轉自網絡,轉侵刪
近年來,
大量由殭屍網絡驅動的DDoS攻擊利用了成千上萬的被感染的物聯網,通過向受害者網站發起大量的流量為攻擊手段,最終造成嚴重後果。常年以來的頑疾DDoS似乎難以根治,那服務器反覆被DDoS攻擊怎麼辦呢?
到2020年全球將有超過200億的物聯網設備產生聯接,日均有約550萬臺設備加入到網絡環境,屆時有超過半數的商業系統內置物聯網組件。
對此,傳統的桌面安全和本地防火牆是難以抵禦新型網絡攻擊的,黑客只需要截獲某一個連接工具就能切入到設備端。
越來越多的物聯網設備正淪為DDoS的盤中餐,隱私逐漸成為網絡交互的重要組成部分。
在勒索軟件和各種流氓軟件隨處可見的今天,很多攻擊手段卻變得難以被探測,因此物聯網的加密措施至關重要。
考慮到物聯網的設備形態和功能千奇百怪,從終端、無線接入、網關,再到雲平臺,涉及的環節眾多,
要知道不少設備使用的操作系統也是不統一的,不是定製的就是非標準的,無形中為運維人員增加了負擔。
一些支持物聯網的對象擁有動態特性,例如汽車和車輛,或其他控制關鍵系統的設備。
賽門鐵克預計,針對控制關鍵基礎設施的物聯網設備的攻擊數量將不斷增加,如配電與通信網絡 。
隨著更多的員工以個人為單位使用智能音箱、穿戴設備、智能家居等產品,安全風險的入口也越來越多,
而且像工業類企業用到的傳感器也越來越細分,包括具有WiFi功能的恆溫器控制的採暖通風和HVAC系統等等,
這些傳感器在接入核心網的時候很可能沒有經過IT運維團隊的授權。
一項調查顯示,大多數企業並沒有覺察到物聯網或工業物聯網的無線網絡,與企業基礎設施是分離的。
當然,敲詐勒索對DDoS世界來說並不陌生,但要看看攻擊者是如何利用敲詐勒索的也很有意思。
早期的勒索程序像DD4BC,會發送不知名的電子郵件,包括攻擊和支付信息,日期和截止日期,
以及小型攻擊,同時威脅更大的攻擊和更大的支出,如果受害者合作不能令人滿意,就可能會遭殃了。
像DDoS世界中的Memcached,攻擊者廣泛而迅速地採用了各種規模的跨組織和行業攻擊 ,並且不久就能想出將威脅轉化為商機的方法。
另一個趨勢是,2019年,越來越多的攻擊者將試圖訪問家庭路由器與其他物聯網中心,以捕獲經過這些路由器或中心的數據。
例如,入侵這些路由器中的惡意軟件可以竊取銀行憑證、捕獲信用卡號或向用戶顯示用於盜取敏感信息的虛假惡意網頁。
也就是說,攻擊者通過新的方式利用家庭Wi-Fi路由器,以及其他安全性較差的物聯網設備來進行攻擊。
由此,引伸出來的重要問題是,到底怎樣才能有效抵禦或者說有效遏制DDoS攻擊呢?
首先,
用戶要去嘗試瞭解攻擊來自於何處,原因是黑客在攻擊時所調用的IP地址並不一定是真實的,一旦掌握了真實的地址段,可以找到相應的碼段進行隔離,或者臨時過濾。同時,如果連接核心網的端口數量有限,也可以將端口進行屏蔽。
相較被攻擊之後的疲於應對,有完善的安全機制無疑要更好。有些人可能會選擇大規模部署網絡基礎設施,
但這種辦法只能拖延黑客的攻擊進度,並不能解決問題。與之相比的話,還不如去“屏蔽”那些區域性或者說臨時性的地址段,減少受攻擊的風險面。
此外,還可以在骨幹網、核心網的節點設置防護牆,這樣在遇到大規模攻擊時可以讓主機減少被直接攻擊的可能。
考慮到核心節點的帶寬通常較高,容易成為黑客重點“關照”的位置,所以定期掃描現有的主節點,發現可能導致風險的漏洞,就變得非常重要。
根據此前與從安全廠商瞭解到的消息,多層防護DDoS攻擊的方法仍然適用。
例如,駐地端防護設備必須24小時全天候主動偵測各類型DDoS攻擊,包括流量攻擊、狀態耗盡攻擊與應用層攻擊;
為了避免出現上述防火牆等設備存在的弊端,用戶應該選擇無狀態表架構的防護設備利用雲平臺、大數據分析。
積累並迅速察覺攻擊特徵碼,建立指紋知識庫,以協助企業及時偵測並阻擋惡意流量攻擊。
像以上的抵禦方法還有一些, 如
限制SYN/ICMP流量、過濾所有RFC1918 IP地址等等,但歸根結底,還是要從根源上進行有效遏制,不要等出了問題再去想辦法,這也是DDoS攻擊“不絕於耳”的原因。
精彩在後面
Hi,我是超級盾
更多幹貨,可移步到,微信公眾號:超級盾訂閱號!精彩與您不見不散!
超級盾能做到:防得住、用得起、接得快、玩得好、看得見、雙向數據加密!
截至到目前,超級盾成功抵禦史上最大2.47T黑客DDoS攻擊,超級盾具有無限防禦DDoS、100%防CC的優勢
閱讀更多 超級盾 的文章
