CDN问题答疑

企业系统DDoS攻击防护预警

企业系统DDoS攻击防护预警

分布式拒绝服务(DDoS)攻击旨在耗尽网络、应用或者服务资源,导致真正的用户无法访问。DDoS攻击有多种不同类型,但通常DDoS能够从多个不同的主机同时发动影响业务可用性,就算是最大型的企业网络服务和资源也难逃。

DDoS攻击类型

不同类型的DDoS攻击变化显著,但是通常可以分成三个宽泛的领域:

  • 容量攻击——这种攻击旨在用耗尽网络基础架构资源,通常是浪费带宽的流量或者是资源消耗型的请求。

  • TCP状态表耗尽攻击——攻击者用TCP协议状态属性来攻击服务器资源、负载均衡器以及防火墙。

  • 应用层攻击——这种攻击的目标是在Layer 7中应用或者服务的某些方面。

企业系统DDoS攻击防护预警

容量攻击仍旧是最常见的DDoS攻击,但是结合了三个向量的攻击已经见怪不怪了,而且攻击的时长和量级也在不断攀升。DDoS公司背后的主要驱动力仍旧是相同的:政治、蓄意破坏以及在线游戏。游戏玩家会攻击游戏基础架构,从而获得在游戏过程中的竞争优势并夺取胜利。虽然DDoS是黑客和恐怖分子精选的武器,但是也常为竞争对手采用,达到破坏对方企业运营的目的。将DDoS攻击作为一种战略的方式也越来越多。比如高级持续威胁(APT)活动正在用DDoS攻击作为分散力对抗网络,同时盗窃敏感数据。

黑客社区将复杂的攻击工具封装成易用、可下载的程序,就算是哪些不知道怎么做的人都可以购买,然后就可以发动和控制自己的DDoS攻击。其实现状就是变得越来越糟糕,攻击者开始让一切联网设备都变得可用,从游戏控制台到路由到调制解调器,只为了生成足够的攻击流量总量。大多数的还是那种通用的即插即用,底层的协议会被滥用。安全保护措施不合格的联网设备不断增加,也为攻击者增加了发动更大量级攻击添砖加瓦。

如何确保系统安全

确保联网设备和服务的安全,也是确保互联网作为独立网络的安全,从而减少可能参与DDoS攻击的设备数量。黑客们生成DDoS流量的主要协议有NTP、DNS、SSDP、Chargen、SNMP以及DVMRP,任何使用这些协议的服务都应审慎配置并运行在专属服务器上。很多攻击能够发动也是因为攻击者可以用伪装的源IP地址生成流量。企业需要实施反欺诈过滤器阻止黑客发送声称来自另一个网络的数据包。

这些不同类型的DDoS攻击都无法预测或者避免,甚至攻击者只有有限的资源也可以生产流量,从而对防守的站点造成巨大的破坏。虽然几乎不可能完全消除DDoS攻击,但是关键在于长期来看如何减少,确保所有的机器和服务都能够正确安全地配置,以便公开可用的服务不被攻击者滥用。

帮助别人的同时也是帮助我们自己不是吗?