分布式拒绝服务攻击甚至可以使结构最完善的网络瘫痪数天,造成数百万美元的销售损失,冻结在线服务并损害公司的声誉。当 SCO Group Inc. 与 Mydoom.B 蠕虫对其网站的攻击作斗争时,最广泛报道的 DDoS 攻击之一就发起了。但是 DDoS 攻击对于任何行业的任何规模的企业来说都是一个问题。根据 2003 年 CSI/FBI 计算机犯罪和安全调查,DDoS 攻击是成本第二高的网络犯罪,也是 2003 年唯一增加的。
互联网可能是一个危险的地方,DDoS 攻击正在成为黑客、政治活动家和国际网络恐怖分子的首选武器。此外,随着黑客武器库中的工具越来越强大,DDoS 攻击变得越来越容易发起。每个月都会出现新的病毒和蠕虫,因此公司需要做好准备抵御这种不断扩大的安全威胁。
DDoS 攻击利用了 Internet 的开放性及其将数据包从几乎任何来源传送到任何目的地的优势。使 DDoS 攻击如此具有挑战性的原因在于,非法数据包与合法数据包几乎无法区分。典型的 DDoS 攻击类型包括带宽攻击和应用程序攻击。
在带宽攻击中,网络资源或设备被大量数据包消耗。对于应用程序攻击,TCP 或 HTTP 资源无法处理事务或请求。那么,您如何保护公司的服务器免受从受感染的 PC 通过 Internet 发送的数据的冲击呢?您如何防止 DDoS 攻击破坏您公司的网络?您可以采取多种方法来防御 DDoS 攻击:
黑洞或沉洞:这种方法会阻止所有流量并将其转移到黑洞,然后将其丢弃。不利的一面是,所有流量都被丢弃——无论好坏——并且目标业务被离线。同样,包过滤和速率限制措施只是简单地关闭一切,拒绝合法用户的访问。
路由器和防火墙:路由器可以配置为通过过滤非必要协议来阻止简单的 ping 攻击,也可以阻止无效的 IP 地址。但是,路由器通常对使用有效 IP 地址的更复杂的欺骗攻击和应用程序级攻击无效。防火墙可以关闭与攻击相关的特定流,但与路由器一样,它们不能执行反欺骗。
入侵检测系统: IDS 解决方案将提供一些异常检测功能,以便它们能够识别出有效协议何时被用作攻击工具。它们可以与防火墙结合使用以自动阻止流量。不利的一面是,它们不是自动化的,因此需要安全专家手动调整,而且它们经常会产生误报。
服务器:正确配置服务器应用程序对于最大限度地减少 DDoS 攻击的影响至关重要。管理员可以明确定义应用程序可以使用哪些资源以及它将如何响应来自客户端的请求。结合 DDoS 缓解设备,优化的服务器有机会通过 DDoS 攻击继续运行。
DDoS 缓解设备:几家公司要么制造专用于净化流量的设备,要么将 DDoS 缓解功能构建到主要用于其他功能(如负载平衡或防火墙)的设备中。这些设备具有不同程度的有效性。没有一个是完美的。一些合法流量将被丢弃,一些非法流量将到达服务器。服务器基础设施必须足够强大以处理此流量并继续为合法客户端提供服务。
过度配置:或购买多余的带宽或冗余网络设备来处理需求高峰可能是处理 DDoS 攻击的有效方法。使用外包服务提供商的一个优势是您可以按需购买服务,例如可在需要时为您提供更多带宽的突发电路,而不是在冗余网络接口和设备上进行昂贵的资本投资。
在大多数情况下,公司事先并不知道 DDoS 攻击即将到来。攻击的性质通常会在中途发生变化,要求公司在几个小时或几天内快速、持续地做出反应。由于大多数攻击的主要影响是消耗您的 Internet 带宽,因此装备精良的托管主机提供商拥有减轻攻击影响的带宽和设备。
结论
DDoS 攻击是可以关闭企业的破坏性隐形武器。我们对互联网的依赖不断增长,DDoS 攻击的威胁不断扩大。如果组织想要“照常营业”,则需要通过警惕的 DDoS 缓解方法来确保运营连续性和资源可用性。