传统的攻击都是通过对业务系统的渗透,非法获得信息来完成,而 DDoS 攻击则是一种可以造成大规模破坏的黑客武器,它通过制造伪造的流量,使得被攻击的服务器、网络链路或是网络设备(如防火墙、路由器等)负载过高,从而最终导致系统崩溃,无法提供正常的Internet 服务。
DDoS 的威胁愈演愈烈
DDoS 攻击给运营商、企业和政府都将可能带来巨大的损失。带宽耗尽型的攻击可能极大浪费运营商骨干网络宝贵的带宽资源,严重增加核心设备的工作负荷,造成关键业务的中断或网络服务质量的大幅降低。DDoS 攻击之下的门户网站性能急剧下降,无法正常处理用户的正常访问请求,造成客户访问失败;服务质量协议(SLA)也会受到破坏,带来高额的服务赔偿。同时,公司的信誉也会蒙受损失,而这种危害又常常是长期性的。利润下降、生产效率降低、IT 开支增高以及相应问题诉诸法律而带来的费用增加等等,这些损失都是由于 DDoS攻击造成的。此外,攻击的波及面之广也是当前不得不面对的问题。CNCERT 在 2010 年上半年《中国互联网网络安全报告》中指出,CNCERT 2010 年上半年抽样监测结果显示我国大陆约有近124 万个 IP 地址对应的主机被植入僵尸和木马程序控制,同时监测发现境外有 127559 个 IP地址作为木马控制服务器参与控制中国大陆地区的木马受控主机。
DDoS 攻击主要分为以下几种类型:
1、带宽型攻击——这类 DDoS 攻击通过发出海量数据包,造成设备负载过高,最终导致网络带宽或是设备资源耗尽。通常,被攻击的路由器、服务器和防火墙的处理资源都是有限的,攻击负载之下它们就无法处理正常的合法访问,导致服务拒绝。
2、流量型攻击最通常的形式是 Flooding 方式,这种攻击把大量看似合法的 TCP、UDP、ICPM包发送至目标主机,甚至,有些攻击还利用源地址伪造技术来绕过检测系统的监控。
3、应用型攻击——这类 DDoS 攻击利用了诸如 TCP 或是 HTTP 协议的某些特征,通过持续占用有限的资源,从而达到阻止目标设备无法处理正常访问请求的目的,比如HTTP Half Open攻击和 HTTP Error 攻击就是该类型的攻击。
DDoS 防护的基本要求
DDoS 防护一般包含两个方面:其一是针对不断发展的攻击形式,尤其是采用多种欺骗技术的技术,能够有效地进行检测;其二,也是最为重要的,就是如何降低对业务系统或者是网络的影响,从而保证业务系统的连续性和可用性。
完善的 DDoS 攻击防护应该从四个方面考虑:
1、 能够从背景流量中精确的区分攻击流量;
2、 降低攻击对服务的影响,而不仅仅是检测;
3、 能够支持在各类网络入口点进行部署,包括性能和体系架构等方面;
4、系统具备很强的扩展性和良好的可靠性;
基于以上四点,抗拒绝服务攻击的设备应具有如下特性:
1、通过集成的检测和阻断机制对 DDoS 攻击实时响应;
2、采用基于行为模式的异常检测,从背景流量中识别攻击流量;
3、提供针对海量 DDoS 攻击的防护能力;
4、提供灵活的部署方式保护现有投资,避免单点故障或者增加额外投资;
5、 对攻击流量进行智能处理,保证最大程度的可靠性和最低限度的投资;
6、降低对网络设备的依赖及对设备配置的修改;
7、尽量采用标准协议进行通讯,保证最大程度的互操作性和可靠性;
三、绿盟堡垒机产品介绍
随着信息化的发展,企事业单位 IT 系统不断发展,网络规模迅速扩大、设备数量激增,建设重点逐步从网络平台建设,转向以深化应用、提升效益为特征的运行维护阶段, IT 系统运维与安全管理正逐渐走向融合。信息系统的安全运行直接关系企业效益,构建一个强健的 IT 运维安全管理体系对企业信息化的发展至关重要,对运维的安全性提出了更高要求。
目前,面对日趋复杂的 IT 系统,不同背景的运维人员已给企业信息系统安全运行带来较大潜在风险,
主要表现在:账号管理无序,暗藏巨大风险
1、 多个用户混用同一个账号
这种情况主要出现在同一工作组中,由于工作需要,同时系统管理账号唯一,因此只能
多用户共享同一账号。不仅在发生安全事故时难以定位账号的实际使用者和责任人,而且无法对账号的使用范围进行有效控制,存在较大安全隐患。
2、一个用户使用多个账号目前
一个维护人员使用多个账号是较为普遍的情况,用户需要记忆多套口令同时在多套主机系统、网络设备之间切换。如果设备数量达到几十甚至上百台时,维护人员进行一项简单的配置需要分别逐一登录相关设备,其工作量和复杂度成倍增加,直接导致的后果是工作效率低下、管理繁琐甚至出现误操作,影响系统正常运行。
3、 粗放式权限管理
安全性难以保证大多数企事业单位的 IT 运维均采用设备、操作系统自身的授权系统,授权功能分散在各设备和系统中。管理人员的权限大多是粗放式管理,由于缺少统一的运维操作授权策略,授权粒度粗,无法基于最小权限分配原则管理用户权限,难以与业务管理要求相协调。因此,出现运维人员权限过大、内部操作权限滥用等诸多问题,如果不及时解决,信息系统的安全性难以充分保证。
4、设备自身日志粒度粗
难以有效定位安全事件在运维工作中,大多是通过各网络设备、操作系统的系统日志进行监控审计,但是由于各系统自身审计日志分散、内容深浅不一,且无法根据业务要求制定统一审计策略;因此,难以通过系统自身审计及时发现违规操作行为和追查取证。
5、 第三方代维人员带来安全隐患
目前,越来越多的企业选择将非核心业务外包给设备商或代维公司,在享受便利的同时,由于代维人员流动性大、对操作行为缺少监控带来的风险日益凸显。因此,需要通过严格的权限控制和操作行为审计,加强对代维人员的行为管理,从而达到消隐患、避风险的目的。
6、传统网络安全审计系统已无法满足运维审计和管理的要求
无法审计运维加密协议、远程桌面内容为了加强信息系统风险内控管理,一些企业已部署网络安全审计系统,希望达到对运维人员操作行为监控的目的。由于传统网络安全审计的技术实现方式和系统架构(主要通过旁路镜像或分光方式,分析网络数据包进行审计),导致该系统只能对一些非加密的运维操作协议进行审计,如 Telnet;而无法对维护人员经常使用的 SSH、RDP 等加密协议、远程桌面等进行内容审计, 无法有效解决对运维人员操作行为的监管问题。 基于 IP 的审计,难以准确定位责任人大多数网络安全审计系统,只能审计到 IP 地址,难以将 IP 地址与具体人员身份准确关
联,导致发生安全事故后,追查责任人成为新的难题。
7、 面临法规遵从的压力
为加强信息系统风险管理,政府、金融、运营商等陆续发布信息系统管理规范和要求,如“信息系统等级保护”、“商业银行信息科技风险管理指引”、“企业内部控制基本规范”等均要求采取信息系统风险内控与审计,但其自身确没有有效的技术手段。
上述风险带来的运维安全风险和审计监管问题,已经成为企业信息系统安全运行的严重隐患,制约业务发展,影响企业效益。企业 IT 运维安全管理的变革已刻不容缓!