DDoS攻击进入太比特时代

  几年里在过去,的规模逐步变大DDoS攻击,也相应增长防御手段。去过,捉老鼠的游戏它就是一个猫,方太过强大不会有一。2017年不过到了,能有所改变这种局面可,物联网设备数量庞大原因有二!不安全的;施大规模攻击变得更加简单利用物联网设备的弱点实。

  是数十万)的互联设备组成僵尸网络由数量庞大(目前,被恶意代码感染这些设备已经,实施破坏性行为可由第三方操控。发 起洪水攻击僵尸网络可用于,常见的攻击形式这也是目前最。

  脑、平板电脑和智能手机相比与普遍受到更好保护的个人电,弱点更为明显物联网设备的,喜欢攻击它们黑客因此也更。

  先 首,了发动 DDoS 攻击的硬件需求智能手机与电脑的快速普及降低 。 攻击设备是主机端与移 动端我国目 前的主流 DDoS,陷阱散播感 染程序攻击方利用免费软件,机与智能手机中预装于大量主。的时候在必要,将成 为攻击武器这些潜伏的感染机,作战目标联合攻打。的快速上升(参 见图表 3)而随 着智能手机与电脑普及率,数量随之 上升潜在的攻击武器,击峰值可 达数百 Gbps以该方式发动 DDoS 攻,企业 造成致命影响对大部分非专业防护。

  次 其,加强了 DDoS 攻击力度全国带宽的大幅度提升显著。城市宽带接入速率已达到 20M截止 2015 年底我国平 均,2020 年底而预 计到 ,率将达到 50M41我国城市宽带接入速 。时同,市已先后迈入千兆网络时 代上海、广州、 深圳等一线城。活带来方便的同 时宽带提速给居民生,络攻击的安全隐 患也引起了高强度网,带宽而获得翻倍的 DDoS 攻击流 量黑客控制同等数量的主机便可借由 翻倍的。

  内的增长以及其他超快的消费者及企业宽带产品)3、带宽速度变得更高(包括Gbit/s范围,染的设备可以发送更多的垃圾数据这意味着僵尸网络中每一个被感。

  国 在中,流量与维度上 不断升高DDoS 攻击同样在。6 年201,的一次恶意 DDoS 攻击乐视遭遇了其成立 以来最大, 200Gbps峰值 流量高达,页端处于瘫痪状态而无法登陆使其电视端、手机端、 网。外此,法应 对的大流量 DDoS 攻击众多互联网金融平台亦曾遭遇过无,企 业而言而对于该类,行足以 造成客户流失数小时的服务器暂停运。中国在,在攻击一周内受到致命影响 39约有 24% 的被 攻击网站,下降超过 70%表现为日均流量, DDoS 攻击一月内 彻底死亡而平均 1/4 的公司会在遭遇。种案例助长了攻击方的强势DDoS 防护失败的种,步 升级的当下在软硬件进一, 攻击将愈 演愈烈可以预见 DDoS。如此尽管,球 主力输出国家之一中国是 DDoS 全,yn 公司的 DDoS 攻击中在 16 年一场针对北 美 D,址数量高达 10%40来自中国 的 IP 地, 击输出国家是第三大攻。

  外此,采用插入式充电物联网设备通常,耗没有明显的标志对于可用电量的损。脑、平板电脑或智能手机不一样这一点与受到感染的笔记本电,被用于攻击如果它们,会损耗得更快电池的电量。

  头和数字视频录像机)的用户数量持续增长1、不安全的物联网设备(比如互联的摄像,和平板电脑更容易被并入僵尸网络它们通常比个人电脑、智能手机。

  控制此类的关键功能都严重依赖高度分享的集中式服务器和数据中心分散化!诸如云计算、指挥与控制(C2)、态势感知和多媒体会话。松锁定目标(数据中心、服务器)信息和计算的集中让攻击者能够轻,目标的开发与攻击的实施可以推动DDoS攻击。计并实施新的架构各个组织应该设,将这些能力分散开在逻辑和物理上,集中式方案的性能同时确保传统的。

  公开的恶意软件2、网上存在,irai比如M,不安全的物联网设备并入僵尸网络使相对缺乏技能的攻击者有能力将,们发起攻利用它击

  原因就是不断提升的宽带上行速度导致大规模攻击更加常见的第三个。度越快上行速,以发送的垃圾流量就越多每一台被感染的设备可,也就越严重造成的破坏。的设备被感染如果一个用户,了 Gbit/s其上行速度达到,bit/s(这个上行速度更为常见)的受感染设备那么它的破坏力相当于一百台上行速度为 10 M。

  先首,是互联物联网设备(从摄像机到数字视频录像机导致 DDoS 攻击影响升级的一大趋势就,备)用户数量的增加从路由器到家电设。

  2017 年我们预期在 , DDoS 防御之战将进一步 升级来自中国的 DDoS 攻击与中方抗。峰值 的 DDoS 攻击攻击方将组织更大流量更高,护体系 的专业需求上升促使对 DDoS 防。的严峻考 验面对攻击方,现两极分化态势防护攻击方将呈,成为防护主力大型企业将。

  值态势 正在迈向信息化、智能化时代的中国DDoS 攻击在中国将呈现大流量、高峰 ,DDoS 的难度降 低使攻击方组织大规模 。值流量约为 500Gbps目前我国 DDoS 最高峰,017 年而在 2,并踏入 TGbps 时代这个记录极 有可能被刷新。因有三其原 !

  全球的预测根据德勤,enial of Service)攻击在2017年将变得规模更大分布式拒绝服务(以下简称“DDoS”!Distributed D,降低影响的严重程度)更频繁也更难抵御(。攻击为Tbit/s21德勤预计每个月的平均,超过一千万次攻击次数总计,-1。5Gbit/s之间平均攻击规模在1。25。响未能得到抑制)就足以让大部分机构下线年一次没有缓解的 Gbit/s攻击(其影,400和500 Gbit/s攻击的最大规模分别为300、。了两次Tbit/s攻击2016年里已经发生。oS攻击方式的说明(参见下面对DD)

  频率上大幅增 加的大背景之下在 DDoS 网络攻击规模和,以自身技术与资源来应对大多中小型企业将无 法,潮引起大批初创企业涌现而近两年 的创新创业热,防护的需求直线上 升使互联网专业管理与,企业关注的焦 点之一网络安全成为了这批。

  客进不来真的顾,些人提供服务商店无法为这,法做生意因而也没。方法有很多制造拥堵的。僵尸网络和放大攻击最常见的两种就是。

  地防御手段无法稳步升级以抵御同时期的大规模攻击可能出现的后果就是内容发布网络(CDNs)和本,来应对DDoS攻击这就需要新的方法。

  于让网站无法正常使用DDoS攻击的目的在,务网站无法卖东西也就是说让电子商,处理纳税申报表让政府网站无法,站无法发布新闻或是让新闻网。击就是造成网络拥堵最常见的DDoS攻。冒消费者同时涌入一家传统的实体店一次DDoS攻击相当于数十万个假。挤得水泄不通商店很快被。

  不再有技能要求过去DDoS 对攻击者,程度的一个因素就是发动攻击的难度限制 DDoS 攻击数量和严重。

   DDoS 攻击在流量和维度上的不断 演进DDoS 防护供给方将呈两极分化态势 随着,业陷入危机重重不仅使受害企,防护方之间的竞争更是一场攻击方和。后于攻击发展速度一旦防护方企业落,被市场淘汰该企业将。务与安全防护提供商而言对许多中小型网 络服, DDoS 攻击已是防御上 限数十乃 至上百 Gbps 的,时间内提升 防护能力若这些企业未能在较短,G乃至T级别的DDoS攻击将无法应对席卷而来的数百 。

  另一头而在,图从终端着手部分创企试,端并采用混合加密的方式来防止黑客入 侵将安全防护薄弱的物联网设备捆绑至云 。方式需要极高的 成本DDoS 的传统防护,耗更有效的方式来抵御 DDoS 的攻击这也促进了企业从其他角度切入 寻找低消,式或将出现创新防护方。

  者 再,展始的安全 隐患攀升爆发式的物联网设备发。、安全 防护低的特点物联网设备有数量多。信部数据根据工,模达到 7500 亿元 人民币2015 年我国物联网产业规,29。3%同比增长 。020 年预计到 2,超过 1。8 万 亿元中国物联网整体规模将。

  避免、无法预见的 特点DDoS 攻击具有无法,口带宽、流量清洗功能以及反应 敏捷的防御团队且对抗 DDoS 的传统技术需要强 大的出,企 业不具备的能力这正是大部分中小。因此也,量清洗防护抵御DDoS攻击厂商纷纷选 择购买专业流。

  就是放大攻击第二种方法,意代码注入服务器它的原理就是将恶,地址(也称为“电子欺骗”)让其创建多个虚假的 IP,站 发送大量指令它们可以向一个网,堵29导致拥。创建数千个虚假的IP地址每一个被感染的机器可以,千台)的服务器就 能导致大规模的破坏因此放大攻击通过感染相对较少数量(数。

  的设备用于攻击如果将被感染,设备所有者睡觉期间被恶意使用通常是察觉不到的!它可能在,被用来攻击目标在另一个时空。如例,攻击位于北美西海岸的目标位于欧洲的设备可以在午夜。被并入僵尸网络数几百万台设备,好几年的时间里毫不知情而它们的所有者可能在。

  7 年201,两次重大的网络升级许多市场将陆续迎来。DOCSIS 3。1电缆网络将升级到 ,千兆位网速可以实现数;到 G。fast铜缆网络将升级,现每秒数百兆位的速度通过传统的铜绞线实。可能继续优先考虑下行速度经过升级的电缆和铜缆网络,会显著提升 35不过其上行速度也。

  此同时而与,并 未得到应有的重视物联网设备的安全隐患。的固化密码或固件无法升 级的隐患大部分智能硬件都 存在不同程度, 企业大批召回存在安全漏洞的设备2016 年我国多家物联网设备,应用管 理程序存在远程执行的漏洞如 小米旗下的小蚁摄像机曾被曝出,行远程操控危害个人隐私有心人无需密码就可进。外此,插电的供电形 式物联网设备长时间,状态难以被察觉也使其异常运转。为网络安全的致 命伤物联网繁荣背后或将成。

  016 年年末但是到了 2, 620 Gbit/s 的攻击之后在恶意软件Mirai 的支持下发起,指导说明就被发布到了网上有关如何复制这一攻击的,作俑者的踪迹而且隐匿了始。为物联网设备)的默认用户 ID 和密码发布的内容包括了一系列互联设备(大部分。一来这样,易举地复制这一攻击其他人马上就能轻而。17年20,奇到有组织的攻击)因为种种原因(从好,ai源代码的进一步攻击可能还会发生基于Mir。

  )通常需要知道它的用户 ID 和密码远程感染一台互联设备(包括物联网设备。一台设备之前在第一次使用,更改用户 ID 和密码大部分用户都知道有必要,定期更换之后还会。是但,物联网设备当中在全球数十亿台,——所占比例很小大约有五十万台,编码的、无法更改的用户 ID 和密码但绝对数量还是较多——据说采用的是硬。言之换,有这个想法即使用户, ID 和密码也无法更改用户。

  外此,界面能够兼容各种操作系统或浏览器设备制造商也没怎么花心思让用户,包括密码)变得更难这就使得更改设置(。

  020 年截至 2,it 连接将数以亿计全球范围内的 Gb,也将达到 Gbit36其中少部分的上行速度。

  次其,仅因为怕麻烦许多用户仅,改登录凭据不愿意更。设置密码(如果允许在物联网设备上重新,用户所料想或习惯的更费劲还可以修改用户ID)比。的用户 ID 和密码很简单在全尺寸的电脑键盘上创建新,手机上也没那么麻烦在采用触摸屏的智能,盘的物联网设备上就难多了但是在没有内置屏幕或键。改登录凭据但如果不更,安全漏洞就留下了。

  外另,到驻地(FTTP)安装设备也在不断增多全球范围内的光纤到户(FTTH)和光纤。

  供应商为自己的产品获得安全认证防护!应该鼓励甚至强制要求设备,上加以标记并在外包装。应该简单而安全登录凭据的更改。情况下理想,制的凭据配套产品应与定,设备而言对一台,独一无二的凭据都是。客户重新设置ID和密码这就意味着没必要依赖。买通过认证的产品37应该鼓励潜在客户购。入分级系统38软件也应该引;

  与日益 严峻的网络安全问题凸显随着大批互联网初创企业的涌现,防护企业求助的频率 将大幅上升不具备抵抗 能力的企业向专业。抵御团队将成为许多中小企 业的首选外包互联网管理与防护而 非自己组建。

  洗能力 以及富有经验的反应团队背靠强大的带宽、强力的数据清,抵抗大流 量 DDoS 攻击的主力提供网络 安全防护的龙头企业将成为。已能独立防护 TGbps 级别的攻击目前我国几家抗 DDoS 的大型企业。峻的考验面临严,防线的横向合作趋势愈加 凸显龙头企 业在抗 DDoS 。互补以及数 据库共享通过优势领域的合作,产品或 将提供更全面的防御新推出的 DDoS 防护。

  是将网络访问流量转移到第三方防御DDoS攻击的标准方法就,站发送的恶意请求它专门过滤向网,客同假冒顾客区分开来也就相当于将真正的顾。很大(然而有限)的容量来控制攻击每一个专门缓解攻击的第三方都有,代表客户同时减缓多个攻 击每一个这样的供应商通常可以。对客户的攻击至于那些针,超过第三方应对攻击的容量它们的累积容量有时可能会。

  和密码如果不被人知道硬编码的用户 ID ,成为问题也不会。是但,件就可以发现硬编码的登录凭据有编程经验的人查找设备的固;外此,件开发人员或者出现在用户手册中它们还可能作为参考内容提供给软,获取之后发布在网络上也有可能通过非法手段。备有可能被召回易受攻击的设,很长时间才会将它们交回不过其所有者可能要过。

  7年不是什么新鲜话题DDoS攻击在201,潜在规模是不过它的。织应该跟上类似攻击的潜在增长任何一个对网络越来越依靠的组。仅限于)!在线收入占很大比例的零售商应该保持警惕的组织及项目包括(但不;游戏公司在线视频;视频服务流媒体;(金融服务、专业服务)在线业务与服务交付公司;线服务项目以及政府在,务征缴比如税。

  三第,(比如互联的摄像机或数字录像机)如果设备没有屏幕或者显示屏很小,提示升级的必要它们可能无法,运行杀毒软件有的甚至无法。

分享: