网络攻击盯上民生领域,应对DDoS和APT攻击,如何有效防御?
最近科技日報指出,近年來網絡攻擊頻繁盯上民生領域,如電力、交通、水利、能源乃至醫療等關鍵基礎設施。
在很多人看來,網絡攻擊這件事好像還離我們很遠,然而當關系到國計民生的基礎設施遭到攻擊時,就可能會影響到整個城市的運行,進而威脅到人們的生活。
還記得去年黑客攻擊美國最大的輸油管事件,導致美國持續6天出現大面積缺油現象,相關公司還被勒索了500萬美元贖金。
在網絡安全業內看來,不管是民用還是軍用,是戰爭還是和平時代,網絡攻擊隨時都可能發生。
據環球網報道,北京健康寶不久前曾遭到DDOS攻擊(分布式拒絕服務攻擊),分析發現相關攻擊來自境外,該公司技術團隊及時采取應對措施,才保證其相關服務應用免受影響。
一周前,美國動視暴雪公司戰網服務遭到DDOS攻擊,導致其游戲網絡出現中斷和嚴重延遲現象。
?360網絡安全專家李豐沛指出來自境外的網絡攻擊,其意圖多種多樣。DDOS攻擊具有針對國內關鍵設施進行攻擊的破壞性意圖。
DDOS攻擊作為網絡空間的頑疾,相關企業一旦遭到攻擊,就意味著要打一場“非對稱戰爭”。因此提前做好網絡攻擊防范和應急預案對網站服務方來說十分重要。
另有基于竊取情報意圖的APT攻擊,是一種隱蔽性更強,攻擊規模更大的高級網絡攻擊。當APT攻擊發生,傳統的網絡防御體系甚至難以進行偵測。
對此,相關安全專家指出,所有的安全廠商和IT供應商需要不斷增強自身安全實力,針對各種攻擊做出彈性備案,推進筑牢國家數字安全屏障。
下面我們將深入了解DDOS和APT攻擊以及如何進行有效防御。
關于DDOS(Distributed Denial of Service)分布式拒絕服務攻擊,是指攻擊者通過技術手段,在很短的時間內對目標攻擊網站發出大量請求,極大地消耗相關網站的主機資源,導致其無法正常服務。
打個比方來說,原本一家銀行在正常運行,為其客戶提供服務,攻擊者想了一個辦法,在短時間內叫了幾十個惡霸去銀行排號,然后他們不是去辦什么業務,而是和銀行客服東拉西扯占用銀行服務資源,導致其無法正常為客戶提供服務。
DDoS攻擊有多種類型,針對Web服務器的攻擊有TCP SYN泛洪攻擊和CC攻擊。
另外UDP flood、Ping of Death和ICMP flood可針對各種服務器發起攻擊。Smurf攻擊的目標有服務器、交換機和路由器。
關于TCP SYN泛洪攻擊,SYN(Synchronize Sequence Numbers)同步序列編號,是TCP/IP建立連接時使用的握手信號。DDOS攻擊者利用TCP的三次握手機制,通過偽造IP地址向攻擊目標發出請求,使攻擊目標無法正常響應服務,且不斷消耗資源,最后可能導致服務器死機,從而無法向用戶提供服務。
Ping of Death是指攻擊者通過故意給對方發送大于65535字節的IP數據包,進行的一種畸形報文攻擊。
由于65535字節是IP協議允許的最大字節,當攻擊者增加IP包的大小,會導致許多操作系統收到后不知道該做什么,服務器隨之會出現凍結、宕機或重啟等情況。
Smurf攻擊是一種病毒攻擊,它通過IP欺騙和ICMP回復,促使大量網絡傳輸涌向目標系統,導致系統拒絕提供正常服務。
其中IP欺騙是指創建源地址經過修改的Internet 協議 (IP) 數據包。
ICMP(Internet Control Message Protocol)是Internet控制報文協議,是TCP/IP協議簇的一個子協議,用于在IP主機、路由器之間傳遞控制消息。攻擊者利用ICMP偽造網關,進而把大量偽造IP數據包發送到目標系統,從而對目標設備或周邊基礎設施發動 DDoS 攻擊。
應對各種DDOS攻擊,其防御技術也多種多樣,主要方法有使用高防服務器、設置黑名單、DDOS清洗和CDN加速等。
關于CDN流量加速,倘若能夠精準查詢用戶IP地址,了解用戶分布情況,有利于實現CDN流量的高效調度。
再來看看APT(Advanced Persistent Threat)高級長期威脅攻擊,該攻擊通常是黑客針對特定目標,長期、有計劃且有組織地進行竊取情報信息的行為,是綜合了多種攻擊方式的高級定向攻擊,通俗來說APT攻擊相當于是“網絡間諜”行為。
完成一輪APT攻擊通常會經過掃描探測、工具投送、漏洞利用、木馬植入、遠程控制、橫向滲透和目標行動等七個階段。
近年來,來自境外的APT黑客攻擊接連發生,攻擊者的手段越發復雜和隱蔽。
為了防御此類攻擊,信息網絡技術安全人員的防御技術更需不斷精進。防御APT攻擊,需要從網絡安全建設的方方面面著手,推進安全防御技術遠遠超過攻擊者的手段。
關于防御APT攻擊的方法及思路。
一方面,APT攻擊隱蔽性強,要想進行防御,就要找到攻擊源,進而通過高級檢測技術和數據分析來完成。在這個過程中,數據能力是重要支撐。
以IP地址為例,部署高精準的IP地址庫,進行實時IP動態感知,攻防定位和安全溯源,能有效推進網絡安全。檢測到攻擊源后,通過深度分析來訪數據,進而監控或攔截不安全訪問流量。
另一方面,APT攻擊的目的主要是竊取情報,如果未能攔截到攻擊源,企業自身的保護機制也要過硬。那么使用防止敏感數據泄露的加密技術將是一項必要投入。
另外用戶權限管理以及用戶身份認證技術,也是管控內網訪問核心業務和數據的主流思路。
在這方面,IP地址的應用也有體現。例如通過IP地址和GPS的交叉核驗驗證,可以識別用戶的位置信息和日常訪問數據信息是否一致,進而判斷用戶操作行為的風險程度。
網絡攻擊盯上民生領域是網絡攻擊擴大威脅的一種表現,且敵人在暗,企業在明。企業要打贏這場“非對稱戰爭”,就要擁有相關技術能力和數據支撐。
在實際的網絡攻防作戰中,企業實際上要考慮的是成本和收益問題。當然,隨著數字化發展,一家互聯網企業要想有良性的收益,不斷提升用戶體驗,打造安全防御體系將是重要基礎。
4月底,微博、微信、知乎和頭條等互聯網大廠陸續上線了IP歸屬地功能,是打造網絡安全屏障,提升互聯網用戶體驗的一大舉措。
對石油、電力、交通和醫療等民生企業來說,推進防御DDOS和APT等惡意攻擊,還需要加強全方位保護企業的網絡資產。
攻擊者攻擊重要企業,常常把企業網站和企業辦公網絡作為兩個“主戰場”。
企業網站容易確定訪問者身份,很多企業也進行了該層面的安全建設,但常常會忽略企業辦公網絡層面的網絡資產保護。
在數字化時代,企業重點部門及相分支機構的辦公網絡變得復雜,網絡空間資產種類多、變化大且不直觀。這使得企業很難實時檢測網絡資產漏洞,評估全資產的安全風險,從而無法及時采取保護措施,這就給攻擊者提供了可乘之機。
要解決這一隱患,企業首先要全面了解自己辦公資產的暴露面。在這方面,可以通過部署企業辦公網絡IP地址庫,去完善自己的網絡資產清單,進而采取防御措施。
當企業遭到一次攻擊,通過追溯攻擊方的IP源信息,也能進行精準的網絡攻擊取證。
當然,我們都不會希望攻擊真的發生,可長期以來,企業處于被動地位,往往是在發現一個攻擊IP之后,才進行一次封鎖。
為了提高防御效果,準確識別目標區域的數據中心IP,進行批量封鎖是一個有效思路。
數據中心IP是IP應用場景的一種。總的來說,IP地址庫和IP應用場景的綜合應用,對企業辦公網絡層面的安全防護具有積極意義。
網絡安全已經成為國家和民生安全的重要方面,應對外部威脅,打贏一場“非對稱戰爭”,專家提倡筑牢數字安全屏障。這不僅需要增強數據能力,提升技術措施,還需要所有互聯網公司都積極投身其中。
總結
以上是生活随笔為你收集整理的网络攻击盯上民生领域,应对DDoS和APT攻击,如何有效防御?的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: HALCON常用算子(HALCON13.
- 下一篇: sqlServer2012安装包下载