科技专栏

当前位置:新葡萄京娱乐场 > 科技专栏 > 防DDoS攻击可别小瞧IP过滤

防DDoS攻击可别小瞧IP过滤

来源:http://www.653-5353.com 作者:新葡萄京娱乐场 时间:2019-11-10 20:14

近年来,大量由僵尸网络驱动的DDoS攻击利用了成千上万的被感染的物联网,通过向受害者网站发起大量的流量为攻击手段,最终造成严重后果。常年以来的顽疾DDoS似乎难以根治,那到底是否存在一些有效的遏制方法呢?

DDoS攻击勒索事件频发,挑战者企业的数据安全。今年,“无敌舰队”组织从六月中旬开始用DDoS攻击向国内证券金融公司、互联网公司发起比特币勒索,攻击流量从2G到20G不等,对企业的利益和数据安全都造成了严重的影响。

图片 1

DDoS攻击由来已久,但如此简单粗暴的攻击手法时至今日却依然有效,并已成为困扰各大网站稳定运营的“头号敌人”。除了目前主流的云清洗方案能够抵御DDoS攻击外,配备可持续监测并主动过滤攻击源IP的智能网关,辅以和威胁情报联动而构建的不良IP黑名单数据库,使之在遭受攻击前即可过滤掉大量已知不良IP地址发出的流量,实际上也是帮助企业抵御DDoS军团的一个相当高效并兼具性价比的手段。

图片 2

Gartner预计,到2020年全球将有超过200亿的物联网设备产生联接,并且日均还会有约550万台设备加入到网络环境,届时有超过半数的商业系统内置物联网组件。对此,传统的桌面安全和本地防火墙是难以抵御新型网络攻击的,黑客只需要截获某一个连接工具就能切入到设备端。

图片 3

面对频发的DDoS攻击事件,IDC服务商和企业都可以如何来抵御流量攻击或者减轻企业影响?

越来越多的物联网设备正沦为DDoS的盘中餐,隐私逐渐成为网络交互的重要组成部分,在勒索软件和各种流氓软件随处可见的今天,很多攻击手段却变得难以被探测,因此物联网的加密措施至关重要。

防DDoS攻击可别小瞧IP过滤

常规的DDoS防护应急方式因其选择的引流技术不同而在实现上有不同的差异性,主要有三种类型的DDoS防护应急手段引流方式的原理:

考虑到物联网的设备形态和功能千奇百怪,从终端、无线接入、网关,再到云平台,涉及的环节众多,要知道不少设备使用的操作系统也是不统一的,不是定制的就是非标准的,无形中为运维人员增加了负担。

利用IP过滤抵御DDoS攻击

本地DDoS防护设备:

一些支持物联网的对象拥有动态特性,例如汽车和车辆,或其他控制关键系统的设备。赛门铁克预计,针对控制关键基础设施的物联网设备的攻击数量将不断增加,如配电与通信网络。

今天,随着大量可连网智能设备的加速普及,这些智能设备被暴露出诸多的安全漏洞,甚至变成了DDoS攻击大军中的一员,就像此前将半个美国网络搞瘫的Mirai僵尸网络攻击一样。

企业侧部署设备,串联到网络中或者通过路由进行牵引流量。

随着更多的员工以个人为单位使用智能音箱、穿戴设备、智能家居等产品,安全风险的入口也越来越多,而且像工业类企业用到的传感器也越来越细分,包括具有WiFi功能的恒温器控制的采暖通风和HVAC系统等等,这些传感器在接入核心网的时候很可能没有经过IT运维团队的授权。一项调查显示,大多数企业并没有觉察到物联网或工业物联网的无线网络,与企业基础设施是分离的。

不过,在Mirai源代码被蓄意公开之前,可连网智能设备被用于大规模DDoS攻击的情况并不多见。可是现在的情况在Mirai源代码公开后,显然已经发生了巨大变化,不法黑客掌控可联网设备的僵尸网络迅速拓张了其规模与攻击威力。这时一旦这些设备或网络受到危害并用于恶意目的,企业将无法进行有效的防护。

运营商清洗服务:

当然,敲诈勒索对DDoS世界来说并不陌生,但要看看攻击者是如何利用敲诈勒索的也很有意思。早期的勒索程序像DD4BC,会发送不知名的电子邮件,包括攻击和支付信息,日期和截止日期,以及小型攻击,同时威胁更大的攻击和更大的支出,如果受害者合作不能令人满意,就可能会遭殃了。

这时,企业可以如果部署有一个可以持续监测并主动过滤受僵尸网络控制IP地址的网关,通过与威胁情报联动,持续更新不良IP地址数据库,就会掌握哪些IP地址已经被僵尸网络所控制或被其他恶意软件入侵。当来自这些恶意IP地址的流量抵达网关时,该网关能够以高达10GB的线速自动过滤掉恶意流量,防止其到达防火墙,大大提升防火墙和相关安全解决方案的效率。这样将极大减少防火墙等周边保护工具和网络自身的工作负载,将企业遭受攻击的风险降至最低。

部署在城域网,多通过路由方式进行引流,多基于FLOW方式检测攻击。

像DDoS世界中的Memcached,攻击者广泛而迅速地采用了各种规模的跨组织和行业攻击,并且不久就能想出将威胁转化为商机的方法。

据了解,在抵御DDoS攻击时,利用这种IP过滤的方式,至少能够将1/3的恶意流量进行过滤,这可为企业网络防护节省出大量的投资成本,并提升网络的整体防御能力。

云清洗服务:

另一个趋势是,2019年,越来越多的攻击者将试图访问家庭路由器与其他物联网中心,以捕获经过这些路由器或中心的数据。例如,入侵这些路由器中的恶意软件可以窃取银行凭证、捕获信用卡号或向用户显示用于盗取敏感信息的虚假恶意网页。也就是说,攻击者通过新的方式利用家庭Wi-Fi路由器,以及其他安全性较差的物联网设备来进行攻击。

而且通过过滤、拦截恶意IP地址还可阻止企业网络中那些已遭入侵的设备与黑客的指挥与控制中心进行通讯,防止这些设备被用作其他DDoS攻击的帮凶,也能及时遏制潜在的数据泄露。

利用Cname,将源站解析到新的域名,从而实现其引流。

本文由新葡萄京娱乐场发布于科技专栏,转载请注明出处:防DDoS攻击可别小瞧IP过滤

关键词: