DDoS攻擊規模自2005年來增長1000%
DDoS攻擊已成為主流
僵尸網絡驅使的DDoS攻擊很可能繼續成為2011年和以后的一種成本低且影響力高的網絡抵制形式。2010年發生的主要網絡事件包括涉及中日領土爭端,緬甸、斯里蘭卡政治騷亂及‘維基解密’等事件的DDoS攻擊。保護網絡可用性的需求最終進入全球企業IT咨詢公司的監管視線,而對DDoS的防范也因此將被全球列為CXO級的管理問題。
攻擊范圍繼續擴大
DDoS攻擊范圍包括易受DDoS攻擊的網絡基礎設施、服務器、協議和服務的各個方面。隨著在網絡中引入新的設備、協議和服務,易受DDoS攻擊的設施的范圍將會擴大。這對網絡運營商而言是一個巨大的挑戰。由僵尸網絡驅使的大規模的應用層DDoS攻擊仍然是運營商面臨的最主要問題。今年的報告還將披露針對基礎設施本身的攻擊,尤其是針對域名系統(DNS)、VoIP和IPv6的攻擊。
Arbor Networks公司首席解決方案專家Roland Dobbins稱:“網絡運營商正在面對由無處不在的僵尸網絡所發起的全球性互聯網暴動。這導致DDoS攻擊的規模、頻率和復雜度迅速加大。攻擊向量不斷增多,包括應用和服務,以及在移動設備上的蔓延,都大大增加了運營商面臨的挑戰。”
應用層DDoS攻擊的復雜度和其對運行的影響程度都在增加。2010年有多達77%的受訪者報告檢測到應用層攻擊。這些攻擊既針對其客戶也針對其附屬支持服務,如DNS和門戶網站等。互聯網數據中心(IDC) 和手機/固網的無線運營商都報告指出,應用層DDoS攻擊能夠導致大量服務中斷,運營費用(OPEX)上升,客戶流失和收益損失。
復雜度不斷增加的攻擊暴露IPS和防火墻的弱點
為防范DDoS攻擊,許多運營商部署了基于狀態檢測的防火墻(stateful firewall)和入侵防御系統(IPS)設備來保護數據中心基礎設施。但實際上,這些設備會使得網絡更容易遭受攻擊,因為即便是對目前升級最靈活的設備上的狀態表,一個中等規模的DDoS攻擊就可讓其癱瘓。有近49%的IDC受訪者報告了DDoS攻擊導致的防火墻和IPS癱瘓事件。
移動網絡缺乏準備為新攻擊提供了機會
就網絡的可見性和控制,以及保護自身和客戶免受攻擊的整體能力而言,發展最迅速的手機和固網的無線網絡運營服務可能是互聯網服務提供商(ISP)中缺乏充分準備的一環。有近60%的受訪者表示對其無線分組核心的流量缺乏可見性或受限。而僅有23%的受訪者表示其無線分組核心具有可見性,與其有線網絡的可視性相當或更好。值得注意的是,就安全而言,許多手機和固網的無線網絡運營商可能僅具備與8到10年前有線運營商之狀況相近的保護能力。
運營商在轉變為IPv6運營商的同時,也正在努力維持其安全狀況。一些運營商就對IPv6網絡流量的可見性缺乏,以及無法象控制IPv4流量一樣地控制IPv6網絡流量存在擔憂。部署IPv6到IPv4的網關和網絡地址轉換(NAT) 時所帶來的額外網絡狀態和DDoS向量,對網絡可用性也是一個嚴重的威脅。
DNS成為首要攻擊目標
DDoS攻擊最容易的方式之一就是DNS攻擊。它能夠通過拒絕互聯網用戶解析服務器/資源記錄,導致一臺服務器,一項服務或一個應用程序離線。此外,大量錯誤配置的DNS開放式遞歸運算,加上許多網絡缺乏反欺騙部署,就會讓攻擊者發起導致DNS癱瘓的反射/放大性攻擊。
【編輯推薦】
