黑客攻击正变得越来越复杂:一方面DDoS攻击比以前更多,攻击手段更加多样化,另一方面,对应用程序的攻击造成的破坏比以往更大。9月23日下午,在由360主办的中国互联网安全大会(ISC)上,来自世界各地的网络安全专家,就DDoS攻击展开了热烈讨论,360公司的嘉宾唐会军在题为《云服务防DDoS攻击策略》的演讲中,详细解读了如何通过云服务策略快捷方便的防范DDoS攻击。
嘉宾唐会军现场演讲
据Check Point统计,2012年网络犯罪手法中,32%的攻击事件使用了DDoS攻击,65%的企业曾经受到黑客的攻击,每次攻击平均损失约21.4万美元。DDoS已经成为互联网中最高发的黑客攻击手段,黑客会通过发起流量泛洪攻击或虚假请求来中断合法流量,从而导致那些依赖网络和Web服务运营的企业发生严重的网络中断。调查机构Ponemon的最新调查显示,DDoS攻击是当前IT从业者遇到的最高风险的攻击,并且已经成为美国首要的安全风险。
除此之外,DDoS攻击的实施手段正变得越来越复杂,已经深入应用层,黑客无需网络带宽洪流的方式就能够给企业造成更大的破坏。新的应用程序攻击比以往更加隐蔽,难以检测。
针对DDoS攻击的复杂变化,唐会军着重分析了最新的黑客DDoS攻击手法,指出SYN Flood是目前最为主流的技术手段。目前,黑客往往会多个工具混合使用,以干扰企业网络正常运行,进而窃取企业的机密数据。面对DDoS攻击的复杂变化,唐会军介绍说360公司已形成了一套完善的防御体系,分别从网络接入、负载均衡和Web服务器三个方面介绍了分享360在防各种典型DDOS攻击方面的一些策略。
360 DDoS防护体系
DDoS攻击最早开始于1996年,2002年开始在国内出现,2003年便初具规模。DDoS攻击发展趋势为从低层协议向高层协议发展,传统DDoS攻击利用协议漏洞或者洪水攻击等对受害者发起攻击,如网络层 Nuke攻击利用发送畸形的 ICMP 数据包使得受害者当机,网络层泪滴攻击利用发送重叠的IP分片使得目标主机TCP/IP 协议栈崩溃而拒绝服务。UDP Flood、TCP Flood 等传输层的洪水攻击利用发送超出受害者服务能力的大量数据包,消耗掉受害者的网络带宽、CPU 处理能力、内存、网络连接等有限的资源从而使受害者主机拒绝服务。随着广大学者、安全公司对传统的DDoS攻击进行深入的研究,目前低层的 DDoS攻击检测已趋成熟,并且有很多的专门检测DDoS攻击的产品,能较有效地检测这些低层的攻击。网络攻击者为了躲避检测,并让DDoS攻击具有更大的破坏力,逐渐将攻击转移到应用层。
面对DDoS如洪水猛兽一般袭来,企业的应对策略却往往显得苍白无力。一些IT人员以为只要部署了防火墙和入侵防御系统(IPS)就可以高枕无忧。但事实上,传统的防火墙和IPS等安全产品并非是针对DDoS威胁而设计的,而是专注于网络数据的完整性和机密性,对于旨在打击网络及网络服务的可用性的DDoS攻击,IPS的效果十分有限。《全球基础设施安全报告》显示,77%的受访对象表示在企业内部发现应用层攻击,而49%的受访者表示防火墙或IPS因DDoS攻击而失灵。
目前尽管越来越多的企业已经意识到,在进行网络安全规划的时候,针对DDoS攻击威胁的防范措施应该优先考虑,但是依然有很多人错误地认为防火墙和入侵防御系统(IPS)等传统安全工具可以完全应对DDoS攻击。安全专家告诫这部分企业万万不能掉以轻心,完全依靠防火墙和IPS来防范愈演愈烈的DDoS攻击已经很难,而通过云服务立体防御DDoS将可能会是未来企业安全的主要趋势。
