在网络安全行业大家知道的DDoS攻击,也是现下最流行、最泛滥的一种攻击。同时针对防御DDoS技术也是一直在提升中。大家都知道DDoS的攻击是由僵尸网络组建成的,那么如何有效的治理僵尸网络以此来避免遭遇DDoS呢? 通过治理僵尸网络,可以切断DDoS攻击的源头,从理论层面上讲这是防御DDoS的最有效的方法。但是在实际操作过程中,在僵尸网络的治理方面,也面临着很多的困难和问题。困难的点:首先是在能够检测到网络异常的情况下,才能知道系统是否感染了僵尸程序。 如果僵尸主机用来发动DDoS攻击,会在每秒单位时间内产生大量的攻击流量。对于安装在网络出口的检测设备可能会出现异常提示,在内存占用上一部分主机也可以发现异常。但是针对小流量并且加密过得,这些可能就会隐藏在正常的请求中不易被发觉,由此察觉不到被感染。一般在检测到感染后,就会提取样本,然后对其进行逆向分析,找出需要的信息。不过这个时间是根据样本的难易程度来决定。最后根据分析结果来制定防御DDoS方案。 一种是接管或摧毁整个僵尸网络。这种做法非常因难,因为僵尸网络的分布比较广泛,并不限定在某一个区、城市、省份、国家等,而且相对应的控制服务器也分布广泛。因此,这种跨区域的打击行动就需要政府间的协调合作,不过这种一般是很难实现,只有实力强大,影响范围广的政府或者是大公司的才可以做到。 另一种是使用地理位置IP信息降低DDOS攻击的可能性。僵尸网络分布于世界各个角落,在某些国家和地区尤为严重,在不同的地理位置发动攻击。Web应用防火墙具有内置的地理位置IP信息库,可以定位具体发动攻击的IP地址的地理位置。在攻击发生过程中,可以使用该功能阻断来自某个发动攻击的主要国家或地区的攻击流量。根据僵尸网络分布的足迹,大约30%-70%的攻击流量可以被基于地理位置的访问控制策略阻断。这不仅仅可以使您可以继续为正常地区的用户提供Web应用服务,而且可以释放系统资源和网络带宽。 还有一种是编写僵尸程序清除工具,分发至企业局域网的其他感染主机进行清除处理,同时将C&C服务器域名或地址以及数据包等特征加入规则予以拦截。不过这样做只能清除掉僵尸网络的一部分,剩余的僵尸网络还是可以运营,所以我们的网络仍然面临着被攻击的风险,如源于僵尸网络的DDoS攻击等。 现今对僵尸网络治理的问题应该先重视起来,像建房子的打地基一样,地基越扎实房子越牢固,这也是有效防御DDoS的关键点之一。僵尸网络是黑客在网络犯罪过程中运用到工具之一。利用它可以衍变出很多种不同的攻击,造成的后果可以使整个基础的信息网络瘫痪,企业的核心数据以及个人的账户信息资料等泄露。
DDoS攻击和防御DDoS均是由多种因素组成的,而网络安全的实质就是技术人员与技术人员的较量,这就是一场网络战争。企业需要采用一套综合的防护策略来对付僵尸网络以及基于应用层的DDOS攻击,应用层流量的可视性和可控性是网络分层防御策略的关键元素,可有效地防御多元化的DDOS攻击。
|