DDoS攻擊已成為主流

僵尸網(wǎng)絡(luò)驅(qū)使的DDoS攻擊很可能繼續(xù)成為2011年和以后的一種成本低且影響力高的網(wǎng)絡(luò)抵制形式。2010年發(fā)生的主要網(wǎng)絡(luò)事件包括涉及中日領(lǐng)土爭端，緬甸、斯里蘭卡政治騷亂及‘維基解密’等事件的DDoS攻擊。保護網(wǎng)絡(luò)可用性的需求最終進入全球企業(yè)IT咨詢公司的監(jiān)管視線，而對DDoS的防范也因此將被全球列為CXO級的管理問題。

攻擊范圍繼續(xù)擴大

DDoS攻擊范圍包括易受DDoS攻擊的網(wǎng)絡(luò)基礎(chǔ)設(shè)施、服務(wù)器、協(xié)議和服務(wù)的各個方面。隨著在網(wǎng)絡(luò)中引入新的設(shè)備、協(xié)議和服務(wù)，易受DDoS攻擊的設(shè)施的范圍將會擴大。這對網(wǎng)絡(luò)運營商而言是一個巨大的挑戰(zhàn)。由僵尸網(wǎng)絡(luò)驅(qū)使的大規(guī)模的應(yīng)用層DDoS攻擊仍然是運營商面臨的最主要問題。今年的報告還將披露針對基礎(chǔ)設(shè)施本身的攻擊，尤其是針對域名系統(tǒng)(DNS)、VoIP和IPv6的攻擊。

Arbor Networks公司首席解決方案專家Roland Dobbins稱：“網(wǎng)絡(luò)運營商正在面對由無處不在的僵尸網(wǎng)絡(luò)所發(fā)起的全球性互聯(lián)網(wǎng)暴動。這導(dǎo)致DDoS攻擊的規(guī)模、頻率和復(fù)雜度迅速加大。攻擊向量不斷增多，包括應(yīng)用和服務(wù)，以及在移動設(shè)備上的蔓延，都大大增加了運營商面臨的挑戰(zhàn)。”

應(yīng)用層DDoS攻擊的復(fù)雜度和其對運行的影響程度都在增加。2010年有多達(dá)77%的受訪者報告檢測到應(yīng)用層攻擊。這些攻擊既針對其客戶也針對其附屬支持服務(wù)，如DNS和門戶網(wǎng)站等?；ヂ?lián)網(wǎng)數(shù)據(jù)中心(IDC) 和手機/固網(wǎng)的無線運營商都報告指出，應(yīng)用層DDoS攻擊能夠?qū)е麓罅糠?wù)中斷，運營費用(OPEX)上升，客戶流失和收益損失。

復(fù)雜度不斷增加的攻擊暴露IPS和防火墻的弱點

為防范DDoS攻擊，許多運營商部署了基于狀態(tài)檢測的防火墻(stateful firewall)和入侵防御系統(tǒng)(IPS)設(shè)備來保護數(shù)據(jù)中心基礎(chǔ)設(shè)施。但實際上，這些設(shè)備會使得網(wǎng)絡(luò)更容易遭受攻擊，因為即便是對目前升級最靈活的設(shè)備上的狀態(tài)表，一個中等規(guī)模的DDoS攻擊就可讓其癱瘓。有近49%的IDC受訪者報告了DDoS攻擊導(dǎo)致的防火墻和IPS癱瘓事件。

移動網(wǎng)絡(luò)缺乏準(zhǔn)備為新攻擊提供了機會

就網(wǎng)絡(luò)的可見性和控制，以及保護自身和客戶免受攻擊的整體能力而言，發(fā)展最迅速的手機和固網(wǎng)的無線網(wǎng)絡(luò)運營服務(wù)可能是互聯(lián)網(wǎng)服務(wù)提供商(ISP)中缺乏充分準(zhǔn)備的一環(huán)。有近60%的受訪者表示對其無線分組核心的流量缺乏可見性或受限。而僅有23%的受訪者表示其無線分組核心具有可見性，與其有線網(wǎng)絡(luò)的可視性相當(dāng)或更好。值得注意的是，就安全而言，許多手機和固網(wǎng)的無線網(wǎng)絡(luò)運營商可能僅具備與8到10年前有線運營商之狀況相近的保護能力。

運營商在轉(zhuǎn)變?yōu)镮Pv6運營商的同時，也正在努力維持其安全狀況。一些運營商就對IPv6網(wǎng)絡(luò)流量的可見性缺乏，以及無法象控制IPv4流量一樣地控制IPv6網(wǎng)絡(luò)流量存在擔(dān)憂。部署IPv6到IPv4的網(wǎng)關(guān)和網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT) 時所帶來的額外網(wǎng)絡(luò)狀態(tài)和DDoS向量，對網(wǎng)絡(luò)可用性也是一個嚴(yán)重的威脅。

DNS成為首要攻擊目標(biāo)

DDoS攻擊最容易的方式之一就是DNS攻擊。它能夠通過拒絕互聯(lián)網(wǎng)用戶解析服務(wù)器/資源記錄，導(dǎo)致一臺服務(wù)器，一項服務(wù)或一個應(yīng)用程序離線。此外，大量錯誤配置的DNS開放式遞歸運算，加上許多網(wǎng)絡(luò)缺乏反欺騙部署，就會讓攻擊者發(fā)起導(dǎo)致DNS癱瘓的反射/放大性攻擊。

【編輯推薦】

1. DDoS 響應(yīng)
2. DDos 響應(yīng) 續(xù)
3. DDoS攻擊來勢洶洶
4. 網(wǎng)絡(luò)安全之?dāng)?shù)據(jù)泄露