扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
尽管境况不乐观,但我们还是可以从几个方面入手来遏制僵尸网络:
● 个人防范。对于可能成为“犯罪帮凶”的个人电脑用户,应该增强安全意识并了解基本的安全知识,及时更新软件补丁,并安装个人防火墙等安全软件,尽量避免使自己的计算机成为僵尸网络的一部分。
● 保证服务器安全。由于管理方面的问题,众多在IDC机房中的中小公司服务器系统往往得不到很好的加固与维护,容易被攻击者所利用,而且此类服务器由于性能高,又直接连接在有高带宽资源的链路当中,当其被黑客利用时,破坏力更大。
● 从主干网络上入手。由于僵尸网络是综合传播的结果,阻挡僵尸网络,应从主干网络上入手,才能获取最佳的效果。在骨干链接上过滤恶意编码可以显著减少国内与国际骨干网络的负载,从而可以大量节省成本。
● 携手合作。对僵尸网络的打击,需要如CNCERT、公安部、专业安全公司、运营商等多部门和企业来进行配合工作。同时通过在运营商以及最终客户端进行防护与缓解,才有可能从源头上对僵尸网络进行遏制。
DDoS攻击不是“绝症”
发动DDoS攻击是僵尸网络最大的“用途”之一,对亦庄机房的攻击就是一次典型的DDoS攻击。据绿盟科技解决方案中心抗拒绝服务系统产品市场经理韩永刚介绍,在世界范围内,DDoS攻击所造成的损失连年排在网络安全问题的第二位,仅次于蠕虫和病毒。这是因为发动DDoS攻击越来越容易,而且随着信息产业与互联网的不断发展,从理论上讲,黑客有可能掌握的资源是没有上限的。而现在获得DDoS攻击资源的成本越来越低,甚至有人把提供攻击资源作为新的牟利方式。
由于国内的互联网发展迅速,连接网络的主机与服务器越来越多,而目前国内的网络安全意识总体水平还不够高,这就造成了有大量的网络资源可以被攻击者所利用。自从2006年年中开始,DDoS攻击在国内呈现出越来越疯狂的趋势。以前700M、800M的攻击就是很大规模了,但近期的攻击事件表明,DDoS攻击已经进入到一个新的规模—n个G的时代。目前,接近1G的攻击在各地时常发生,而3~5个G、最多10G以上的攻击都开始出现。当攻击量到达了这个程度,攻击所造成的影响就不再是针对具体的单个目标了,而是整条链路都会被堵死,所以链路的其他使用者也无法幸免。网通亦庄机房碰到的就是这样的问题,海量的DDoS攻击最终影响的将是运营商的基础网络自身。
那么DDoS攻击会不会成为网络的“不治之症”?答案是否定的,也就是说我们还不至于太过悲观绝望。比较好的防DDoS攻击产品可以实现DDoS异常流量检测、DDoS攻击净化防护、取证与数据分析,从而形成了一套完整的解决方案。如果在亦庄机房部署防DDoS攻击产品,可以避免此次事件的发生。而产品的部署方式也很有讲究。对于如此大流量的攻击,普通防DDoS攻击产品的串联方式肯定是行不通的,而是需要采用旁路集群方式,将多台防DDoS攻击设备进行集群配置,再加上基于流量牵引的旁路技术,将攻击流量牵引至多台设备组成的“泄洪区”进行流量净化,净化的同时又不干扰其他正常流量的经过。这样将对海量DDoS攻击起到很好的缓解与抑制作用,保障IDC的正常运行。
还有更理想的防DDoS攻击部署方式,就是在最终用户到运营商的网络中进行多级部署,在基础链路(如城域网)上部署设备集群,成为防DDoS攻击的基础;之后再在重点地区如IDC或大客户接入处进行重点细粒度的部署,形成多层次的梯度防护,这样才能真正有效地解决DDoS攻击问题。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。