隨著網(wǎng)絡(luò)安全形勢的日益嚴(yán)峻以及網(wǎng)絡(luò)攻擊復(fù)雜程程度和惡意程度的不斷加深����,安全的責(zé)任問題就變得越來越重要�。事實(shí)上,盡管那些備受矚目的網(wǎng)絡(luò)攻擊會招來各種指責(zé)�����,但是要確定被指責(zé)的對象是一件超乎大多數(shù)人想象的困難的事情。
Radware專家表示��,在他們的職業(yè)生涯中����,許多客戶都曾向他們尋求幫助,通過收集攻擊數(shù)據(jù)將攻擊者繩之以法��。遺憾的是����,懂行的攻擊者通常會利用很多工具來避免被追蹤,從而逃脫為自己的行為承擔(dān)責(zé)任��。IP欺詐����、入侵服務(wù)器以及僵尸網(wǎng)絡(luò)是攻擊者最常用的三種策略,這使得對網(wǎng)絡(luò)攻擊的追蹤變得非常困難���。
IP欺詐
互聯(lián)網(wǎng)協(xié)議也就是通常所說的IP被用于互聯(lián)網(wǎng)的各個角落��。它的最初設(shè)計目的是在部分網(wǎng)絡(luò)突然中斷時能夠保證網(wǎng)絡(luò)的互操作性和容錯能力���,安全性并沒有被考慮在內(nèi)。每個IP數(shù)據(jù)包都有一個包頭�����,路由器和其它設(shè)備據(jù)此可以知道數(shù)據(jù)包的來源以及目的地是哪里�。目的地設(shè)備根據(jù)源IP地址信息來確定響應(yīng)數(shù)據(jù)包應(yīng)該如何返回。更改數(shù)據(jù)包頭內(nèi)容是件輕而易舉的事����。
攻擊者偽造數(shù)據(jù)包頭中的源IP地址的方法被稱為IP欺詐。這是一種很常見也易于實(shí)現(xiàn)的攻擊手段�����。尤其在DDoS攻擊中��,攻擊者通常將數(shù)據(jù)包的源IP地址指向被攻擊目標(biāo)�������?梢灶A(yù)見的攻擊結(jié)果是受害者將會收到來自互聯(lián)網(wǎng)的大量響應(yīng)數(shù)據(jù)包,這些響應(yīng)數(shù)據(jù)包風(fēng)暴將會減慢或阻斷合法網(wǎng)絡(luò)流量的傳輸�����。有的時候���,攻擊數(shù)據(jù)包會直接發(fā)給攻擊目標(biāo)中的某個IP地址��,而攻擊數(shù)據(jù)包的源地址則會使用無辜的第三方的IP地址����。不過源IP欺詐也有一定的局限性�,它不能建立雙向通信,這使得它不適用于較為復(fù)雜的攻擊行為�。
入侵服務(wù)器
在出現(xiàn)僵尸網(wǎng)絡(luò)之前,攻擊者遠(yuǎn)程侵入服務(wù)器最常見的手段就是利用操作系統(tǒng)漏洞進(jìn)行攻擊��。通過在服務(wù)器上安裝惡意軟件�,攻擊者得以隱藏其活動證據(jù),并在連接失敗之后仍然可以更容易地重新訪問服務(wù)器�。
一旦惡意軟件被成功安裝,攻擊者就可以從被感染的服務(wù)器上發(fā)起攻擊�,同時攻擊者會刪除日志信息以掩蓋攻擊蹤跡。精明的攻擊者會入侵多個服務(wù)器���,以創(chuàng)建一個沒有日志記錄的冗長服務(wù)器串�����,使得調(diào)查者難以找到攻擊者的來源�����。系統(tǒng)管理員必須成為安全專家���,安裝補(bǔ)丁并更改配置,以保護(hù)他們的系統(tǒng)免受攻擊��。
僵尸網(wǎng)絡(luò)
當(dāng)高速互聯(lián)網(wǎng)訪問不再局限于服務(wù)器時��,工作站就成為了黑可更好的攻擊目標(biāo)��。信息安全部門不會密切監(jiān)控這些工作站���,而且這些工作站的系統(tǒng)漏洞通常也沒有完全修復(fù)���。此外,很少有管理員愿意投入大量時間去研究工作站的異常事件�。
創(chuàng)建���、管理、租用和利用大量被感染的電腦是一項(xiàng)龐大的工程��。僵尸網(wǎng)絡(luò)經(jīng)常被用于各種目的的攻擊�,如:進(jìn)行DDoS攻擊、網(wǎng)絡(luò)入侵�、惡意軟件傳播以及其它網(wǎng)絡(luò)犯罪。通過僵尸網(wǎng)絡(luò)成員與受害者網(wǎng)絡(luò)之間的網(wǎng)絡(luò)流量����,可以非常容易地跟蹤到被感染的電腦,但是人們所能追蹤到的也只是被感染的受害者����。另外的方法就是對命令和控制數(shù)據(jù)流進(jìn)行分析,但是精明的僵尸網(wǎng)絡(luò)操控者并不會將數(shù)據(jù)流直接從自己家的電腦直接發(fā)送到被控制的僵尸網(wǎng)絡(luò)節(jié)點(diǎn)上���。
命令和控制數(shù)據(jù)流通常會使用諸如IRC���、Twitter、IM或點(diǎn)對點(diǎn)網(wǎng)絡(luò)這樣的隱秘通道�。同時,命令和控制服務(wù)器往往比較分散�����,通常利用fast-flux DNS方法進(jìn)行隱藏,利用被攻破的服務(wù)器作為代理服務(wù)器實(shí)現(xiàn)對僵尸網(wǎng)絡(luò)的控制���。
如何保護(hù)企業(yè)安全無憂
非常遺憾的是網(wǎng)絡(luò)運(yùn)營商和執(zhí)法部門經(jīng)常無法抓獲那些狡猾的犯罪分子���。企業(yè)應(yīng)當(dāng)采用適當(dāng)?shù)牟呗浴⒁?guī)章制度和技術(shù)來保護(hù)自己���。提供網(wǎng)絡(luò)行為分析�����、DoS緩解和IP信譽(yù)服務(wù)等功能的強(qiáng)大的邊界防護(hù)方案可以與應(yīng)用感知安全方案共同協(xié)作,提供全面的安全防護(hù)�����。
Radware專家指出��,作為全球領(lǐng)先的虛擬數(shù)據(jù)中心和云數(shù)據(jù)中心應(yīng)用交付和應(yīng)用安全解決方案提供商����,Radware可以為企業(yè)安全提供全方位的保護(hù)�����。 Radware的攻擊緩解系統(tǒng)(AMS)是一種實(shí)時網(wǎng)絡(luò)和應(yīng)用攻擊緩解解決方案��,能夠?qū)崟r保護(hù)應(yīng)用基礎(chǔ)架構(gòu)免遭網(wǎng)絡(luò)和應(yīng)用故障中斷��、應(yīng)用安全漏洞利用����、惡意軟件傳播�、信息盜用、Web服務(wù)及網(wǎng)頁篡改等攻擊的侵?jǐn)_��,全面保護(hù)網(wǎng)絡(luò)��、服務(wù)器和應(yīng)用�。
