丟掉DDoS的八個幻想
DDoS雖然不是一個新事物,即使是2016年10月21日搞癱美國半個互聯(lián)網(wǎng)的Mirai DDoS攻擊,也只是讓很多人的小心臟稍微顫抖了幾下,然后又恢復(fù)了往日的平靜。大家感覺DDoS只是一時的攻擊,不是時刻刀架在脖子上。下面的8大幻想還在很多客戶的腦海里打轉(zhuǎn):
關(guān)于DDoS的八大幻想
幻想1:公司數(shù)據(jù)中心已經(jīng)有了DDoS防護(hù),就可以輕松抵擋DDoS來犯?
事實果真如此嗎?最近業(yè)界發(fā)現(xiàn)的最大的DDoS攻擊峰值流量已經(jīng)達(dá)到500Gbps,幾乎沒有哪個客戶可以通過自己的數(shù)據(jù)中心部署的DDoS防護(hù)來抵擋住這么大流量的攻擊。并且過去幾年DDoS的攻擊流量不斷提升,特別是IoT的廣泛部署,更是方便了僵尸的快速集結(jié),降低了DDoS攻擊的成本,提升了DDoS攻擊危害。
今天云清洗和本地數(shù)據(jù)中心的雙重防護(hù)才是出路,這已經(jīng)成為了DDoS業(yè)界共識。
全球DDoS峰值流量進(jìn)展
數(shù)據(jù)來源:Arbor全球架構(gòu)安全第11年年度報告
幻想2:我們公司不會成為DDoS攻擊的對象?
雖然90%的DDoS攻擊針對的是專業(yè)領(lǐng)域,其中81%的DDoS攻擊針對教育用戶。但任何用戶都不能掉以輕心,因為隨著各個行業(yè)移動化、數(shù)字化和互聯(lián)網(wǎng)化的加速,任何用戶都很容易成為DDoS攻擊的對象。基于云端的DDoS防護(hù)成為IT投資中不可或缺的一部分,就像今天的各種保險一樣。
幻想3:公司的防火墻可以抵擋DDoS攻擊?
最近的調(diào)研表明,超過40%的DDoS攻擊可以輕松跨越今天的防火墻,因為防火墻和IPS根本不能區(qū)分流量到底是來自惡意用戶還是合法用戶。同時,企業(yè)防火墻也完全不能抵擋大流量的DDoS攻擊,還是不要期望防火墻幫你抵擋DDoS,DDoS需要專門的清洗中心來抵御。
幻想4: DDoS攻擊很簡單,都是單向量攻擊?
其實78%的DDoS攻擊都是多向量攻擊,防護(hù)非常困難,需要借助復(fù)雜工具和知識進(jìn)行有效防御。多向量DDoS攻擊,會尋找防御鏈中的最薄弱點進(jìn)行攻擊,影響在線服務(wù)的正常進(jìn)行,這對于以在線業(yè)務(wù)為收入的企業(yè)來講,打擊是摧毀性的。多向量DDoS攻擊因其規(guī)模大、復(fù)雜度高,使得傳統(tǒng)DDoS解決方案在防御時捉襟見肘。混合DDoS防護(hù)是目前對多向量DDoS攻擊最有效的防護(hù)方法。
幻想5:我們在線業(yè)務(wù)少,應(yīng)該不會遭遇DDoS攻擊?
其實,DDoS攻擊從來不分企業(yè)大小,任何規(guī)模的企業(yè)都可能遭受DDoS攻擊。即使今天的企業(yè)規(guī)模不大,也千萬不能僥幸的認(rèn)為自己是天然免疫DDoS攻擊。
幻想6: DDoS攻擊就是暴力攻擊而已?
其實DDoS攻擊不僅是暴力攻擊,還會和針對應(yīng)用攻擊等相結(jié)合,使得DDoS攻擊的破壞性極劇擴(kuò)大。最新的調(diào)研表明,大約19%的DDoS攻擊會針對應(yīng)用層進(jìn)行攻擊,而應(yīng)用層的防護(hù)需求越來越迫切。
幻想7: DDoS方案不值得投資?
調(diào)研表明,2015年45%的組織都經(jīng)受過至少一次DDoS攻擊,平均每次DDoS攻擊造成的損失達(dá)到每小時20-50萬美金。DDoS絕對值得引起大家的注意,特別是在線業(yè)務(wù)急劇成長的企業(yè),千萬不能掉以輕心。
幻想8: DDoS攻擊沒有直接財務(wù)損失?
其實,90%的多向量網(wǎng)絡(luò)攻擊都會以DDoS作為煙幕彈來進(jìn)行掩護(hù),很多時候發(fā)生了DDoS攻擊的同時,你要小心后臺是不是有人在盜取用戶賬戶、獲取關(guān)鍵財務(wù)信息,從而進(jìn)行金融犯罪等。
檢測和緩解DDoS威脅
DDoS雖然已經(jīng)有很多年的歷史,但隨著互聯(lián)網(wǎng)+的不斷推進(jìn),它的危害越來越大,任何組織都應(yīng)該馬上開始考慮自己的DDoS防護(hù)方案,而不是成為DDoS攻擊的炮灰,也盡量避免DDoS攻擊后再進(jìn)行亡羊補牢。
安全專業(yè)人可以通過確認(rèn)以下幾種主要的攻擊類別,就可以減少前所未知的攻擊途徑:
- 流量式:洪水攻擊
- 運算非對稱:消耗CPU周期
- 狀態(tài)式非對稱:濫用內(nèi)存
- 基于漏洞:利用軟件隱患
- 混合式DDoS:多種攻擊途徑的結(jié)合
