防火墻VSDDoS攻擊

據(jù)有關(guān)人士表示，超過(guò)80%的網(wǎng)絡(luò)攻擊是針對(duì)網(wǎng)絡(luò)應(yīng)用程序的，而傳統(tǒng)的防護(hù)措施，諸如服務(wù)器周邊的防火墻設(shè)備所能起到的防護(hù)作用很小。這就是為什么DDOS類(lèi)的攻擊總能成功擊潰網(wǎng)站或支付系統(tǒng)的原因。由于DDOS攻擊所采用的訪問(wèn)請(qǐng)求很難與正常訪問(wèn)請(qǐng)求區(qū)別開(kāi)，因此傳統(tǒng)的防御系統(tǒng)，比如入侵預(yù)防系統(tǒng)或入侵檢測(cè)系統(tǒng)很難阻擋住DDOS的攻擊。

一般來(lái)說(shuō)，在應(yīng)用防火墻允許請(qǐng)求進(jìn)入系統(tǒng)前，會(huì)通過(guò)發(fā)送并響應(yīng)cookie來(lái)判斷該用戶是否真實(shí)，以及該訪問(wèn)請(qǐng)求是否有效。而在最近很多DDOS攻擊實(shí)例中，比如針對(duì)Paypal，MasterCard以及Visa網(wǎng)站所進(jìn)行的攻擊，都是通過(guò)僵尸網(wǎng)絡(luò)中的肉雞電腦發(fā)送的，而這些電腦并不能響應(yīng)應(yīng)用防火墻發(fā)送的查詢請(qǐng)求。

據(jù)報(bào)道，這一系列網(wǎng)絡(luò)攻擊被稱(chēng)作“Operation Payback”，其目的是聲援被羈押的維基解密創(chuàng)始人Julian Assange。而維基解密網(wǎng)站也由于美國(guó)和歐洲ISP，網(wǎng)絡(luò)托管商以及支付供應(yīng)商的退出而關(guān)閉。

作為對(duì)Wikileaks和Assange所受遭遇的報(bào)復(fù)，支持者們動(dòng)用了超過(guò)3000臺(tái)志愿電腦以及超過(guò)3萬(wàn)臺(tái)肉雞電腦對(duì)PayPal, MasterCard和Visa網(wǎng)站發(fā)動(dòng)了DDOS攻擊。

沒(méi)有傻瓜式的解決方案

除了建立應(yīng)用防火墻，企業(yè)能考慮的其它類(lèi)型的防護(hù)手段包括利用ISP過(guò)濾非法網(wǎng)絡(luò)請(qǐng)求后提供給企業(yè)接入的“清潔管道”以及采用更高級(jí)別的安全協(xié)議等。另外，企業(yè)還可以對(duì)網(wǎng)絡(luò)協(xié)議進(jìn)行修改，確保所有需要連接到服務(wù)器的請(qǐng)求都是預(yù)先核準(zhǔn)的。

但是，隨著技術(shù)的不斷進(jìn)步，黑客和網(wǎng)絡(luò)罪犯?jìng)円苍趪L試各種方法來(lái)破壞系統(tǒng)，移動(dòng)設(shè)備接入量的不斷增加，加劇了安全人員進(jìn)行系統(tǒng)防護(hù)的難度。 Yordanov認(rèn)為，員工的分散程度越大，企業(yè)網(wǎng)絡(luò)收到攻擊的風(fēng)險(xiǎn)也就越大，因?yàn)楹芏嗑W(wǎng)絡(luò)罪犯正是利用了這種分散辦公模式中存在的安全漏洞。

沒(méi)有什么傻瓜式的解決方案能夠百分百的安全，而能夠想到的傻瓜式解決方案就只有關(guān)閉系統(tǒng)電源了。

他說(shuō)：“與其看著系統(tǒng)被攻擊，更好的辦法就是徹底關(guān)閉系統(tǒng)。在以前，如果網(wǎng)管能夠追蹤IP地址，找出DDOS攻擊的發(fā)源地，他們就可以將發(fā)源地的IP地址段列入黑名單，但這僅限于靜態(tài)IP地址。而現(xiàn)在，越來(lái)越多的攻擊采用變化頻繁的地址，使得這種黑名單的方式也失效了。”

而另一種不必關(guān)閉系統(tǒng)的方法，就是派人不斷地監(jiān)控網(wǎng)絡(luò)流量，但是這需要大量的網(wǎng)絡(luò)技術(shù)人員，并不適合中小企業(yè)。

云安全的前途

對(duì)于云計(jì)算安全性的看法時(shí)，對(duì)于目前的云計(jì)算安全性很多人都表示出了悲觀態(tài)度，但是同時(shí)，假以時(shí)日云計(jì)算的安全性將會(huì)得到改善。曾經(jīng)有六個(gè)云計(jì)算供應(yīng)商提供的SLA（服務(wù)等級(jí)協(xié)議），但是沒(méi)有一個(gè)供應(yīng)商在協(xié)議中承諾能夠完全保護(hù)用戶的數(shù)據(jù)。實(shí)際上，云計(jì)算行業(yè)還處在起步階段，就好像電子商務(wù)剛起步時(shí)一樣。我們都希望看到有一天云計(jì)算在安全性以及普及率上能像電子商務(wù)一樣有一個(gè)革命性的進(jìn)化。目前很多企業(yè)更加關(guān)注私有云，而不是公共云。這是因?yàn)楣?yīng)商自己也不能確定能否完全保護(hù)客戶的數(shù)據(jù)，就利用私有云來(lái)避開(kāi)承諾保護(hù)客戶數(shù)據(jù)的潛在法律問(wèn)題。

DDos攻擊技術(shù)不斷擴(kuò)展，防火墻產(chǎn)品的研發(fā)也不會(huì)就此停滯不前的，我們期盼，我們的網(wǎng)絡(luò)越來(lái)越安全。

【編輯推薦】

1. DDoS攻擊難以防御
2. DDoS攻擊來(lái)勢(shì)洶洶
3. 新攻擊介紹及防范辦法