Arbor Networks發(fā)布第六期全球互聯(lián)網(wǎng)基礎(chǔ)設(shè)施安全年報(bào)
2010年可說(shuō)是分布式拒絕服務(wù)(DDoS)攻擊成為主要攻擊類型的一年,而許多頗具影響的攻擊都是針對(duì)流行的互聯(lián)網(wǎng)服務(wù)和其它眾所周知的攻擊對(duì)象。2010年也是DDoS攻擊在互聯(lián)網(wǎng)上活動(dòng)規(guī)模和頻率激增的一年;DDoS攻擊規(guī)模首次突破100 Gbps,應(yīng)用層攻擊同時(shí)也創(chuàng)下歷史新高。面向綜合通信網(wǎng)絡(luò)運(yùn)營(yíng)商和下一代數(shù)據(jù)中心的網(wǎng)絡(luò)安全和管理解決方案的頂級(jí)供應(yīng)商Arbor Networks公司(Arbor Networks, Inc.)發(fā)布報(bào)告指出,服務(wù)提供商因此受到巨大的沖擊;運(yùn)行費(fèi)用增加,營(yíng)收減少,客戶流失。
本文引用地址:http://m.butianyuan.cn/article/117617.htmArbor Networks是全球服務(wù)提供商和網(wǎng)絡(luò)運(yùn)營(yíng)商的可信賴的顧問(wèn)和解決方案合作伙伴,憑著其與建立運(yùn)營(yíng)商長(zhǎng)期的合作關(guān)系和卓著聲譽(yù),今年再次成功完成這一年度報(bào)告。該報(bào)告針對(duì)一線網(wǎng)絡(luò)操作人員所遇到的各種來(lái)自全球僵尸網(wǎng)絡(luò)(botnet)和DDoS攻擊的挑戰(zhàn),給出了獨(dú)到的見(jiàn)解。報(bào)告立足于提供統(tǒng)計(jì)數(shù)據(jù)和深入分析,可讓網(wǎng)絡(luò)運(yùn)營(yíng)商在其安全戰(zhàn)略方面作出更加科學(xué)化的決策,以確保關(guān)鍵的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施和其它基于IP的基礎(chǔ)設(shè)施的可用性。
哈佛大學(xué)Berkman互聯(lián)網(wǎng)與社會(huì)研究中心的Ethan Zuckerman稱:“Arbor Networks公司的研究對(duì)于任何想了解網(wǎng)絡(luò)安全領(lǐng)域,以及其演進(jìn)過(guò)程和影響的人來(lái)說(shuō)都是完全不可缺少的。”
DDoS攻擊已成為主流
僵尸網(wǎng)絡(luò)驅(qū)使的DDoS攻擊很可能繼續(xù)成為2011年和以后的一種成本低且影響力高的網(wǎng)絡(luò)抵制形式。2010年發(fā)生的主要網(wǎng)絡(luò)事件包括涉及中日領(lǐng)土爭(zhēng)端,緬甸、斯里蘭卡政治騷亂及‘維基解密’等事件的DDoS攻擊。保護(hù)網(wǎng)絡(luò)可用性的需求最終進(jìn)入全球企業(yè)IT咨詢公司的監(jiān)管視線,而對(duì)DDoS的防范也因此將被全球列為CXO級(jí)的管理問(wèn)題。
攻擊范圍繼續(xù)擴(kuò)大
DDoS攻擊范圍包括易受DDoS攻擊的網(wǎng)絡(luò)基礎(chǔ)設(shè)施、服務(wù)器、協(xié)議和服務(wù)的各個(gè)方面。隨著在網(wǎng)絡(luò)中引入新的設(shè)備、協(xié)議和服務(wù),易受DDoS攻擊的設(shè)施的范圍將會(huì)擴(kuò)大。這對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)商而言是一個(gè)巨大的挑戰(zhàn)。由僵尸網(wǎng)絡(luò)驅(qū)使的大規(guī)模的應(yīng)用層DDoS攻擊仍然是運(yùn)營(yíng)商面臨的最主要問(wèn)題。今年的報(bào)告還將披露針對(duì)基礎(chǔ)設(shè)施本身的攻擊,尤其是針對(duì)域名系統(tǒng)(DNS)、VoIP和IPv6的攻擊。
Arbor Networks公司首席解決方案專家Roland Dobbins稱:“網(wǎng)絡(luò)運(yùn)營(yíng)商正在面對(duì)由無(wú)處不在的僵尸網(wǎng)絡(luò)所發(fā)起的全球性互聯(lián)網(wǎng)暴動(dòng)。這導(dǎo)致DDoS攻擊的規(guī)模、頻率和復(fù)雜度迅速加大。攻擊向量不斷增多,包括應(yīng)用和服務(wù),以及在移動(dòng)設(shè)備上的蔓延,都大大增加了運(yùn)營(yíng)商面臨的挑戰(zhàn)。”
應(yīng)用層DDoS攻擊的復(fù)雜度和其對(duì)運(yùn)行的影響程度都在增加。2010年有多達(dá)77%的受訪者報(bào)告檢測(cè)到應(yīng)用層攻擊。這些攻擊既針對(duì)其客戶也針對(duì)其附屬支持服務(wù),如DNS和門(mén)戶網(wǎng)站等?;ヂ?lián)網(wǎng)數(shù)據(jù)中心(IDC) 和手機(jī)/固網(wǎng)的無(wú)線運(yùn)營(yíng)商都報(bào)告指出,應(yīng)用層DDoS攻擊能夠?qū)е麓罅糠?wù)中斷,運(yùn)營(yíng)費(fèi)用(OPEX)上升,客戶流失和收益損失。
復(fù)雜度不斷增加的攻擊暴露IPS和防火墻的弱點(diǎn)
為防范DDoS攻擊,許多運(yùn)營(yíng)商部署了基于狀態(tài)檢測(cè)的防火墻(stateful firewall)和入侵防御系統(tǒng)(IPS)設(shè)備來(lái)保護(hù)數(shù)據(jù)中心基礎(chǔ)設(shè)施。但實(shí)際上,這些設(shè)備會(huì)使得網(wǎng)絡(luò)更容易遭受攻擊,因?yàn)榧幢闶菍?duì)目前升級(jí)最靈活的設(shè)備上的狀態(tài)表,一個(gè)中等規(guī)模的DDoS攻擊就可讓其癱瘓。有近49%的IDC受訪者報(bào)告了DDoS攻擊導(dǎo)致的防火墻和IPS癱瘓事件。
移動(dòng)網(wǎng)絡(luò)缺乏準(zhǔn)備為新攻擊提供了機(jī)會(huì)
就網(wǎng)絡(luò)的可見(jiàn)性和控制,以及保護(hù)自身和客戶免受攻擊的整體能力而言,發(fā)展最迅速的手機(jī)和固網(wǎng)的無(wú)線網(wǎng)絡(luò)運(yùn)營(yíng)服務(wù)可能是互聯(lián)網(wǎng)服務(wù)提供商(ISP)中缺乏充分準(zhǔn)備的一環(huán)。有近60%的受訪者表示對(duì)其無(wú)線分組核心的流量缺乏可見(jiàn)性或受限。而僅有23%的受訪者表示其無(wú)線分組核心具有可見(jiàn)性,與其有線網(wǎng)絡(luò)的可視性相當(dāng)或更好。值得注意的是,就安全而言,許多手機(jī)和固網(wǎng)的無(wú)線網(wǎng)絡(luò)運(yùn)營(yíng)商可能僅具備與8到10年前有線運(yùn)營(yíng)商之狀況相近的保護(hù)能力。
運(yùn)營(yíng)商在轉(zhuǎn)變?yōu)镮Pv6運(yùn)營(yíng)商的同時(shí),也正在努力維持其安全狀況。一些運(yùn)營(yíng)商就對(duì)IPv6網(wǎng)絡(luò)流量的可見(jiàn)性缺乏,以及無(wú)法象控制IPv4流量一樣地控制IPv6網(wǎng)絡(luò)流量存在擔(dān)憂。部署IPv6到IPv4的網(wǎng)關(guān)和網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT) 時(shí)所帶來(lái)的額外網(wǎng)絡(luò)狀態(tài)和DDoS向量,對(duì)網(wǎng)絡(luò)可用性也是一個(gè)嚴(yán)重的威脅。
DNS成為首要攻擊目標(biāo)
DNS攻擊已成為DDoS最容易攻擊方式之一。它能夠通過(guò)拒絕互聯(lián)網(wǎng)用戶解析服務(wù)器/資源記錄,導(dǎo)致一臺(tái)服務(wù)器,一項(xiàng)服務(wù)或一個(gè)應(yīng)用程序離線。此外,大量錯(cuò)誤配置的DNS開(kāi)放式遞歸運(yùn)算,加上許多網(wǎng)絡(luò)缺乏反欺騙部署,就會(huì)讓攻擊者發(fā)起導(dǎo)致DNS癱瘓的反射/放大性攻擊。
評(píng)論