隨著網(wǎng)絡(luò)安全形勢(shì)的日益嚴(yán)峻以及網(wǎng)絡(luò)攻擊復(fù)雜程程度和惡意程度的不斷加深����,安全的責(zé)任問(wèn)題就變得越來(lái)越重要。事實(shí)上����,盡管那些備受矚目的網(wǎng)絡(luò)攻擊會(huì)招來(lái)各種指責(zé)�,但是要確定被指責(zé)的對(duì)象是一件超乎大多數(shù)人想象的困難的事情。
Radware專家表示��,在他們的職業(yè)生涯中�����,許多客戶都曾向他們尋求幫助,通過(guò)收集攻擊數(shù)據(jù)將攻擊者繩之以法���。遺憾的是�����,懂行的攻擊者通常會(huì)利用很多工具來(lái)避免被追蹤��,從而逃脫為自己的行為承擔(dān)責(zé)任��。IP欺詐���、入侵服務(wù)器以及僵尸網(wǎng)絡(luò)是攻擊者最常用的三種策略,這使得對(duì)網(wǎng)絡(luò)攻擊的追蹤變得非常困難�。
IP欺詐
互聯(lián)網(wǎng)協(xié)議也就是通常所說(shuō)的IP被用于互聯(lián)網(wǎng)的各個(gè)角落。它的最初設(shè)計(jì)目的是在部分網(wǎng)絡(luò)突然中斷時(shí)能夠保證網(wǎng)絡(luò)的互操作性和容錯(cuò)能力����,安全性并沒(méi)有被考慮在內(nèi)。每個(gè)IP數(shù)據(jù)包都有一個(gè)包頭�����,路由器和其它設(shè)備據(jù)此可以知道數(shù)據(jù)包的來(lái)源以及目的地是哪里���。目的地設(shè)備根據(jù)源IP地址信息來(lái)確定響應(yīng)數(shù)據(jù)包應(yīng)該如何返回���。更改數(shù)據(jù)包頭內(nèi)容是件輕而易舉的事�����。
攻擊者偽造數(shù)據(jù)包頭中的源IP地址的方法被稱為IP欺詐�����。這是一種很常見(jiàn)也易于實(shí)現(xiàn)的攻擊手段��。尤其在DDoS攻擊中�,攻擊者通常將數(shù)據(jù)包的源IP地址指向被攻擊目標(biāo)�������?梢灶A(yù)見(jiàn)的攻擊結(jié)果是受害者將會(huì)收到來(lái)自互聯(lián)網(wǎng)的大量響應(yīng)數(shù)據(jù)包����,這些響應(yīng)數(shù)據(jù)包風(fēng)暴將會(huì)減慢或阻斷合法網(wǎng)絡(luò)流量的傳輸��。有的時(shí)候,攻擊數(shù)據(jù)包會(huì)直接發(fā)給攻擊目標(biāo)中的某個(gè)IP地址�����,而攻擊數(shù)據(jù)包的源地址則會(huì)使用無(wú)辜的第三方的IP地址�。不過(guò)源IP欺詐也有一定的局限性,它不能建立雙向通信�����,這使得它不適用于較為復(fù)雜的攻擊行為���。
入侵服務(wù)器
在出現(xiàn)僵尸網(wǎng)絡(luò)之前���,攻擊者遠(yuǎn)程侵入服務(wù)器最常見(jiàn)的手段就是利用操作系統(tǒng)漏洞進(jìn)行攻擊。通過(guò)在服務(wù)器上安裝惡意軟件�����,攻擊者得以隱藏其活動(dòng)證據(jù)�����,并在連接失敗之后仍然可以更容易地重新訪問(wèn)服務(wù)器�����。
一旦惡意軟件被成功安裝,攻擊者就可以從被感染的服務(wù)器上發(fā)起攻擊�,同時(shí)攻擊者會(huì)刪除日志信息以掩蓋攻擊蹤跡。精明的攻擊者會(huì)入侵多個(gè)服務(wù)器�,以創(chuàng)建一個(gè)沒(méi)有日志記錄的冗長(zhǎng)服務(wù)器串,使得調(diào)查者難以找到攻擊者的來(lái)源�。系統(tǒng)管理員必須成為安全專家,安裝補(bǔ)丁并更改配置�,以保護(hù)他們的系統(tǒng)免受攻擊。
僵尸網(wǎng)絡(luò)
當(dāng)高速互聯(lián)網(wǎng)訪問(wèn)不再局限于服務(wù)器時(shí)�����,工作站就成為了黑可更好的攻擊目標(biāo)����。信息安全部門不會(huì)密切監(jiān)控這些工作站,而且這些工作站的系統(tǒng)漏洞通常也沒(méi)有完全修復(fù)�。此外,很少有管理員愿意投入大量時(shí)間去研究工作站的異常事件���。
創(chuàng)建��、管理����、租用和利用大量被感染的電腦是一項(xiàng)龐大的工程��。僵尸網(wǎng)絡(luò)經(jīng)常被用于各種目的的攻擊�����,如:進(jìn)行DDoS攻擊�、網(wǎng)絡(luò)入侵、惡意軟件傳播以及其它網(wǎng)絡(luò)犯罪����。通過(guò)僵尸網(wǎng)絡(luò)成員與受害者網(wǎng)絡(luò)之間的網(wǎng)絡(luò)流量,可以非常容易地跟蹤到被感染的電腦��,但是人們所能追蹤到的也只是被感染的受害者�����。另外的方法就是對(duì)命令和控制數(shù)據(jù)流進(jìn)行分析���,但是精明的僵尸網(wǎng)絡(luò)操控者并不會(huì)將數(shù)據(jù)流直接從自己家的電腦直接發(fā)送到被控制的僵尸網(wǎng)絡(luò)節(jié)點(diǎn)上����。
命令和控制數(shù)據(jù)流通常會(huì)使用諸如IRC、Twitter���、IM或點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)這樣的隱秘通道�����。同時(shí)�����,命令和控制服務(wù)器往往比較分散��,通常利用fast-flux DNS方法進(jìn)行隱藏���,利用被攻破的服務(wù)器作為代理服務(wù)器實(shí)現(xiàn)對(duì)僵尸網(wǎng)絡(luò)的控制。
如何保護(hù)企業(yè)安全無(wú)憂
非常遺憾的是網(wǎng)絡(luò)運(yùn)營(yíng)商和執(zhí)法部門經(jīng)常無(wú)法抓獲那些狡猾的犯罪分子���。企業(yè)應(yīng)當(dāng)采用適當(dāng)?shù)牟呗��、?guī)章制度和技術(shù)來(lái)保護(hù)自己��。提供網(wǎng)絡(luò)行為分析��、DoS緩解和IP信譽(yù)服務(wù)等功能的強(qiáng)大的邊界防護(hù)方案可以與應(yīng)用感知安全方案共同協(xié)作��,提供全面的安全防護(hù)����。
Radware專家指出����,作為全球領(lǐng)先的虛擬數(shù)據(jù)中心和云數(shù)據(jù)中心應(yīng)用交付和應(yīng)用安全解決方案提供商,Radware可以為企業(yè)安全提供全方位的保護(hù)����。 Radware的攻擊緩解系統(tǒng)(AMS)是一種實(shí)時(shí)網(wǎng)絡(luò)和應(yīng)用攻擊緩解解決方案,能夠?qū)崟r(shí)保護(hù)應(yīng)用基礎(chǔ)架構(gòu)免遭網(wǎng)絡(luò)和應(yīng)用故障中斷�、應(yīng)用安全漏洞利用、惡意軟件傳播�、信息盜用、Web服務(wù)及網(wǎng)頁(yè)篡改等攻擊的侵?jǐn)_��,全面保護(hù)網(wǎng)絡(luò)�、服務(wù)器和應(yīng)用。
