DDoS是网络犯罪领域的老生常谈,是一个严重的问题,需要采取有效的防御DDoS措施。最重要的是,它正在迅速发展。其中一些突袭行动依靠恶意软件、物联网僵尸网络和开源网络压力测试框架来扩大其影响范围。更糟糕的是,一些新颖的攻击增加了敲诈。
分布式拒绝服务(DDoS)攻击现象于20世纪90年代中期首次出现,此后经历了巨大的演变。在其诞生之初,这主要是黑客行动主义者的特权,他们将主要互联网服务下线,以此作为抗议网络审查和有争议的政治举措的标志。
DDoS攻击不仅非常复杂和有影响力,而且正在形成一个巨大的网络犯罪经济体,其运营商越来越善于将他们的恶作剧货币化,最新加入到他们的类型是所谓的勒索DDoS。它的逻辑是对一个组织发动破坏性的攻击,然后要求为终止该组织支付费用。
乍一看,DDoS背后的想法似乎很简单:用超出其处理能力的数据包淹没网络或web服务器。在网络安全问题上,意识是成功的一半。如果您知道组织的IT基础架构中可能被DDoS参与者利用的薄弱环节,您可以确定防御DDoS的优先级,至少可以将遇到单点故障场景的风险降至最低。
恶意参与者的手册中有许多恶作剧,使他们能够多样化的攻击载体,并选择一个利用特定受害者的痛点。例如,作为初始侦察的一部分,如果攻击者在探测企业网络的安全弱点时发现有漏洞的web应用程序,他们可能会将其用作DDoS攻击的启动平台。
一旦发现这样一个漏洞,攻击者就会裁剪一个适当的查询,并将其迭代地注入目标网站,使服务器崩溃。跨站点脚本缺陷也说明了缺陷,使得犯罪分子可以用恶意查询和恶意软件充斥整个站点。
清理web应用程序的代码以消除SQL、XSS和其他漏洞是程序员可以而且必须参与的一个领域。除了加强对web服务的保护以防御DDoS攻击之外,这也是创建稳定代码、提供无摩擦用户体验的先决条件。
DDoS攻击泛滥因为便宜,效果明显,且已经有很完整的产业链了。最常见的防御DDoS攻击的几个有效建议:
1.实时监控,定期扫描
要定期扫描现有的网络主节点,清查可能存在的安全漏洞,对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽,是黑客利用的最佳位置,因此对这些主机本身加强主机安全是非常重要的。而且连接到网络主节点的都是服务器级别的计算机,所以定期扫描漏洞就变得更加重要了。
2.过滤不必要的服务和端口
过滤不必要的服务和端口,即在路由器上过滤假IP。只开放服务端口成为很多服务器的流行做法,例如WWW服务器那么只开放80而将其他所有端口关闭或在防火墙上做阻止策略。
3.利用海量带宽清洗攻击流量
传统高防服务器存在着很多防御能力弱、价格昂贵等缺陷,葵芳等IDC服务商,着力开发新型高防服务器,并成功推出市场。新型高防服务器租用,是从根源上与传统高防服务器区别开来。传统高防服务器是依靠机房提供的硬件防火墙实现防御,完全依赖机房提供的带宽来缓解DDoS攻击带来的超大流量,由于国际带宽昂贵,因此无法提供更高的防御能力。
即使是大公司也可能缺乏带宽来防御DDoS攻击者人为造成的流量急剧增加。标准网络设备配备了有限的DDoS缓解机制。这一问题在中小企业的生态系统中表现得更为明显,在中小企业中,以有限的预算建立保护系统是常态。在这种情况下,最好的防御是多管齐下。