亚太智媒
关闭

亚太智媒APP, 全新登场!

点击下载

网络防御:应对分布式拒绝服务攻击的三种新的防御方法

军事

2019-03-01 12:31

世界上第一次网络攻击一次意外,那是由康奈尔大学的研究生于1988年实施的分布式拒绝服务(ddos)攻击。三十年后,ddos攻击仍然是军事、企业和公共网络基础设施面临的最具破坏性的网络挑战之一。

随着人们对所有部门的网络基础设施的依赖不断增加,ddos攻击的风险和危险比以往任何时候都要大。对于政府而言,由于任务操作越来越依赖可靠的网络访问,ddos可能特别有害。我们已经看到ddos攻击袭击了政治活动,五角大楼也面临着每秒600千兆比特(Gbps)的攻击,这还是几年前闻所未闻的数字。

真正的问题是:防御手段是如何演变来解决这个问题的?

ddos攻击类型

ddos攻击主要是由僵尸网络引发的,是一种针对关键目标的流量饱和式攻击。Mirai僵尸网络可能是近年来最引人注目的攻击,因为它使用互联网连接的DVR和网络摄像头关闭Twitter、Facebook、Reddit和亚马逊的服务。这些流量攻击可以将数百Gbps的恶意流量推送到单个目标,从而使防御和保护关键网络基础设施变得极其困难。

还有一些低流量或协议和应用层的DDOS攻击,旨在耗尽目标的资源。这通常是通过以特定方式发送格式错误的网络流量来完成的。也就是说,在数据包级别(向目标系统发送坏包并强制其做出异常反应)或在协议级别(误用协议的有效交换并导致资源耗尽)。

例如,Slowloris是一种常见的协议攻击,其中一台计算机创建多个对目标服务器的部分HTTP连接请求,通过保持连接打开,目标服务器最终达到最大容量,从而达到拒绝服务。

当前的ddos防御

大多数分布式拒绝服务(DDOS)防御使用过滤作为服务或“流量清洗”作为服务方法,通常通过第三方或互联网服务提供商(ISP)提供。这些清洗服务旨在通过过滤非法恶意流量来阻止攻击。虽然这些服务可能有效,但它们有弱点,不能单独用于对付现代的ddos攻击者。

例如,大流量攻击可能会淹没过滤器的容量。为了响应,清理服务增加了带宽,这需要更多的资源并增加了成本。这将成为清洗服务和攻击者之间代价高昂的军备竞赛,从根本上讲,攻击者将能够始终超过防御方的配置资源。

这些清洗服务通常不能完全过滤坏的流量,而不同时丢弃一些合法的流量。

此外,ddos响应和恢复过程可以是手动的,而不是自动的。例如,受害者可能会注意到他们的网络服务质量很差,因为他们面临着高流量的攻击。然后受害者通知清理洗服务务激活过滤掉坏的流量包。但由于这可能很昂贵,一旦攻击平息,受害者(包括机构)可能会关闭清洗服务,让他们再次受到攻击,并设置重复周期。在识别和缓解速度至关重要的时候,这是一个反应缓慢的过程。

新的防御方法

为了提高对ddos攻击的保护,政府机构和行业必须找到新的策略和技术,以提供针对高流量和更精确的低流量攻击的全面防御。网络基础设施设计本质上需要尽可能抵御DDOS攻击

提供全面的ddos防御的三种策略包括:

  1. 分散高价值网络资产:ddos攻击者以系统最有价值的信息资产、包括电子邮件、聊天、登录或作为重要数据源的DNS服务器为目标。这使得攻击者更容易识别这些数据中心。对付这种情况的一种策略是分散或分散对手想要攻击的日志数据或DNS IP信息。这将使攻击者更难瞄准数据资产并最小化攻击的影响。
  2. 欺骗性防御:对付捕食者最好的方法之一就是欺骗他们。各机构也可以这样做来防御ddos攻击者。通过博弈论规划、实时分析和复杂的网络机动,可以跟踪敌方的攻击活动,并实施适当的反机动。例如,攻击者可能会被愚弄,认为他们的攻击是成功的,而不是成功的。
  3. 传感器驱动的响应:组织需要一种自适应的DDOS能力来识别和缓解攻击,尤其是实时发生的零日精确攻击,在清除技术的雷达下飞行时耗尽目标服务器的计算能力。使用高保真传感器,组织可以快速检测潜在的恶意活动,发送警报,触发调查并启动适当的缓解响应。

未来如何发展

目前的ddos解决方案技术还不够。攻击者已经证明,他们可以控制并溜过传统的清洗服务。

为了生存,组织需要网络和信息系统,这些系统根本上要从设计出发以抵御DDOS,而不仅仅是为了阻止攻击在后续打补丁和增加过滤器。

与不断升级的军备竞赛相比,用于迷惑、欺骗和智取袭击者的创新和适应性策略不仅更有效,而且成本更低。