近年来, 大量由僵尸网络驱动的 DDoS 攻击利用了成千上万的被感染的物联网, 通过向受害者网站发起大量的流量为攻击手段, 最终造成严重后果. 常年以来的顽疾 DDoS 似乎难以根治, 那到底是否存在一些有效的遏制方法呢?
(图片来自 thesslstore)
Gartner 预计, 到 2020 年全球将有超过 200 亿的物联网设备产生联接, 并且日均还会有约 550 万台设备加入到网络环境, 届时有超过半数的商业系统内置物联网组件. 对此, 传统的桌面安全和本地防火墙是难以抵御新型网络攻击的, 黑客只需要截获某一个连接工具就能切入到设备端.
越来越多的物联网设备正沦为 DDoS 的盘中餐, 隐私逐渐成为网络交互的重要组成部分, 在勒索软件和各种流氓软件随处可见的今天, 很多攻击手段却变得难以被探测, 因此物联网的加密措施至关重要.
考虑到物联网的设备形态和功能千奇百怪, 从终端, 无线接入, 网关, 再到云平台, 涉及的环节众多, 要知道不少设备使用的操作系统也是不统一的, 不是定制的就是非标准的, 无形中为运维人员增加了负担.
一些支持物联网的对象拥有动态特性, 例如汽车和车辆, 或其他控制关键系统的设备. 赛门铁克预计, 针对控制关键基础设施的物联网设备的攻击数量将不断增加, 如配电与通信网络.
随着更多的员工以个人为单位使用智能音箱, 穿戴设备, 智能家居等产品, 安全风险的入口也越来越多, 而且像工业类企业用到的传感器也越来越细分, 包括具有 Wi-Fi 功能的恒温器控制的采暖通风和 HVAC 系统等等, 这些传感器在接入核心网的时候很可能没有经过 IT 运维团队的授权. 一项调查显示, 大多数企业并没有觉察到物联网或工业物联网的无线网络, 与企业基础设施是分离的.
当然, 敲诈勒索对 DDoS 世界来说并不陌生, 但要看看攻击者是如何利用敲诈勒索的也很有意思. 早期的勒索程序像 DD4BC, 会发送不知名的电子邮件, 包括攻击和支付信息, 日期和截止日期, 以及小型攻击, 同时威胁更大的攻击和更大的支出, 如果受害者合作不能令人满意, 就可能会遭殃了.
像 DDoS 世界中的 Memcached, 攻击者广泛而迅速地采用了各种规模的跨组织和行业攻击, 并且不久就能想出将威胁转化为商机的方法.
另一个趋势是, 2019 年, 越来越多的攻击者将试图访问家庭路由器与其他物联网中心, 以捕获经过这些路由器或中心的数据. 例如, 入侵这些路由器中的恶意软件可以窃取银行凭证, 捕获信用卡号或向用户显示用于盗取敏感信息的虚假恶意网页. 也就是说, 攻击者通过新的方式利用家庭 Wi-Fi 路由器, 以及其他安全性较差的物联网设备来进行攻击.
由此, 引伸出来的重要问题是, 到底怎样才能有效抵御或者说有效遏制 DDoS 攻击呢? 首先, 用户要去尝试了解攻击来自于何处, 原因是黑客在攻击时所调用的 IP 地址并不一定是真实的, 一旦掌握了真实的地址段, 可以找到相应的码段进行隔离, 或者临时过滤. 同时, 如果连接核心网的端口数量有限, 也可以将端口进行屏蔽.
相较被攻击之后的疲于应对, 有完善的安全机制无疑要更好. 有些人可能会选择大规模部署网络基础设施, 但这种办法只能拖延黑客的攻击进度, 并不能解决问题. 与之相比的话, 还不如去 "屏蔽" 那些区域性或者说临时性的地址段, 减少受攻击的风险面.
此外, 还可以在骨干网, 核心网的节点设置防护墙, 这样在遇到大规模攻击时可以让主机减少被直接攻击的可能. 考虑到核心节点的带宽通常较高, 容易成为黑客重点 "关照" 的位置, 所以定期扫描现有的主节点, 发现可能导致风险的漏洞, 就变得非常重要.
根据此前与从安全厂商了解到的消息, 多层防护 DDoS 攻击的方法仍然适用. 例如, 驻地端防护设备必须 24 小时全天候主动侦测各类型 DDoS 攻击, 包括流量攻击, 状态耗尽攻击与应用层攻击; 为了避免出现上述防火墙等设备存在的弊端, 用户应该选择无状态表架构的防护设备利用云平台, 大数据分析, 积累并迅速察觉攻击特征码, 建立指纹知识库, 以协助企业及时侦测并阻挡恶意流量攻击.
像以上的抵御方法还有一些, 如 限制 SYN/ICMP 流量, 过滤所有 RFC1918 IP 地址等等, 但归根结底, 还是要从根源上进行有效遏制, 不要等出了问题再去想办法, 这也是 DDoS 攻击 "不绝于耳" 的原因.
来源: http://netsecurity.51cto.com/art/201905/595861.htm