在網絡安全界,DDoS攻擊已經不是一個新鮮的名詞。最早的DDoS攻擊可以追溯到1996年��,在中國DDoS攻擊于2002年開始頻繁出現�����,2003年已經初具規模���。然而近幾年,這個老生常談的網絡攻擊方式卻以新的攻擊方式�,給帶來巨大的網絡安全威脅��。
“事實上DDoS攻擊并不是一個陌生的話題,但卻是一個絕對不容忽視的安全問題�。” 梭子魚技術總監賈玉彬如是說道����,“簡單概述�����,目前DDoS攻擊新趨勢是:從TCP/IP層上移到了應用層����。”
根據 Gartner預測�����,DDOS攻擊會占2013年所有的應用層攻擊中的25%左右�?�;趹脤拥腄DOS攻擊每年以三倍的速度增長�����。在過去���,DDOS攻擊使用大量偽造的UDP, TCP SYN, 或者ICMP流量來意圖淹沒目標網絡�����。然而,當今的攻擊平臺已經進化到包含應用層的DDOS攻擊����,目標是Web系統和DNS系統。
賈玉彬表示:“隨著攻擊手段和攻擊目標的變化�����,將使得任何一個互聯網上的應用都可能會成為攻擊目標����,70%以上的為隨機受害者。”在他看來��,目前DDoS攻擊的手段和方式主要有三種:
1����、大流量型攻擊,主要憑借大量的僵尸網絡和應用層DDoS攻擊受害者的Web應用�,例如大流量訪問需要消耗大量系統資源的url����,從而導致Web應用崩潰;
2���、匿名者組織����,這個組織通過社交網絡組織大量人力并提供LOIC和JS LOIC兩種工具,這些來自社交網絡的人員都是真真正正的人而不是僵尸主機��,所以這種攻擊更難于防范;
3�、慢客戶端攻擊,這種利用了HTTP協議本身的缺陷����,只需要非常少量的資源即可快速使目標受害者的站點陷入癱瘓����,典型的工具如 Slowloris��,目前這種攻擊目前非常流行,從協議的合規性分析,這種攻擊流量是正常的流量�����,所以依靠特征庫和黑名單技術的防護設備檢測不出這種攻擊�。
面對呈現新形式的DDoS攻擊,賈玉彬指出中國在抵御DDoS攻擊方面所做的工作仍有很大的提升空間;“目前,大部分的企事業單位還停留在防御對網絡層的DDoS的攻擊防護或者是對大流量攻擊的防護�����,這顯然是不夠的�。”
對此,賈玉彬也為在如何防御DDoS攻擊方面提出了建議。他指出,防御DDoS攻擊需要重點做好兩個方面防御措施:
1�����、部署邊界網絡防火墻和IPS��,過濾網絡層的DDoS攻擊;
2�����、部署Web應用防火墻(WAF),防御對應用層的DDoS攻擊進行防護,前提是部署的WAF需要支持對僵尸(主機)網絡攻擊的識別和防護、慢客戶端攻擊的防護、匿名者攻擊的防護����。
不管怎樣�,當DDoS這種看似陳舊過時的攻擊以新的攻擊方式卷土重來的時候��,如果不進行有效主動防御��,那么本身就將有可能成為網絡安全問題的一部分���。對而言,這是一個絕對不容忽視的安全問題。
