防火墻VSDDoS攻擊

據(jù)有關人士表示，超過80%的網(wǎng)絡攻擊是針對網(wǎng)絡應用程序的，而傳統(tǒng)的防護措施，諸如服務器周邊的防火墻設備所能起到的防護作用很小。這就是為什么DDOS類的攻擊總能成功擊潰網(wǎng)站或支付系統(tǒng)的原因。由于DDOS攻擊所采用的訪問請求很難與正常訪問請求區(qū)別開，因此傳統(tǒng)的防御系統(tǒng)，比如入侵預防系統(tǒng)或入侵檢測系統(tǒng)很難阻擋住DDOS的攻擊。

一般來說，在應用防火墻允許請求進入系統(tǒng)前，會通過發(fā)送并響應cookie來判斷該用戶是否真實，以及該訪問請求是否有效。而在最近很多DDOS攻擊實例中，比如針對Paypal，MasterCard以及Visa網(wǎng)站所進行的攻擊，都是通過僵尸網(wǎng)絡中的肉雞電腦發(fā)送的，而這些電腦并不能響應應用防火墻發(fā)送的查詢請求。

據(jù)報道，這一系列網(wǎng)絡攻擊被稱作“Operation Payback”，其目的是聲援被羈押的維基解密創(chuàng)始人Julian Assange。而維基解密網(wǎng)站也由于美國和歐洲ISP，網(wǎng)絡托管商以及支付供應商的退出而關閉。

作為對Wikileaks和Assange所受遭遇的報復，支持者們動用了超過3000臺志愿電腦以及超過3萬臺肉雞電腦對PayPal, MasterCard和Visa網(wǎng)站發(fā)動了DDOS攻擊。

沒有傻瓜式的解決方案

除了建立應用防火墻，企業(yè)能考慮的其它類型的防護手段包括利用ISP過濾非法網(wǎng)絡請求后提供給企業(yè)接入的“清潔管道”以及采用更高級別的安全協(xié)議等。另外，企業(yè)還可以對網(wǎng)絡協(xié)議進行修改，確保所有需要連接到服務器的請求都是預先核準的。

但是，隨著技術的不斷進步，黑客和網(wǎng)絡罪犯們也在嘗試各種方法來破壞系統(tǒng)，移動設備接入量的不斷增加，加劇了安全人員進行系統(tǒng)防護的難度。 Yordanov認為，員工的分散程度越大，企業(yè)網(wǎng)絡收到攻擊的風險也就越大，因為很多網(wǎng)絡罪犯正是利用了這種分散辦公模式中存在的安全漏洞。

沒有什么傻瓜式的解決方案能夠百分百的安全，而能夠想到的傻瓜式解決方案就只有關閉系統(tǒng)電源了。

他說：“與其看著系統(tǒng)被攻擊，更好的辦法就是徹底關閉系統(tǒng)。在以前，如果網(wǎng)管能夠追蹤IP地址，找出DDOS攻擊的發(fā)源地，他們就可以將發(fā)源地的IP地址段列入黑名單，但這僅限于靜態(tài)IP地址。而現(xiàn)在，越來越多的攻擊采用變化頻繁的地址，使得這種黑名單的方式也失效了。”

而另一種不必關閉系統(tǒng)的方法，就是派人不斷地監(jiān)控網(wǎng)絡流量，但是這需要大量的網(wǎng)絡技術人員，并不適合中小企業(yè)。

云安全的前途

對于云計算安全性的看法時，對于目前的云計算安全性很多人都表示出了悲觀態(tài)度，但是同時，假以時日云計算的安全性將會得到改善。曾經(jīng)有六個云計算供應商提供的SLA(服務等級協(xié)議)，但是沒有一個供應商在協(xié)議中承諾能夠完全保護用戶的數(shù)據(jù)。實際上，云計算行業(yè)還處在起步階段，就好像電子商務剛起步時一樣。我們都希望看到有一天云計算在安全性以及普及率上能像電子商務一樣有一個革命性的進化。目前很多企業(yè)更加關注私有云，而不是公共云。這是因為供應商自己也不能確定能否完全保護客戶的數(shù)據(jù)，就利用私有云來避開承諾保護客戶數(shù)據(jù)的潛在法律問題。

DDos攻擊技術不斷擴展，防火墻產(chǎn)品的研發(fā)也不會就此停滯不前的，我們期盼，我們的網(wǎng)絡越來越安全。

【編輯推薦】

1. 不斷演化和傳播：亞洲成為DDoS攻擊溫床
2. 詳解DDoS攻擊技術的方法 續(xù)
3. 云安全服務：WAF和DDoS攻擊預防
4. DDoS攻擊規(guī)模自2005年來增長1000%
5. 應用防火墻能否擊敗DDoS攻擊