DDoS攻擊對移動網絡安全的威脅
由于使用3G移動設備(如智能電話或帶無線網卡的PC)連接Web 2.0應用(如視頻,社交媒體)的增多,穿越移動寬帶網絡的數據流量以非凡的速率增長。例如,Cisco公司便預測到2013年,移動數據將會增長66倍。
為滿足這種爆發性需求,移動營運商一直在網絡基礎設施(如3G到LTE)方面進行主要投資,并著眼于創建服務和提升總體用戶體驗。移動營運商處于高度競爭的市場中,因而服務差異化和客戶滿意度是提高客戶忠誠度和每用戶平均收入指標(ARPU)的關鍵因素。
可是,移動網絡的安全狀況并未隨數據網絡本身的增長而相應演進。值得注意的是,就安全而言,許多移動及固定無線網絡運營商似乎僅具備與8到10年前有線運營商之狀況相近的保護能力。
根據Arbor公司2010年度全球互聯網基礎設施安全報告,就網絡的可見性和控制,以及保護自身和客戶免受攻擊的整體能力而言,發展最迅速的手機和固網的無線網絡運營服務可能是互聯網服務提供商(ISP)中缺乏充分準備的一環。手機和固網的無線網絡運營商都表示對其網絡上的數據流量幾乎沒有可見性。
有近60%的受訪者表示對其無線分組核心的流量缺乏可見性或受限。
有46%的受訪者表示在年報調查時段內經歷過因網絡安全事故造成的客戶使用癱瘓事件。根據前面提到的網絡可見性的欠缺情況,我們認為這個46%的比例可能是低估了。
從某種意義上講,移動運營商在某程度上已成為ISP了。在短短幾年中,他們已將其投資從語音轉向移動數據和視頻業務。支撐這些投資的最基本要素是網絡和服務本身的可用性。隨著其業務變成以數據為中心,并且轉為全IP網絡,移動運營商正在變成數據中心運營商。互聯網數據中心可用性的頭號威脅是分布式拒絕服務(DDoS)攻擊,而行動營運商也正在面對同樣的威脅。
多戶環境(如IDC)是DDoS攻擊的首要目標,因為這種環境有可能連帶破壞多位客戶的資料聯機。另一方面,攻擊的變化也很快,從基于數量的直接壓跨數據連接,變成針對特定服務的更復雜的應用層DDoS攻擊。應用層DDoS攻擊不是大帶寬的,因而難于識別,但它卻能威脅到眾多的服務。相當多的移動網絡運營商表示,他們遭遇過直接針對其支持附屬基礎設施要素的應用層DDoS攻擊。這些要素包括DNS服務器、門戶網站服務器、SMTP服務器、Diameter服務器,甚至GTP通道和SMS網關。
有56%的受訪者表示其附屬支持基礎設施(如門戶網站服務器、DNS和其它相關服務)在12 個月的年度調查期間遭受DDoS攻擊的不利影響。
有44%的受訪者表示移動電話或具備無線連接的終端用戶計算機遭受DDoS攻擊的影響。
有50%的受訪者表示他們觀察到源于受影響用戶節點的向外/跨界DDoS攻擊。假設如前所述,網絡的可見性處于缺失狀態,我們認為這個統計數據可能也低估了。
大約22%的受訪者表示其網絡上基于狀態檢測的防火墻和/或NAT設備在調查期間遭受DDoS攻擊的不利影響。
電腦黑客在尋找機會,他們看到移動網絡上的大量內容,從基礎設施本身,到無處不在的接入設備,以及利用這些設備裝載各種形式的個人信息的用戶。正如2010年度互聯網基礎設施安全報告所述,移動營運商是在快步追趕。他們缺乏監視網絡上惡意數據流量的能力,缺乏采取措施的能力。他們正在使用的網絡帶寬不斷增加,脆弱的基礎設施,很少的網絡控制點,但他們卻要與無限的網絡僵尸攻擊抗爭。從安全角度看,移動網絡數據的增長將改變游戲規則。
【編輯推薦】
