导航菜单
首页 > 网络安全 » 正文

DDoS至今无法根治 防不胜防还得尽力防

后台-系统设置-扩展变量-手机广告位-内容正文顶部
至今大量由僵尸网络驱动的DDoS攻击利用了成千上万的被感染的物联网,向受害者网站发起大量的DDoS流量攻击,一直以来至今DDoS难以根治,但是防不胜防还得防。
 
DDoS流量攻击
 
给黑客侵入开门
Gartner预计,到2020年全球将有超过200亿的物联网设备产生联接,并且日均还会有约550万台设备加入到网络环境,届时有超过半数的商业系统内置物联网组件。对此,传统的桌面安全和本地防火墙是难以抵御新型网络攻击的,黑客只需要截获某一个连接工具就能切入到设备端。
 
攻击风险无法预测
越来越多的物联网设备正沦为DDoS的盘中餐,隐私逐渐成为网络交互的重要组成部分,在勒索软件和各种流氓软件随处可见的今天,很多攻击手段却变得难以被探测,因此物联网的加密措施至关重要。
 
非标准成难题
考虑到物联网的设备形态和功能千奇百怪,从终端、无线接入、网关,再到云平台,涉及的环节众多,要知道不少设备使用的操作系统也是不统一的,不是定制的就是非标准的,无形中为运维人员增加了负担。
 
一些支持物联网的对象拥有动态特性,例如汽车和车辆,或其他控制关键系统的设备。赛门铁克预计,针对控制关键基础设施的物联网设备的攻击数量将不断增加,如配电与通信网络。
 
随着更多的员工以个人为单位使用智能音箱、穿戴设备、智能家居等产品,安全风险的入口也越来越多,而且像工业类企业用到的传感器也越来越细分,包括具有WiFi功能的恒温器控制的采暖通风和HVAC系统等等,这些传感器在接入核心网的时候很可能没有经过IT运维团队的授权。一项调查显示,大多数企业并没有觉察到物联网或工业物联网的无线网络,与企业基础设施是分离的。
 
为恶意威胁支出
当然,敲诈勒索对DDoS世界来说并不陌生,但要看看攻击者是如何利用敲诈勒索的也很有意思。早期的勒索程序像DD4BC,会发送不知名的电子邮件,包括攻击和支付信息,日期和截止日期,以及小型攻击,同时威胁更大的攻击和更大的支出,如果受害者合作不能令人满意,就可能会遭殃了。像DDoS世界中的Memcached,攻击者广泛而迅速地采用了各种规模的跨组织和行业攻击,并且不久就能想出将威胁转化为商机的方法。
 
开始进入家庭
另一个趋势是,2019年,越来越多的攻击者将试图访问家庭路由器与其他物联网中心,以捕获经过这些路由器或中心的数据。例如,入侵这些路由器中的恶意软件可以窃取银行凭证、捕获信用卡号或向用户显示用于盗取敏感信息的虚假恶意网页。也就是说,攻击者通过新的方式利用家庭Wi-Fi路由器,以及其他安全性较差的物联网设备来进行攻击。
 
过滤可抵御黑客
由此,引伸出来的重要问题是,到底怎样才能有效抵御或者说有效遏制DDoS攻击呢?首先,用户要去尝试了解攻击来自于何处,原因是黑客在攻击时所调用的IP地址并不一定是真实的,一旦掌握了真实的地址段,可以找到相应的码段进行隔离,或者临时过滤。同时,如果连接核心网的端口数量有限,也可以将端口进行屏蔽。
 
只能拖延攻击速度
相较被攻击之后的疲于应对,有完善的安全机制无疑要更好。有些人可能会选择大规模部署网络基础设施,但这种办法只能拖延黑客的攻击进度,并不能解决问题。与之相比的话,还不如去“屏蔽”那些区域性或者说临时性的地址段,减少受攻击的风险面。
 
防护墙可减少攻击
此外,还可以在骨干网、核心网的节点设置防护墙,这样在遇到大规模攻击时可以让主机减少被直接攻击的可能。考虑到核心节点的带宽通常较高,容易成为黑客重点“关照”的位置,所以定期扫描现有的主节点,发现可能导致风险的漏洞,就变得非常重要。
 
根据此前与从安全厂商了解到的消息,多层防护DDoS攻击的方法仍然适用。例如,驻地端防护设备必须24小时全天候主动侦测各类型DDoS攻击,包括流量攻击、状态耗尽攻击与应用层攻击;为了避免出现上述防火墙等设备存在的弊端,用户应该选择无状态表架构的防护设备利用云平台、大数据分析,积累并迅速察觉攻击特征码,建立指纹知识库,以协助企业及时侦测并阻挡恶意流量攻击。
 
像以上的抵御方法还有一些, 如 限制SYN/ICMP流量、过滤所有RFC1918 IP地址等等DDoS流量攻击,但归根结底,还是要从根源上进行有效遏制,不要等出了问题再去想办法,防不胜防也得尽量防。
收藏此文 赞一个 ( ) 打赏本站

如果本文对你有所帮助请打赏本站

  • 打赏方法如下:
  • 支付宝打赏
    支付宝扫描打赏
    微信打赏
    微信扫描打赏
后台-系统设置-扩展变量-手机广告位-内容正文底部

相关推荐:

留言与评论(共有 0 条评论)
   
验证码:
二维码