DDoS攻击:绝对不容忽视的安全问题

  在网络安全界,DDoS攻击已经不是一个新鲜的名词。最早的DDoS攻击可以追溯到1996年,在中国DDoS攻击于2002年开始频繁出现,2003年已经初具规模。然而近几年,这个老生常谈的网络攻击方式却以新的攻击方式,给带来巨大的网络安全威胁。

  “事实上DDoS攻击并不是一个陌生的话题,但却是一个绝对不容忽视的安全问题。” 梭子鱼技术总监贾玉彬如是说道,“简单概述,目前DDoS攻击新趋势是:从TCP/IP层上移到了应用层。”

  根据 Gartner预测,DDOS攻击会占2013年所有的应用层攻击中的25%左右。基于应用层的DDOS攻击每年以三倍的速度增长。在过去,DDOS攻击使用大量伪造的UDP, TCP SYN, 或者ICMP流量来意图淹没目标网络。然而,当今的攻击平台已经进化到包含应用层的DDOS攻击,目标是Web系统和DNS系统。

  贾玉彬表示:“随着攻击手段和攻击目标的变化,将使得任何一个互联网上的应用都可能会成为攻击目标,70%以上的为随机受害者。”在他看来,目前DDoS攻击的手段和方式主要有三种:

  1、大流量型攻击,主要凭借大量的僵尸网络和应用层DDoS攻击受害者的Web应用,例如大流量访问需要消耗大量系统资源的url,从而导致Web应用崩溃;

  2、匿名者组织,这个组织通过社交网络组织大量人力并提供LOIC和JS LOIC两种工具,这些来自社交网络的人员都是真真正正的人而不是僵尸主机,所以这种攻击更难于防范;

  3、慢客户端攻击,这种利用了HTTP协议本身的缺陷,只需要非常少量的资源即可快速使目标受害者的站点陷入瘫痪,典型的工具如 Slowloris,目前这种攻击目前非常流行,从协议的合规性分析,这种攻击流量是正常的流量,所以依靠特征库和黑名单技术的防护设备检测不出这种攻击。

  面对呈现新形式的DDoS攻击,贾玉彬指出中国在抵御DDoS攻击方面所做的工作仍有很大的提升空间;“目前,大部分的企事业单位还停留在防御对网络层的DDoS的攻击防护或者是对大流量攻击的防护,这显然是不够的。”

  对此,贾玉彬也为在如何防御DDoS攻击方面提出了建议。他指出,防御DDoS攻击需要重点做好两个方面防御措施:

  1、部署边界网络防火墙和IPS,过滤网络层的DDoS攻击;

  2、部署Web应用防火墙(WAF),防御对应用层的DDoS攻击进行防护,前提是部署的WAF需要支持对僵尸(主机)网络攻击的识别和防护、慢客户端攻击的防护、匿名者攻击的防护。

  不管怎样,当DDoS这种看似陈旧过时的攻击以新的攻击方式卷土重来的时候,如果不进行有效主动防御,那么本身就将有可能成为网络安全问题的一部分。对而言,这是一个绝对不容忽视的安全问题。

如何解决交换机的DDoS攻击与内网服务器DDoS攻击的问题

07/11 06:33
有过网吧或机房管理经验朋友肯定知道,机器中的病毒是很让人头疼的事情,尤其是内网服务器DDoS攻击和交换机的DDoS攻击,直接影响网吧网络的安全问题,分享解决这个问题的方法。 1、在PC上安装过滤软件 它与ARP防御软件类似,通过监控网卡中所有的报文,并将其与软件自身设定的内容进行比对。受限于软件自身的处理能力,该类型的软件一般仅过滤TCP协议,而对网吧中大量游戏、视频应用使用的UDP、ICMP、ARP等报文不做过滤。 2、关键设备前加设防火墙 关键设备前加设防火墙,过滤内网PC向关键设备发起的D

如何摆平交换机的DDoS攻击的问题

07/05 10:08
有过网吧或机房管理经验朋友肯定知道,机器中的病毒是很让人头疼的事情,尤其是内网服务器DDoS攻击和交换机的DDoS攻击,直接影响网吧网络的安全问题,分享解决这个问题的方法。 1,在PC上安装过滤软件 它与ARP防御软件类似,通过监控网卡中所有的报文,并将其与软件自身设定的内容进行比对。受限于软件自身的处理能力,该类型的软件一般仅过滤TCP协议,而对网吧中大量游戏、视频应用使用的UDP、ICMP、ARP等报文不做过滤。 2,关键设备前加设防火墙 关键设备前加设防火墙,过滤内网PC向关键设备发起的D

无线局域网DDoS攻击技术包括那些技术要点

11/01 02:19
1.概述 随着信息技术的发展,各种网络安全问题也是层出不穷.无线局域网虽然具有易于扩展.使用灵活.经济节约等优点,但是由于其采用射频工作方式,使得 WLAN在安全方面显得尤为脆弱.基于 IEEE802.1l的无线网络得到了广泛的应用,但也成为极有吸引力的攻击目标.由于IEEE802.11的WEP加密机制和认证协议存在严重的缺陷,经过大量的研究,产生了一系列的扩展协议,以加强 无线网络的访问控制和机密性.但无线网络由于其开放特性,还是很容易受到攻击,其中,分布式拒绝服务攻击是最难检测和控制的.无线

交换机遭遇DDoS攻击该如何来解决?

08/17 11:32
一个局域网内有一台机子中了病毒,如果不及时杀毒和隔离,其他的机子很快便会感染病毒.一旦病毒感染全场机器,轻则断网杀毒,投入大量人力物力反复检查;重则系统破坏,网吧被迫停业.网吧业主对病毒可谓谈之色变,有过网吧或机房管理经验朋友肯定知道,机器中的病毒是很让人头疼的事情,尤其是内网服务器DDoS攻击和交换机的DDoS攻击,直接影响网吧网络的安全问题,本文分享解决这个问题的方法. 1.在PC上安装过滤软件 它与ARP防御软件类似,通过监控网卡中所有的报文,并将其与软件自身设定的内容进行比对.受限于软件

Freebsd+IPFW结合使用防小规模DDOS攻击的配置方法

05/19 00:07
由于服务器分布太散,不能采用硬件防火墙的方案,虽然IPtables功能很强大,足以应付大部分的攻击,但 Linux系统自身对DDoS攻击的防御力本来就弱,只好另想办法了。 一、Freebsd的魅力 发现Freebsd的好处是在一次偶然的测试中,在LAN里虚拟了一个Internet,用一台Windows客户端分别向一台Windows Server、Linux Server和一台Freebsd在无任何防范措施的情况下发送Syn Flood数据包(常见的DDoS攻击主要靠向服务器发送Syn Flo

Win2000通过修改注册表提高抗DDOS攻击能力

09/06 01:40
拒绝服务攻击(Distributed Denial of Service)。 所谓拒绝服务,是指在特定攻击发生后, 被攻击的对象不能及时提供应有的服务,例如本来应提供 网站服务(HTTP Service)而不能提供网站服务,电子邮件服务器(SMTP,POP3)不能提供收发信件等等 的功能,基本上,阻绝服务攻击通常利用大量的网络数据包,以瘫痪对方之网络及主机,使得正常的使用者 无法获得主机及时的服务。 分布式拒绝服务,简单的说就是用远超过目标处理能力的海量数据包消耗可用系统,以及网络带宽,造成网络

DDoS攻击服务器的原理

12/02 15:51
在服务器遭遇的攻击中,DDoS(DistributedDenialofService,分布式拒绝服务)攻击是一种非常可伯的黑客行为,它可以让一个大型服务器群也能很快地出现访问故障。随着Internet互联网络带宽的增加和多种DDOS黑客工具的不断发布,DDOS拒绝服务攻击的实施越来越容易,DDOS攻击事件正在成上升趋势。很多IDC托管机房、商业站点、游戏服务器.聊天网络等网络服务商长期以来一直被DDOS攻击所困扰。 DDOS的攻击策略侧重于通过很多“僵尸主机”(被攻击者人侵过或可间接利用

linux下防DDOS攻击软件及使用方法详解

03/22 21:28
互联网如同现实社会一样充满钩心斗角,网站被DDOS也成为站长最头疼的事。在没有硬防的情况下,寻找软件代替是最直接的方法,比如用 iptables,但是iptables不能在自动屏蔽,只能手动屏蔽。 一、什么是DDOS攻击? DDoS也就是分布式拒绝服务攻击。它使用与普通的拒绝服务攻击同样的方法,但是发起攻击的源是多个。通常攻击者使用下载的工具渗透无保护的主机,当获得该主机的适当的访问权限后,攻击者在主机中安装软件的服务或进程(以下简侈怔理)。这些代理保持睡眠状态,直到从它们的主控端得

nginx 全局变量及防DDOS攻击的简单配置

03/25 21:59
经常需要配置Nginx ,其中有许多以 $ 开头的变量,经常需要查阅nginx 所支持的变量。 可能是对 Ngixn资源不熟悉,干脆就直接读源码,分析出支持的变量。 Nginx支持的http变量实现在 ngx_http_variables.c 的 ngx_http_core_variables存储实现: ngx_http_core_variables 1 static ngx_http_variable_t ngx_http_core_variables[] = { 2