Radware專家表示，在他們的職業(yè)生涯中，許多客戶都曾向他們尋求幫助，通過收集攻擊數(shù)據(jù)將攻擊者繩之以法。遺憾的是，懂行的攻擊者通常會(huì)利用很多工具來避免被追蹤，從而逃脫為自己的行為承擔(dān)責(zé)任。IP欺詐、入侵服務(wù)器以及僵尸網(wǎng)絡(luò)是攻擊者最常用的三種策略，這使得對(duì)網(wǎng)絡(luò)攻擊的追蹤變得非常困難。

IP欺詐

互聯(lián)網(wǎng)協(xié)議也就是通常所說的IP被用于互聯(lián)網(wǎng)的各個(gè)角落。它的最初設(shè)計(jì)目的是在部分網(wǎng)絡(luò)突然中斷時(shí)能夠保證網(wǎng)絡(luò)的互操作性和容錯(cuò)能力，安全性并沒有被考慮在內(nèi)。每個(gè)IP數(shù)據(jù)包都有一個(gè)包頭，路由器和其它設(shè)備據(jù)此可以知道數(shù)據(jù)包的來源以及目的地是哪里。目的地設(shè)備根據(jù)源IP地址信息來確定響應(yīng)數(shù)據(jù)包應(yīng)該如何返回。更改數(shù)據(jù)包頭內(nèi)容是件輕而易舉的事。

攻擊者偽造數(shù)據(jù)包頭中的源IP地址的方法被稱為IP欺詐。這是一種很常見也易于實(shí)現(xiàn)的攻擊手段。尤其在DDoS攻擊中，攻擊者通常將數(shù)據(jù)包的源IP地址指向被攻擊目標(biāo)?？梢灶A(yù)見的攻擊結(jié)果是受害者將會(huì)收到來自互聯(lián)網(wǎng)的大量響應(yīng)數(shù)據(jù)包，這些響應(yīng)數(shù)據(jù)包風(fēng)暴將會(huì)減慢或阻斷合法網(wǎng)絡(luò)流量的傳輸。有的時(shí)候，攻擊數(shù)據(jù)包會(huì)直接發(fā)給攻擊目標(biāo)中的某個(gè)IP地址，而攻擊數(shù)據(jù)包的源地址則會(huì)使用無辜的第三方的IP地址。不過源IP欺詐也有一定的局限性，它不能建立雙向通信，這使得它不適用于較為復(fù)雜的攻擊行為。

入侵服務(wù)器

在出現(xiàn)僵尸網(wǎng)絡(luò)之前，攻擊者遠(yuǎn)程侵入服務(wù)器最常見的手段就是利用操作系統(tǒng)漏洞進(jìn)行攻擊。通過在服務(wù)器上安裝惡意軟件，攻擊者得以隱藏其活動(dòng)證據(jù)，并在連接失敗之后仍然可以更容易地重新訪問服務(wù)器。

一旦惡意軟件被成功安裝，攻擊者就可以從被感染的服務(wù)器上發(fā)起攻擊，同時(shí)攻擊者會(huì)刪除日志信息以掩蓋攻擊蹤跡。精明的攻擊者會(huì)入侵多個(gè)服務(wù)器，以創(chuàng)建一個(gè)沒有日志記錄的冗長(zhǎng)服務(wù)器串，使得調(diào)查者難以找到攻擊者的來源。系統(tǒng)管理員必須成為安全專家，安裝補(bǔ)丁并更改配置，以保護(hù)他們的系統(tǒng)免受攻擊。

僵尸網(wǎng)絡(luò)

當(dāng)高速互聯(lián)網(wǎng)訪問不再局限于服務(wù)器時(shí)，工作站就成為了黑可更好的攻擊目標(biāo)。信息安全部門不會(huì)密切監(jiān)控這些工作站，而且這些工作站的系統(tǒng)漏洞通常也沒有完全修復(fù)。此外，很少有管理員愿意投入大量時(shí)間去研究工作站的異常事件。

創(chuàng)建、管理、租用和利用大量被感染的電腦是一項(xiàng)龐大的工程。僵尸網(wǎng)絡(luò)經(jīng)常被用于各種目的的攻擊，如：進(jìn)行DDoS攻擊、網(wǎng)絡(luò)入侵、惡意軟件傳播以及其它網(wǎng)絡(luò)犯罪。通過僵尸網(wǎng)絡(luò)成員與受害者網(wǎng)絡(luò)之間的網(wǎng)絡(luò)流量，可以非常容易地跟蹤到被感染的電腦，但是人們所能追蹤到的也只是被感染的受害者。另外的方法就是對(duì)命令和控制數(shù)據(jù)流進(jìn)行分析，但是精明的僵尸網(wǎng)絡(luò)操控者并不會(huì)將數(shù)據(jù)流直接從自己家的電腦直接發(fā)送到被控制的僵尸網(wǎng)絡(luò)節(jié)點(diǎn)上。

命令和控制數(shù)據(jù)流通常會(huì)使用諸如IRC、Twitter、IM或點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)這樣的隱秘通道。同時(shí)，命令和控制服務(wù)器往往比較分散，通常利用fast-flux DNS方法進(jìn)行隱藏，利用被攻破的服務(wù)器作為代理服務(wù)器實(shí)現(xiàn)對(duì)僵尸網(wǎng)絡(luò)的控制。

如何保護(hù)企業(yè)安全無憂

非常遺憾的是網(wǎng)絡(luò)運(yùn)營(yíng)商和執(zhí)法部門經(jīng)常無法抓獲那些狡猾的犯罪分子。企業(yè)應(yīng)當(dāng)采用適當(dāng)?shù)牟呗?、?guī)章制度和技術(shù)來保護(hù)自己。提供網(wǎng)絡(luò)行為分析、DoS緩解和IP信譽(yù)服務(wù)等功能的強(qiáng)大的邊界防護(hù)方案可以與應(yīng)用感知安全方案共同協(xié)作，提供全面的安全防護(hù)。

Radware專家指出，作為全球領(lǐng)先的虛擬數(shù)據(jù)中心和云數(shù)據(jù)中心應(yīng)用交付和應(yīng)用安全解決方案提供商，Radware可以為企業(yè)安全提供全方位的保護(hù)。Radware的攻擊緩解系統(tǒng)(AMS)是一種實(shí)時(shí)網(wǎng)絡(luò)和應(yīng)用攻擊緩解解決方案，能夠?qū)崟r(shí)保護(hù)應(yīng)用基礎(chǔ)架構(gòu)免遭網(wǎng)絡(luò)和應(yīng)用故障中斷、應(yīng)用安全漏洞利用、惡意軟件傳播、信息盜用、Web服務(wù)及網(wǎng)頁(yè)篡改等攻擊的侵?jǐn)_，全面保護(hù)網(wǎng)絡(luò)、服務(wù)器和應(yīng)用。