本文摘要本文分析了依靠傳統安全保護措施應對ddos攻擊的不足,以及減輕ddos攻擊面臨的挑戰。
在系列文章(一)中,我們主要分析了當今造成ddos攻擊變得更猖獗也更具有破壞性的幾大變化因素。本文,我們將分析依靠傳統安全保護措施應對ddos攻擊的不足。
減輕ddos攻擊面臨的挑戰
雖然許多企業日益關注ddos攻擊,但很少有企業部署專門的ddos保護機制。那些能夠暫時解決ddos攻擊的企業往往依賴於不具備快速減輕攻擊能力和靈活性的方法。
儘管下面這些措施得到廣泛應用,但對多數企業而言,只靠這些措施來抵擋當今變化多端的大型ddos攻擊是遠遠不夠的。
1、過度配置頻寬
雖然提供過度的頻寬是最常見的對抗ddos的措施之一,但事實上,這樣做既無成本效益也不高效可行。對於企業來說,提供高於其需要處理峰值負載的額外75%的頻寬是很少見的,而且一旦攻擊超過了所提供的頻寬數量,過度配置頻寬就無效了。此外,過度提供的頻寬僅能解決網路級的攻擊,而不能應對應用程式級或作業系統級的攻擊。由於現代的攻擊每秒鐘能夠攜帶一百萬個資料報,即使配置再好的網路也會被擊垮。
2、防火牆
雖然防火牆過去常用來對付dos(拒絕服務攻擊),且完全夠用,但是殭屍網路等攻擊手段降低了在網路邊緣阻止攻擊的有效性。使用防火牆來減輕ddos攻擊可能會導致cpu的利用達到峰值,並耗盡記憶體資源。此外,防火牆並沒有異常檢測能力。
3、入侵檢測系統(ids)
入侵檢測裝置一般位於防火牆之後,其設計目的是為了檢測某種惡意的資料報。無論ids還是ips,其設計目的都不是為了應對海量的攻擊。將其用於減輕ddos攻擊會對其入侵檢測的本來功能產生影響。此外,在ids檢測到異常而發出警告時,攻擊通訊已經在消耗網際網路頻寬,嚴重影響網路功能,導致cpu的利用達到峰值,並耗盡記憶體資源。
4、入侵防禦系統(ips)
入侵防禦系統有能力作為一種異常檢測器而工作,不過,ips可能需要花幾星期時間才能理解正常的通訊模式,然後,企業或其ips廠商必須再花幾天時間進行人工調整,指定應當准許哪些通訊,應當阻止哪些通訊或對哪些通訊發出警告。所以,威脅簽名的更新往往來得太晚,無法阻止ddos攻擊。此外,許多ips裝置依賴於特定廠商的威脅資訊,所以這種裝置並沒有得到調整和更新,無法解決全部威脅,其中就包括ddos攻擊簽名。最後,ips裝置受到tcp會話數量的限制,還受到它在特定時間能夠處理的頻寬數量的限制。在負載超過其負荷時,它就會「宕機」。
5、路由器
路由器無法阻止欺騙性ip源(這正是ddos攻擊包的最主要源頭),也無法人工追蹤成千上萬的ip位址,這就使得acl(訪問控制列表)無法有效對付ddos攻擊。
6、依賴網際網路服務**商來減輕ddos攻擊
許多企業並不特別關注服務等級約定(sla)、攻擊報告、頻寬能力、黑洞路由以及第三方ddos減輕方案的其它細節,而是認為其isp**商會提供ddos保護。這種依賴是很危險的。
那麼,解決ddos攻擊真正有效的手段和方法到底是什麼呢,後文將給出明確的建議。
斬斷DDoS魔掌的六把利劍(四)
本文摘要 在系列文章 三 中,我們介紹了兩種減輕ddos攻擊危害的方法,是實現資料收集集中化和定義乙個明確的不斷公升級的發展路線。本文我們接著介紹另外兩種方法。最佳方法三 使用分層過濾 減輕ddos攻擊的目標,是用最小的延遲排除惡意的非法通訊,僅允許合法的通訊進入網路。實現此目標最有效方法是,使用一...
斬斷DDoS魔掌的六把利劍(五)
本文摘要 最佳方法五 解決應用程式和配置問題 如今的ddos攻擊搖身一變,從原來網路層的強力攻擊演變成了更複雜 更難以檢測的應用層攻擊。攻擊者能夠知道個別應用程式通訊活動的上限,並可以在網路通訊激增過程中實施破壞。在總體網路環境中,增加通訊並不是乙個問題,但是如果目標應用程式對巨量通訊的容忍度太低,...
ddos攻擊工具 簡單有效的ddos攻擊防禦方法
做過 的站長大多有被ddos攻擊的經歷,不少人面對競爭對手的 就是直接雇人ddos攻擊 導致對方 長期打不開,最後無奈關閉 初堯今天就告訴大家乙個最簡單也是最有效的防禦方法。高防伺服器 高防ip 對於遊戲,網遊來說,是ddos攻擊的主要受害者,所以導致遊戲伺服器都需要購買高防伺服器來對抗流量巨大的d...