領(lǐng)先的虛擬數(shù)據(jù)中心和云數(shù)據(jù)中心應(yīng)用交付及應(yīng)用安全解決方案提供商Radware 的安全專家表示：1月下旬發(fā)生的一連串網(wǎng)絡(luò)攻擊堪稱有史以來最密集的一波網(wǎng)絡(luò)攻擊潮。

這一波黑客行動始于1月16日，當時一群支持巴勒斯坦的激進黑客活動主義者針對以色列股票市場、國家航空、中央銀行、外交部以及幾家存在安全漏洞的大型私人銀行發(fā)起了為時超過三天的攻擊活動，但是功敗垂成。隨后這些黑客先后加入了匿名組織并在1月23日將茅頭指向眾多的美國網(wǎng)站，希望借此抗議反盜版提案和Megaload.com網(wǎng)站被權(quán)威勒令關(guān)閉的事件。在這次攻擊中，受影響的網(wǎng)站不僅有美國司法部,聯(lián)邦調(diào)查局、白宮,還有美國電影協(xié)會、唱片工業(yè)協(xié)會, CBS.com,華納音樂和環(huán)球音樂等知名企業(yè)。

Radware應(yīng)急響應(yīng)團隊(ERT)迅速針對這一連串攻擊展開了分析，隨后發(fā)現(xiàn)那些依賴單一安全體系來管理安全事務(wù)的公司無疑是把所有的雞蛋放進了一個籃子里，同樣那些僅僅部署了邊界安全解決方案的企業(yè)在這樣一波混合攻擊活動下也只能束手無策。通過深度剖析那些被報道的攻擊案例，Radware應(yīng)急響應(yīng)團隊發(fā)現(xiàn)：

·攻擊者采用多層次的多漏洞攻擊手段，打擊被入侵者的各層網(wǎng)絡(luò)基礎(chǔ)架構(gòu)，包括網(wǎng)絡(luò)、服務(wù)器和應(yīng)用層。

·原本被用于攻擊網(wǎng)絡(luò)的分布式拒絕服務(wù)攻擊(DDoS)被黑客進一步開發(fā)，轉(zhuǎn)而以應(yīng)用作為目標。

·攻擊者更傾向于利用 “low & slow”式的攻擊方法以消耗被入侵者的應(yīng)用資源，而非網(wǎng)絡(luò)協(xié)議的資源。

·攻擊者演化了其規(guī)避技術(shù)來回避檢測和緩解系統(tǒng)，如采取基于SSL的攻擊、不斷修改HTTP頁面中的頁面請求從而形成洪水攻擊，

黑客攻擊的新技術(shù)和技巧的無疑提升了檢測和緩解攻擊的難度。從案例中我們看到，云端防DoS服務(wù)和內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN）等常規(guī)安全解決方案只能解決當前這些先進攻擊所帶來的部分問題。云端防DoS服務(wù)的確能夠緩解針對網(wǎng)絡(luò)帶寬的攻擊，但是它的局限在于能夠防止應(yīng)用DDoS卻無法阻擋“low & slow”式的攻擊和SSL DDoS攻擊。同樣，黑客也能讓攻擊繞過CDN，比如不斷更改每個Web事務(wù)處理過程中的頁面請求，致使內(nèi)容無法被緩存，最終讓CDN形同虛設(shè)，反而成了將攻擊送達目標服務(wù)器的中介。

但這并不意味著企業(yè)在制定DDoS保護計劃時要將服務(wù)供應(yīng)商拒之門外。Radware ERT結(jié)合當前的網(wǎng)絡(luò)威脅形勢給出的建議是，云端防DoS和CDN可被部署為第一層防線，因為它們能消除混跡在線上業(yè)務(wù)連接中的大量的帶寬攻擊。而企業(yè)邊界網(wǎng)絡(luò)安全產(chǎn)品便是第二道防線，以化解應(yīng)用DDoS攻擊、“low & slow”式DoS攻擊，以及Slowloris、 Socketstress、 SSL 握手攻、HTTPS洪水攻擊等等SSL攻擊。這些攻擊都渴望與應(yīng)用層面“親密接觸”，所以必須在邊界予以處理。但服務(wù)供應(yīng)商通常不能熟練地檢測到這些攻擊，或者檢測到后卻沒有辦法正確地緩解威脅。

DDoS防護的黃金法則

Radware ERT為抵御DDoS總結(jié)了以下4條黃金法則：

·在企業(yè)內(nèi)部署能夠抵御DDoS攻擊網(wǎng)絡(luò)洪水攻擊、應(yīng)用DDoS洪水襲擊、 “low & slow”式攻擊和SSL的攻擊的攻擊緩解系統(tǒng)。

·從你的服務(wù)供應(yīng)商或者MSSP（安全服務(wù)供應(yīng)商）處獲取并注冊一個防DoS解決方案。它將幫助您清除批量攻擊。

·部署一個安全信息與事件管理(SIEM)系統(tǒng)以獲取對業(yè)務(wù)安全狀態(tài)的全面可視性，例如偵查攻擊者和檢查防火墻狀態(tài)，從而為用戶提供攻擊預(yù)警。

·建立一支由你公司IT團隊成員與服務(wù)供應(yīng)商團隊共同組成的應(yīng)急響應(yīng)小組。

Radware攻擊緩解系統(tǒng)（AMS）和Radware ERT

Radware AMS是業(yè)界首款全面集成的IT安全戰(zhàn)略解決方案，它能實時保護基礎(chǔ)設(shè)施和網(wǎng)絡(luò)應(yīng)用免受宕機、應(yīng)用漏洞攻擊、惡意軟件傳播、信息竊取、web服務(wù)攻擊以及web篡改的困擾。Radware AMS提供了最佳的整合解決方案能夠解決目前最難防范的多漏洞攻擊，幫助企業(yè)將這類專以網(wǎng)絡(luò)基礎(chǔ)架構(gòu)設(shè)備、服務(wù)器和應(yīng)用為目標發(fā)起的多層IT基礎(chǔ)架構(gòu)攻擊拒之門外。

Radware AMS可被部署在云端和網(wǎng)絡(luò)邊界以交付最佳的DDoS攻擊緩解解決方案。通過與其相集成的SIEM聯(lián)手，該系統(tǒng)便能使云端與邊界同步，在最有效的位置將攻擊威脅予以消滅：批量攻擊可被緩解于云端，而邊界就是對抗應(yīng)用洪水攻擊、low & slow式攻擊和SSL攻擊的最佳戰(zhàn)場。

Radware通過增加專家支持來進一步提升安全功能，由專業(yè)的安全顧問組成的緊急響應(yīng)團隊(ERT)7×24隨時待命，為用戶提供快捷、專業(yè)的緊急安全服務(wù)。顧名思義，Radware ERT是化解網(wǎng)絡(luò)攻擊的第一道防線。Radware ERT專家已經(jīng)成功處理了多起知名的網(wǎng)絡(luò)攻擊事件，擁有扎實的專業(yè)知識，積累了豐富的實戰(zhàn)應(yīng)對經(jīng)驗，幫助客戶輕松處理自身安全團隊從未遇到過的安全問題。

相關(guān)評論

“黑客對于新技術(shù)的應(yīng)用提升了檢測和緩解網(wǎng)絡(luò)攻擊的難度。云端防DoS服務(wù)和內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN）等常規(guī)安全解決方案只能解決當前這些先進攻擊所帶來的部分問題。云端防DoS服務(wù)的確能夠緩解針對網(wǎng)絡(luò)帶寬的攻擊，但是它的局限在于能夠防止應(yīng)用DDoS卻無法阻擋“low & slow”式的攻擊和SSL DDoS攻擊。同樣，黑客也能讓攻擊繞過CDN，比如不斷更改每個Web事務(wù)處理過程中的頁面請求，致使內(nèi)容無法被緩存，最終讓CDN形同虛設(shè)，反成了將攻擊送達目標服務(wù)器的中介。”

–Radware安全產(chǎn)品總監(jiān)Ron Meyran

“為了幫助我們的金融服務(wù)客戶在近期的攻擊浪潮中有效地緩解各種攻擊方式帶來的風險，我們在云端和邊界都部署了Radware攻擊緩解系統(tǒng)(AMS)。在云端的AMS幫助我們清除了批量的 SYN和UDP洪水攻擊，同時我們在用戶端部署的AMS設(shè)備能有效地緩解各種應(yīng)用DDoS攻擊。所以，在剛剛過去的這波攻擊中，我們客戶的業(yè)務(wù)吞吐量完好無損，同時其合法用戶還體驗到了完美的快速響應(yīng)。選擇Radware AMS是我們在對比多款DDoS攻擊緩解解決方案后的明智決定，它是唯一能夠在幾秒鐘的時間內(nèi)有效檢測和阻止那些濫用網(wǎng)絡(luò)資源和客戶應(yīng)用資源的解決方案。”

– Bezeqint業(yè)務(wù)發(fā)展部Shlomi Cohen