对付僵尸网络?这两大策略要get住

日期:2017-2-13作者:赵长林

【TechTarget中国原创】

僵尸网络日益强大和主动,并且武装得比以往更强悍。据Neustar的报告,在2016年第一季度,僵尸网络发动的攻击达到了3亿次,比2015年同期增长了300%,比2015年最后一季度增加了35%。

很多僵尸网络都被用于发动更强大和更频繁的分布式拒绝服务攻击(DDoS)。Neustar的报告指出,有73%的用户称在2015年遭受了DDoS攻击,而其中的82%反复遭到攻击。僵尸网络还被用于对失窃的登录凭据进行大规模的复杂恶意测试,并查找可轻松利用的系统漏洞。

由于物联网设备加入到被僵尸网络控制的设备中,问题变得更为复杂。最近,安全博主Brian Krebs的网站遭受了历史上最强大的一次DDoS攻击,经证实,由路由器、安全摄像机(监控摄像机)、打印机、数字视频记录机(DVR)构成的大规模僵尸网络是发动此攻击的罪魁祸首。

随着僵尸网络攻击渐趋加强,企业如何更好地保护自己的网络?

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

赵长林
赵长林

TechTarget中国特邀作者

拒绝服务攻击防范>更多

  • CLDAP反射攻击或是下一个强力DDoS攻击技术

    如今,DDoS攻击活动规模越来越大,一种滥用CLDAP进行反射攻击的新方法可能会允许恶意攻击者使用较少的设备生成大量DDoS流量,企业需对其提高重视。

  • 对付僵尸网络?这两大策略要get住

    最近,安全博主Brian Krebs的网站遭受了历史上最强大的一次DDoS攻击,经证实,由路由器、安全摄像机(监控摄像机)、打印机、数字视频记录机(DVR)构成的大规模僵尸网络是发动此攻击的罪魁祸首……

  • 如何抵御云端DDoS攻击?

    随着分布式拒绝服务攻击的频率和规模的不断提升,云端服务供应商可能会在带宽争夺战中成为攻击者们的更加关注的目标……

  • BlackNurse攻击:4Mbps搞瘫路由器和防火墙

    研究人员公布名为“BlackNurse”的低容量ICMP拒绝服务攻击,该攻击能够凭借笔记本电脑的仅4Mbps的恶意数据包将路由器及防火墙弄瘫痪。

相关推荐

  • 物联网攻击哪家强?Hajime或盖Mirai风头

    在近期关于物联网设备控制权的“争夺赛”中,Hajime蠕虫软件和Marai僵尸网络各有千秋,不过相比之下,Hajime更为隐秘,或盖Marai风头。

  • CLDAP反射攻击或是下一个强力DDoS攻击技术

    如今,DDoS攻击活动规模越来越大,一种滥用CLDAP进行反射攻击的新方法可能会允许恶意攻击者使用较少的设备生成大量DDoS流量,企业需对其提高重视。

  • RSAC 2017:值得关注的五个看点

    2017年RSA大会于昨日(2月13日 星期一)正式启动,一如既往,为信息安全行业带来值得注意的主题、趋势以及某些潜在的争议。在本届RSA大会,有五个值得关注的看点……

  • RSAC 2017:IoT安全威胁登话题榜首

    在物联网设备近年来被攻击者滥用后,物联网安全在2017年RSA大会上的话题列表中位列榜首,而安全专家担心的远不止于此……

技术手册>更多

  • 构建DMZ 保护网络安全

    DMZ(Demilitarized Zone)即俗称的隔离区或非军事区,与军事区和信任区相对应,作用是把WEB,e-mail,等允许外部访问的服务器单独接在该区端口,使整个需要保护的内部网络接在信任区端口后,不允许任何访问,实现内外网分离,达到用户需求。DMZ可以理解为一个不同于外网或内网的特殊网络区域,DMZ内通常放置一些不含机密信息的公用服务器,比如Web、Mail、FTP等。

  • 服务器虚拟化安全

    从现在起,五年以后,几乎没有一家企业会使用“真正的”计算机。虚拟软件将会截取并模拟数据库、网络应用程序或者文件共享所能进行的一切工作,允许一个机架安装服务器起到10台服务器的作用。虚拟化是必然的;自IP网络以来,它是IT业最重要的新势力。对这一趋势带来的影响,安全专家如果有一种挥之不去的恐惧感,他们应该得到原谅。在内部网络中,虚拟化正重新绘制分布图;硬件以及网络过滤曾经将服务器和应用程序分离,虚拟化可以把它们集中到同一个刀片服务器上。影响深远的变化的到来不会没有安全挑战。

  • 善用威胁情报 加固企业安全

    多年来,企业投资于安全信息和事件管理以及日志管理技术来收集、管理和分析日志。大规模数据分析领域的进步让企业使用程序得以从数据中发现异常活动和分析攻击。然而,企业很容易被从这些数据中获得的指标和警告所淹没。这正是威胁情报派上用场的时候。

  • 数据库安全

    随着计算机技术的飞速发展,数据库的应用十分广泛,深入到各个领域,但随之而来产生了数据的安全问题。各种应用系统的数据库中大量数据的安全问题、敏感数据的防窃取和防篡改问题,越来越引起人们的高度重视。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算
【TechTarget中国原创】

僵尸网络日益强大和主动,并且武装得比以往更强悍。据Neustar的报告,在2016年第一季度,僵尸网络发动的攻击达到了3亿次,比2015年同期增长了300%,比2015年最后一季度增加了35%。

很多僵尸网络都被用于发动更强大和更频繁的分布式拒绝服务攻击(DDoS)。Neustar的报告指出,有73%的用户称在2015年遭受了DDoS攻击,而其中的82%反复遭到攻击。僵尸网络还被用于对失窃的登录凭据进行大规模的复杂恶意测试,并查找可轻松利用的系统漏洞。

由于物联网设备加入到被僵尸网络控制的设备中,问题变得更为复杂。最近,安全博主Brian Krebs的网站遭受了历史上最强大的一次DDoS攻击,经证实,由路由器、安全摄像机(监控摄像机)、打印机、数字视频记录机(DVR)构成的大规模僵尸网络是发动此攻击的罪魁祸首。

随着僵尸网络攻击渐趋加强,企业如何更好地保护自己的网络?

两大策略

传统上,对于期望防御僵尸网络攻击的企业来说,可以使用两种主要的策略。第一个与网站和网络的能力有关,即企业应对进入网络的不可预料的峰值通信(由DDoS攻击导致)能力。基于真实网络测试的负载均衡策略通过分散通信量,从而有助于平衡通信的高峰和低谷,对于减轻DDoS企图的影响,这是一个重要方法。然而,即使有效的负载均衡策略也有可能被超大规模的DDoS攻击摧毁,导致应用程序陷于停顿。

第二大策略与实际的安全工具有关,例如防火墙,其关注的是确认和阻止恶意通信。这种策略很有效,但是需要积极地分析大量网络通信的能力,以及确认恶意数据包的能力,并且阻止这些恶意包的能力都给最新一代的高性能防火墙带来沉重负担。将海量的无关通信发给这种设备会极大地削弱其分析性能,从而又在整个网络中造成性能的大量消耗。

智能IP过滤

不过,我们还有第三种策略:首先要通过智能的预过滤来防止僵尸网络产生的恶意通信到达防火墙。这种方法极大地减少了攻击的强度和影响,同时还提高了防火墙和相关安全方案的效率,使得确认威胁和减少虚假的警报更为简单。

要实现此功能,企业需要一个专门的网关来持续监视和主动过滤被僵尸网络控制的IP地址。这个网关要利用实时的不断更新的威胁情报和应用程序关于恶意IP地址(这些地址是已经感染了僵尸的地址或者是保存恶意软件的地址)的情报。然后,在网关收到这些已知的恶意地址的通信时,就会自动地高速过滤掉这些地址,使其无法达到企业网络。

企业可以将同样的策略进行扩展,用以阻止来自企业无业务利益的整个地区的IP地址的通信,或阻止已存在威胁的某地区的IP地址通信。

找到漏洞

使用威胁情报网关来过滤IP通信还有一个好处:网关还可以确定已经存在于网络上的正在偷偷地发送敏感数据给罪犯的僵尸感染。这种网关还可以检查离开网络的通信:如果通信被发往一个已知的僵尸网络的恶意服务器地址,就过滤并自动阻止,永久断开数据泄露。

很明显,IP地址过滤策略的最直接的好处就是极大地减少企业遭受外部僵尸网络的DDoS攻击的机会,也可以阻止由于内部的僵尸感染而造成的数据泄露。但是这种方法还有其它的好处。企业现有的安全基础架构和IT团队可以更高效地发挥功能。一个典型的企业每周可能收到大约近两万次恶意软件警告,并且每年要花费大量金钱用于跟踪一些虚假警告。IP地址过滤可以减少警告次数和虚假的警告消息,从而解放IT团队的资源,减少在防火墙、反病毒、沙箱等方案上的处理成本,并且提升企业应对目标攻击的能力。

智能IP地址过滤利用威胁情报网关,给企业一种由策略驱动的网络通信控制,使企业阻止未知的、恶意的访问者,并且阻止由已有的感染造成的数据泄露和数据破坏。这是对付僵尸网络的一项关键举措。