作為破壞力較強的黑客攻擊手段,ddos是一種形式比較特殊的拒絕服務攻擊。作為一種分布、協作的大規模攻擊方式,它往往把受害目標鎖定在大型internet站點,例如商業公司、搜尋引擎或**部門**。由於ddos攻擊的惡劣性(往往通過利用一批受控制的網路終端向某乙個公共埠發起衝擊,來勢迅猛又令人難以防備,具有極大破壞力)難以被偵測和控制,因此也廣泛受到網路安全業界的關注。從最初的入侵檢測系統(ids)到目前新興的全域性安全網路體系,在防範ddos攻擊的過程中先進的網路安全措施發揮作用,使對抗黑客攻擊的手段 日益提公升,向著智慧型化、全域性化的方向大步邁進。
知己知彼:全面解剖ddos攻擊
分布式攻擊系統和我們日常生活中司空見慣的客戶機/伺服器模式非常相象,但是ddos系統的日趨複雜性和隱蔽性使人難以發現。入侵者控制了一些節點,將它們設計成控制點,這些控制點控制了internet大量的主機,將它們設計成攻擊點,攻擊點中裝載了攻擊程式,正是由這些攻擊點計算機對攻擊目標發動的攻擊。ddos攻擊的前奏是率先攻破一些安全性較差的電腦作為控制點主機。因為這些電腦在標準網路服務程式中存在眾所周知的缺陷,它們還沒有來得及打補丁或進行系統公升級,還有可能是作業系統本身有bug,這樣的系統使入侵者很容易闖入。
典型的ddos攻擊包括頻寬攻擊和應用攻擊。在頻寬攻擊中,網路資源或網路裝置被高流量資料報所消耗。在應用攻擊時,tcp或http資源無法被用來處理交易或請求。發動攻擊時,入侵者只需執行乙個簡單的命令,一層一層傳送命令到所有控制的攻擊點上,讓這些攻擊點一齊「開炮」——向目標傳送大量的無用的資料報,就在這樣的「炮火」下,攻擊目標的網路頻寬被佔滿,路由器處理能力被耗盡。而較之一般的黑客攻擊手段來說,ddos的可怕之處有二:一是ddos利用internet的開放性和從任意源位址向任意目標位址提交資料報;二是人們很難將非法的資料報與合法的資料報區分開。
屢戰屢敗:防範手段失效溯源
既然了解ddos攻擊的起源結果,為什麼還會讓它如此肆虐呢?平心而論,以往所採用的幾種防禦形式的被動和片面,是ddos攻擊難以被遏止的真正原因。
在遭遇ddos攻擊時,一些使用者會選擇直接丟棄資料報的過濾手段。通過改變資料流的傳送方向,將其丟棄在乙個資料「黑洞」中,以阻止所有的資料流。這種方法的缺點是所有的資料流(不管是合法的還是非法的)都被丟棄,業務應用被中止。資料報過濾和速率限制等措施同樣能夠關閉所有應用,拒絕為合法使用者提供接入。這樣做的結果很明顯,就是「因噎廢食」,可以說是恰恰滿足了黑客的心願。
既然「因噎廢食」不可取,那麼路由器、防火牆和入侵檢測系統(ids)的功效又怎樣呢?從應用情況來看,通過配置路由器過濾不必要的協議可以阻止簡單的ping攻擊以及無效的ip位址,但是通常不能有效阻止更複雜的嗅探攻擊和使用有效ip位址發起的應用級攻擊。而防火牆可以阻擋與攻擊相關的特定資料流,不過與路由器一樣,防火牆不具備反嗅探功能,所以防範手段仍舊是被動和不可靠的。目前常見的ids能夠進行異常狀況檢測,但它不能自動配置,需要技術水平較高的安全專家進行手工調整,因此對新型攻擊的反應速度較慢,終究不是解決之道。
全域性安全:充分遏制ddos魔爪
深究各種防範措施對ddos攻擊束手無策的原因,變幻莫測的攻擊**和層出不窮的攻擊手段是癥結所在。為了徹底打破這種被動局面,目前業界領先的網路安全技術廠商已然趨於共識:那就是在網路中配置整體聯動的安全體系,通過軟體與硬體技術結合、深入網路終端的全域性防範措施,以加強實施網路安全管理的能力。
以銳捷網路2023年底推出的gsn??全域性安全網路解決方案為例,它在解決ddos方面給出了自己獨特的見解。首先,gsn??在網路中針對所有要求進行網路訪問的行為進行統一的註冊,沒有經過註冊的網路訪問行為將不被允許訪問網路。通過gsn??安全策略平台的幫助,管理員可以有效的了解整個網路的運**況,進而對網路中存在的危及安全行為進行控制。在具體防範ddos攻擊的過程中,每乙個在網路中發生的訪問行為都會被系統檢測並判斷其合法性,一旦發覺這一行為存在安全威脅,系統將自動呼叫安全策略,採取直接阻止訪問、限制該終端訪問網路區域(例如避開網路內的核心資料或關鍵服務區,以及限制訪問許可權等)和限制該終端享用網路頻寬速率的方式,將ddos攻擊發作的危害降到最低。
在終端使用者的安全控制方面,gsn ??能對所有進入網路的使用者系統安全性進行評估,杜絕網路內終端使用者成為ddos攻擊**的威脅。從當使用者終端接入網路時,安全客戶端會自動檢測終端使用者的安全狀態。一旦檢測到使用者系統存在安全漏洞(未及時安裝補丁等),使用者會從網路正常區域中隔離開,並自動置於系統修復區域內加以修復,直到完成系統規定的安全策略,才能進入正常的網路環境中。這樣一來,不僅可以杜絕網路內部各個終端產生安全隱患的威脅,也使網路內各個終端使用者的訪問行為得到了有效控制。通過在接入網路時進行自動「健康檢查」,ddos再也不能潛藏在網路中,並利用網路內的終端裝置發動攻擊了。
對於使用者來說,正常業務的開展是最根本的利益所在。隨著人們對internet的依賴性不斷增加,ddos攻擊的危害性也在不斷加劇。不少安全專家都曾撰文指出:及早發現系統存在的攻擊漏洞、及時安裝系統補丁程式,以及不斷提公升網路安全策略,都是防範ddos攻擊的有效辦法。而先進的全域性安全網路體系的出現,實現了將系統層面和網路層面相結合來有效的進行安全解決方案的自動部署,進一步提高了對於ddos這類「行蹤飄渺」的惡性網路攻擊的自動防範能力。儘管目前以ddos為代表的黑客攻擊仍舊氣焰囂張,但是在可以預見的將來,廣大使用者手中握緊的安全利刃必定可以斬斷ddos的魔爪。
網路安全 網路安全管理技術(練習題)
1 計算機網路安全管理主要功能不包括 a.效能和配置管理功能 b.安全和計費管理功能 c.故障管理功能 d.網路規劃和網路管理者的管理功能 2 網路安全管理技術涉及網路安全技術和管理的很多方面,從廣義的範圍來看 是安全網路管理的一種手段。a.掃瞄和評估 b.防火牆和入侵檢測系統安全裝置 c.監控和審...
什麼是網路安全?網路安全的主要型別
網路安全 網路安全指的是可以保障資料和網路的不被黑客入侵攻擊,可以安全的運作。有效的網路安全管理對網路的訪問。它針對各種威脅,並阻止危險進入或傳播到您的網路。網路安全員都會對網路組成多層的防禦機制,可以控制訪問者,可以有效的阻止黑客的惡意攻擊。網路安全型別的主要方式 訪問者控制 並不是每乙個使用者都...
session工作原理是什麼?網路安全網路協議學習
網路安全是近幾年來較為火熱的職業崗位,深受個人和企業的青睞。廣闊的發展前景吸引著眾多想要學習網路安全技術的人們。學習網路安全是現下眾多人轉行it的熱門選擇之一。知識點網路協議相關知識中,session是必須要了解的。那麼session工作原理是什麼?1.session是儲存在伺服器端,理論上是沒有是...