什么是DDoS攻擊?
分布式拒絕服務(DDoS:Distributed Denial of Service)攻擊指借助于客戶/服務器技術,將多個計算機聯合起來作為攻擊平臺,對一個或多個目標發動DDoS攻擊,從而成倍地提高拒絕服務攻擊的威力。
DDoS攻擊的威脅有哪些?
DDoS攻擊的破壞力很大,足以威脅到整個國家的關鍵基礎設施,這個事實可以解釋為何諸多政府部門在開始要求:必須制定DDoS緩解方案。如果企業遭遇DDoS攻擊的話,對于企業來說會是一次巨大的打擊。
企業如何預防DDoS攻擊?
2、網絡管理員們可以確保自己遵守其他最佳實踐,從而加強互聯網的總體安全。
比如說,他們應該熟悉國土安全部頒布的DDoS快速指南(DDoS Quick Guide),還應該落實開放解析器項目(Open Resolver Project)等項目給予的建議。開放解析器可以回復針對域外主機的遞歸查詢,因而用于DNS放大DDoS攻擊中。該項目已列出了2800萬個構成重大威脅的解析器,并提供了詳細指導,教人們如何配置DNS服務器,以減小DNS放大攻擊的威脅。
1、企業要想預防DDoS攻擊,長期的解決辦法就是加強攻擊者用來發動攻擊的互聯網協議,并且要求升級系統,以便得益于最佳實踐。
比如說,許多DDoS攻擊之所以能得逞,就是因為攻擊者通常借助上當受騙的源IP地址來生成流量。IETF Best Common Practices文檔BCP 38建議:網絡操作人員應對從下游客戶進入其網絡的數據包進行過濾,丟棄源地址不在其地址范圍內的任何數據包。這樣可以讓黑客無法發送聲稱來自另一個網絡的數據包(即欺詐攻擊)。不過,按BCP 38的要求來做需要一筆支出,卻沒有立竿見影的效果,因而盡管有益于更廣泛的社區,卻沒有全面實施起來。
3、與往常一樣,若能確保已安裝了軟件的最新版本,系統不大容易受到黑客的攻擊,黑客經常企圖利用其資源作為DDoS攻擊的一部分。
比如說,務必要更新運行BIND的DNS服務器,因為互聯網系統聯盟(Internet Systems Consortium)現在已將響應速率限制(RRL)添加到最佳版本中。RRL可以檢測表明存在濫用現象的模式,從而有助于緩解DNS放大攻擊,并減少發送回復的速率。另外務必要更新網絡時間協議(NTP)服務器,因為4.2.7之前的所有版本都很容易被用于NTP放大攻擊中。
4、雖然金融機構等大企業是某些攻擊者眼里的明顯目標,但它們至少有財力和資源來采用最新的安全技術和最佳實踐。不過,歐洲服務器租用 云服務器,資源有限的小企業仍然面臨可能很強大的對手。這也是谷歌啟動護盾項目(Project Shield)的原因之一:好讓那些運行新聞、人權或選舉方面網站的組織機構可以通過谷歌龐大的DDoS緩解基礎設施來發布其內容。這種類型的計劃主要旨在確保潛在的受害者有足夠的資源來抵御攻擊,從而消除DDoS攻擊的影響。
DDoS攻擊對于現在的企業來說可以說是一個極大的隱患,所以為了預防DDoS攻擊需要我們大家團結起來,共同應對。全面共享DDoS緩解資源、實施行業最佳實踐可能很費時間和資源,而且可能無法立即帶來回報,但是互聯網是個整體性的社區項目,打擊DDoS攻擊是大家共同的責任。
