DDoS虽然不是一个新事物,即使是2016年10月21日搞瘫美国半个互联网的Mirai
DDoS攻击,也只是让很多人的小心脏稍微颤抖了几下,然后又恢复了往日的平静。大家感觉DDoS只是一时的攻击,不是时刻刀架在脖子上。下面的8大幻想还在很多客户的脑海里打转:
关于DDoS的八大幻想
幻想1:公司数据中心已经有了DDoS防护,就可以轻松抵挡DDoS来犯?
事实果真如此吗?最近业界发现的最大的DDoS攻击峰值流量已经达到500Gbps,几乎没有哪个客户可以通过自己的数据中心部署的DDoS防护来抵挡住这么大流量的攻击。并且过去几年DDoS的攻击流量不断提升,特别是IoT的广泛部署,更是方便了僵尸的快速集结,降低了DDoS攻击的成本,提升了DDoS攻击危害。
今天云清洗和本地数据中心的双重防护才是出路,这已经成为了DDoS业界共识。
全球DDoS峰值流量进展
数据来源:Arbor全球架构安全第11年年度报告
幻想2:我们公司不会成为DDoS攻击的对象?
虽然90%的DDoS攻击针对的是专业领域,其中81%的DDoS攻击针对教育用户。但任何用户都不能掉以轻心,因为随着各个行业移动化、数字化和互联网化的加速,任何用户都很容易成为DDoS攻击的对象。基于云端的DDoS防护成为IT投资中不可或缺的一部分,就像今天的各种保险一样。
幻想3:公司的防火墙可以抵挡DDoS攻击?
最近的调研表明,超过40%的DDoS攻击可以轻松跨越今天的防火墙,因为防火墙和IPS根本不能区分流量到底是来自恶意用户还是合法用户。同时,企业防火墙也完全不能抵挡大流量的DDoS攻击,还是不要期望防火墙帮你抵挡DDoS,DDoS需要专门的清洗中心来抵御。
幻想4: DDoS攻击很简单,都是单向量攻击?
其实78%的DDoS攻击都是多向量攻击,防护非常困难,需要借助复杂工具和知识进行有效防御。多向量DDoS攻击,会寻找防御链中的最薄弱点进行攻击,影响在线服务的正常进行,这对于以在线业务为收入的企业来讲,打击是摧毁性的。多向量DDoS攻击因其规模大、复杂度高,使得传统DDoS解决方案在防御时捉襟见肘。混合DDoS防护是目前对多向量DDoS攻击最有效的防护方法。
幻想5:我们在线业务少,应该不会遭遇DDoS攻击?
其实,DDoS攻击从来不分企业大小,任何规模的企业都可能遭受DDoS攻击。即使今天的企业规模不大,也千万不能侥幸的认为自己是天然免疫DDoS攻击。
幻想6: DDoS攻击就是暴力攻击而已?
其实DDoS攻击不仅是暴力攻击,还会和针对应用攻击等相结合,使得DDoS攻击的破坏性极剧扩大。最新的调研表明,大约19%的DDoS攻击会针对应用层进行攻击,而应用层的防护需求越来越迫切。
幻想7: DDoS方案不值得投资?
调研表明,2015年45%的组织都经受过至少一次DDoS攻击,平均每次DDoS攻击造成的损失达到每小时20-50万美金。DDoS绝对值得引起大家的注意,特别是在线业务急剧成长的企业,千万不能掉以轻心。
幻想8: DDoS攻击没有直接财务损失?
其实,90%的多向量网络攻击都会以DDoS作为烟幕弹来进行掩护,很多时候发生了DDoS攻击的同时,你要小心后台是不是有人在盗取用户账户、获取关键财务信息,从而进行金融犯罪等。
检测和缓解DDoS威胁
DDoS虽然已经有很多年的历史,但随着互联网+的不断推进,它的危害越来越大,任何组织都应该马上开始考虑自己的DDoS防护方案,而不是成为DDoS攻击的炮灰,也尽量避免DDoS攻击后再进行亡羊补牢。
安全专业人可以通过确认以下几种主要的攻击类别,就可以减少前所未知的攻击途径:
- 流量式:洪水攻击
- 运算非对称:消耗CPU周期
- 状态式非对称:滥用内存
- 基于漏洞:利用软件隐患
- 混合式DDoS:多种攻击途径的结合
作者:张振伦
来源:51CTO