)之前過濾掉這些攻擊者���。IPS然后把全球威脅數(shù)據(jù)結合到自己的系統(tǒng)中以便更早地檢測和防御惡意活動。
??? 當然���,你可以設置全球關聯(lián)���,這樣的話,你的傳感器就能夠知道有惡意活動聲譽的網(wǎng)絡設備����,并且能夠?qū)@種設備采取行動。
思科調(diào)整SensorBase的方法之一是接收來自思科7.0 IPS傳感器的信息����。企業(yè)可以選擇使用這個程序,也可以選擇不適用這個程序���。思科IPS使用的SensorBase有不同的威脅種類����。其中兩種是僵尸網(wǎng)絡收獲者和以前的拒絕服務攻擊實施者。
??? 因此����,當你遭到僵尸網(wǎng)絡拒絕服務攻擊的時候,這個傳感器將放棄所有的來至聲譽不良的來源的通訊���。這個過程在使用這種特征之前就開始了��,對于傳感器資源(處理器���、背板等)來說是非常便宜的。這使它成為在拒絕服務攻擊期間使用的一個理想的方法����。這也是思科IPS在處理IPS特征之前檢查SensorBase的原因����。
??? 許多僵尸網(wǎng)絡拒絕服務攻擊使用通向你的網(wǎng)絡服務器的SSL(安全套接字層)。這有助于攻擊者隱藏其負載��,防止你可能擁有的檢測引擎的檢查。然而����,考慮到全球關聯(lián)僅使用源IP地址的聲譽得分做出決定,防御SSL分布式拒絕服務攻擊是沒有問題的���。沒有任何其它廠商為自己的IPS解決方案增加基于聲譽的檢查功能����,因此��,它們不能防御任何形式的SSL分布式拒絕服務攻擊���。一些IPS廠商確實能夠能通過解密傳輸中的數(shù)據(jù)打開和查看SSL數(shù)據(jù)包內(nèi)部���。然而,這個過程在IPS資源(處理器��、背板���、內(nèi)存等)方面太昂貴��,不能用于分布式拒絕服務攻擊����。它會迅速消除傳感器本身的通訊瓶頸。
??? 當然����,如果這個分布式拒絕服務攻擊阻塞了你的鏈路,這個策略可能就不起作用��。但是��,如果分布式拒絕服務攻擊僅僅阻塞了部分服務器���,而沒有阻塞整個網(wǎng)絡����,那就表明這個防御措施的作用很好����。全球關聯(lián)不是一個妙方,而是你的工具箱中的另一個工具����。
??? IP源防護
??? 這個問題不是五大主要問題的一部分����,不過����,這個問題仍然值得一提���。這個技巧是打開你的交換機中的IP源防護功能����。這個功能可以阻止主機在變成僵尸電腦的時候發(fā)出欺騙性的數(shù)據(jù)包���。這不是一個防御工具����,而是一個守法公民工具����,盡管它能夠阻止內(nèi)部的欺騙性的分布式拒絕服務攻擊。
??? 如果每一家公司都打開IP源防護功能����,它就能夠幫助減少我們遇到的欺騙性分布式拒絕服務攻擊的數(shù)量。啟用IP源防護功能的一項增加的好處是能夠幫助你找到你的網(wǎng)絡中已經(jīng)成為僵尸網(wǎng)絡一部分的主機��。當這個惡意軟件發(fā)動欺騙性攻擊的時候,這個交換機端口能夠自動鎖死����,并且向你的安全監(jiān)視站點報告這個事件?��;蛘吣銏蟾孢@個事件并且保持打開這個端口����,但是��,除了真正的IP地址源通訊之外���,放棄所有的通訊���。
關鍵詞標簽:拒絕服務攻擊
火絨安全軟件開啟懸浮窗的方法-怎么限制和設置軟件網(wǎng)速
火絨安全軟件怎么攔截廣告-火絨設置廣告攔截的方法
網(wǎng)絡安全管理軟件-PCHunter使用教程