防火墻VSDDoS攻擊

據有關人士表示，超過80%的網絡攻擊是針對網絡應用程序的，而傳統的防護措施，諸如服務器周邊的防火墻設備所能起到的防護作用很小。這就是為什么DDOS類的攻擊總能成功擊潰網站或支付系統的原因。由于DDOS攻擊所采用的訪問請求很難與正常訪問請求區別開，因此傳統的防御系統，比如入侵預防系統或入侵檢測系統很難阻擋住DDOS的攻擊。

一般來說，在應用防火墻允許請求進入系統前，會通過發送并響應cookie來判斷該用戶是否真實，以及該訪問請求是否有效。而在最近很多DDOS攻擊實例中，比如針對Paypal，MasterCard以及Visa網站所進行的攻擊，都是通過僵尸網絡中的肉雞電腦發送的，而這些電腦并不能響應應用防火墻發送的查詢請求。

據報道，這一系列網絡攻擊被稱作“Operation Payback”，其目的是聲援被羈押的維基解密創始人Julian Assange。而維基解密網站也由于美國和歐洲ISP，網絡托管商以及支付供應商的退出而關閉。

作為對Wikileaks和Assange所受遭遇的報復，支持者們動用了超過3000臺志愿電腦以及超過3萬臺肉雞電腦對PayPal, MasterCard和Visa網站發動了DDOS攻擊。

沒有傻瓜式的解決方案

除了建立應用防火墻，企業能考慮的其它類型的防護手段包括利用ISP過濾非法網絡請求后提供給企業接入的“清潔管道”以及采用更高級別的安全協議等。另外，企業還可以對網絡協議進行修改，確保所有需要連接到服務器的請求都是預先核準的。

但是，隨著技術的不斷進步，黑客和網絡罪犯們也在嘗試各種方法來破壞系統，移動設備接入量的不斷增加，加劇了安全人員進行系統防護的難度。 Yordanov認為，員工的分散程度越大，企業網絡收到攻擊的風險也就越大，因為很多網絡罪犯正是利用了這種分散辦公模式中存在的安全漏洞。

沒有什么傻瓜式的解決方案能夠百分百的安全，而能夠想到的傻瓜式解決方案就只有關閉系統電源了。

他說：“與其看著系統被攻擊，更好的辦法就是徹底關閉系統。在以前，如果網管能夠追蹤IP地址，找出DDOS攻擊的發源地，他們就可以將發源地的IP地址段列入黑名單，但這僅限于靜態IP地址。而現在，越來越多的攻擊采用變化頻繁的地址，使得這種黑名單的方式也失效了。”

而另一種不必關閉系統的方法，就是派人不斷地監控網絡流量，但是這需要大量的網絡技術人員，并不適合中小企業。

云安全的前途

對于云計算安全性的看法時，對于目前的云計算安全性很多人都表示出了悲觀態度，但是同時，假以時日云計算的安全性將會得到改善。曾經有六個云計算供應商提供的SLA(服務等級協議)，但是沒有一個供應商在協議中承諾能夠完全保護用戶的數據。實際上，云計算行業還處在起步階段，就好像電子商務剛起步時一樣。我們都希望看到有一天云計算在安全性以及普及率上能像電子商務一樣有一個革命性的進化。目前很多企業更加關注私有云，而不是公共云。這是因為供應商自己也不能確定能否完全保護客戶的數據，就利用私有云來避開承諾保護客戶數據的潛在法律問題。

DDos攻擊技術不斷擴展，防火墻產品的研發也不會就此停滯不前的，我們期盼，我們的網絡越來越安全。

【編輯推薦】

1. 不斷演化和傳播：亞洲成為DDoS攻擊溫床
2. 詳解DDoS攻擊技術的方法 續
3. 云安全服務：WAF和DDoS攻擊預防
4. DDoS攻擊規模自2005年來增長1000%
5. 應用防火墻能否擊敗DDoS攻擊