论文部分内容阅读
禽流感、铊中毒、人中暑、船撞桥……生活中的意外事件随处可见,计算机安全的头号麻烦泛DoS,治理起来同样需要安全管理员费番心思。
泛DoS攻击事件及危害
DoS(Denial of Service,拒绝服务)攻击是指,使目标服务器充斥大量要求回复的信息,消耗网络带宽或系统资源的破坏手段。通常来说,DoS攻击有狭义和广义之分,这里,我们将其统称为“泛DoS攻击”。
在现实中,导致系统发生拒绝服务攻击的原因多种多样,无论是何种原因造成的,也不管是狭义的还是广义的DoS攻击,它们对信息系统造成的影响都是严重的,需要安全管理员同等重视,并需要将DoS攻击事件进行通盘分析与处理。
由泛DoS攻击事件造成的网络通信中断给用户带来的损失,绝不亚于由黑客盗窃系统关键数据带来的损失。看似不重要的邮件服务、上网服务的中断,或许就会影响到企业的核心业务。而较其他安全事件,用户往往对泛DoS攻击事件的影响印象最深刻,安全管理员也不得不把泛DoS攻击放在众多信息安全问题中的首位来应对。
泛DoS攻击事件成因
泛DoS攻击事件的成因非常多。比照着生活中各种事件,笔者将泛DoS攻击事件的成因总结为四大类:
“禽流感型”——病毒蠕虫导致的拒绝服务
SQL Slammer(蠕虫王)等能导致拒绝服务的病毒或蠕虫发作起来,和禽流感有很多相似之处。它们同样是没有人驱使,自动地流动传染。如果人不打疫苗或者计算机不打补丁,一定都会中招。
“铊中毒型”——人工发起的拒绝服务攻击
看看以往的案例,从外国特工中毒到中国学生受害,让受害者病倒、不能工作、不能学习的致命元素铊都是被他人施放的。在网络世界里,同样也有大量人为操控的破坏性攻击行为,与铊中毒事件具有同样的破坏手法。
“中暑型”——系统弱不禁风而停止服务
暑天,人在出门前没喝足水,或是衣服穿多了,再加上自身身体虚弱,上街后发生中暑现象就不足为怪了。信息系统如果自身运转不够强壮,再无意间被装上破坏系统稳定性的软件,那么,一旦有外力轻轻一推,就会倒掉。
“船撞桥型”——纯属意外
广东九江大桥被撞断的事故,经过权威部门鉴定,大桥的建设质量没有问题,完全是由于江船意外撞中桥墩所致,纯属意外。信息系统也难保不碰到意外。一杯打翻的水可能会毁掉一个机房,造成系统瘫痪。尽管意外在所难免,但是,由此造成的泛DoS攻击事件并不能成为安全管理员免责的借口。
泛DoS攻击事件发生的原因,有时是以上原因中的某一种造成的,但更多的时候是各种原因组合在一起造成的,由此给用户带来的危害更大,令安全管理员更难对付。
如何解决泛DoS攻击
一、控制毒患
治理DoS攻击事件的毒患,可以参照控制禽流感的方法。
●做好免疫工作。对付禽流感,兽医会给鸡鸭一一打疫苗。同样,我们可以参照着给PC机、服务器一一打好补丁,就可以抵御那些安全厂商们已知的计算机病毒。
●截断传播源。拉网拦截不明飞鸟是治理禽流感的一个不错的方法。在信息网络中,同样可以适用。用户可以在UTM、IPS、防毒墙、抗DoS攻击等产品中择而用之,以此拉网。
●实时监测、及时通报。卫生防疫部门对禽流感疫情的监控通报机制有助于掌控疫情、及时响应。据此,信息网络里可以部署上类似的产品——NIDS、HIDS、SOC(安全管理中心),也能起到同样的作用。
●查找源头,及时扑杀。卫生防疫部门在确诊了感染的病鸡、病鸭后,几公里内的家禽都要捕杀干净。同样道理,一旦网络中发现了导致DoS攻击的病毒或蠕虫后,也得及时找到源头,把它从网络中隔离出来,或者干脆断掉相关网段。
● 强化宣传教育。宣传不吃来历不明的死鸡死鸭是防止人感染禽流感的良方。同样,教育用户一旦发现网速慢了就要及时通报,不乱装不明软件也是杜绝病毒蠕虫的上上策。
二、控制攻击
DoS攻击事件往往是带有恶意企图的人或组织发起的。对此,除了使用以上治理毒患中的手段外,控制DoS攻击事件还应补充做好以下工作:
●加强对入侵行为学的研究。分析恶意入侵者的心理、思维、利益驱动等因素,研究现有法律对入侵者的惩戒作用。研究什么样的利益会促使他们铤而走险,确定哪些系统更容易被他们破坏,并加以重点防护。
● 加强审计产品的部署。使用包括IDS在内的行为审计产品,保存恶意攻击者的行为记录,以便尽快分析源头,斩断来袭流量,也便于事后取证,追究法律责任。在部署审计产品时,一定要注意监控范围要全,这样一可以防止漏掉证据信息,二可以便于我们综合不同的证据,进行关联分析。
三、加强系统自身的强壮性
“中暑型”的泛DoS攻击事件,问题主要出在系统本身。当下信息系统中,带病者、亚健康者很多,它们在应用层面、代码层面存在着各种各样的风险。其中,病重者,在还没有发生拒绝服务攻击或病毒蠕虫时,稍遇风吹雨打,就有跨掉的危险。
对于这类问题,关键要加强系统自身的强壮性。就像对于中暑的病人,与其事后用“十滴水”抢救,还不如事前喝足水,穿凉快一点。对于计算机,我们在关注应用系统功能的同时,还应该充分关注其安全性。在系统开发设计或者初始配置之时,就应为今后抗击DoS做好准备。如果在系统上线时,还没有把握确定系统能稳定运行,就不要仓促上线,什么时候改进好了,什么时候再正式运行。
四、用管理防范意外
“船撞桥型”意外事件令管理人员较难驾驭,因为它发生时的种种迹象往往不合常理,很难快速找出原因。
意外不能完全消除,只能尽量避免。如果江船不是违规驶入不该走的航道,广东九江大桥也不会被撞断。所以,处理这类问题,重在加强管理,让各项工作流程都严格按制度执行,就可以把很多意外情况扼杀在萌芽状态。
四管齐下,综合治理
上面具体研究了“禽流感”、“铊中毒”、“中暑”、“船撞桥”四类泛DoS攻击事件的解决方法,当它们在实际中联合登场时,我们则要通盘布局,把上述解决方法结合起来使用。这种结合,不是简单的累加,而是一体化地运用。
另外,我们应该注意的是,把泛DoS攻击事件的处理放在安全管理的大局中来考虑,要结合其他安全任务需求来统一规划,制定合理的安全预算,科学配置产品,有效应用技术,而不是重复建设。
了解DoS攻击
DoS攻击方法简单,容易达到目的,因而成为攻击者的惯用手段。攻击者通过故意攻击网络协议缺陷或直接使用一些手段,耗尽被攻击对象的资源(网络带宽、文件系统空间容量、开放的进程等),让目标计算机或网络无法提供用户所需的服务。
DoS的的起源在上世纪80年代。新千年来临时,DoS攻击发展到了极致。其中,2000年2月,Yahoo、CNN、eBay、Amazon等的网站遭到DDoS (Distributed Denial of Service,分布式拒绝服务)攻击以及2002年10月全球互联网域名解析服务器被DoS攻击都是载入安全史的重大事件。
泛DoS攻击事件及危害
DoS(Denial of Service,拒绝服务)攻击是指,使目标服务器充斥大量要求回复的信息,消耗网络带宽或系统资源的破坏手段。通常来说,DoS攻击有狭义和广义之分,这里,我们将其统称为“泛DoS攻击”。
在现实中,导致系统发生拒绝服务攻击的原因多种多样,无论是何种原因造成的,也不管是狭义的还是广义的DoS攻击,它们对信息系统造成的影响都是严重的,需要安全管理员同等重视,并需要将DoS攻击事件进行通盘分析与处理。
由泛DoS攻击事件造成的网络通信中断给用户带来的损失,绝不亚于由黑客盗窃系统关键数据带来的损失。看似不重要的邮件服务、上网服务的中断,或许就会影响到企业的核心业务。而较其他安全事件,用户往往对泛DoS攻击事件的影响印象最深刻,安全管理员也不得不把泛DoS攻击放在众多信息安全问题中的首位来应对。
泛DoS攻击事件成因
泛DoS攻击事件的成因非常多。比照着生活中各种事件,笔者将泛DoS攻击事件的成因总结为四大类:
“禽流感型”——病毒蠕虫导致的拒绝服务
SQL Slammer(蠕虫王)等能导致拒绝服务的病毒或蠕虫发作起来,和禽流感有很多相似之处。它们同样是没有人驱使,自动地流动传染。如果人不打疫苗或者计算机不打补丁,一定都会中招。
“铊中毒型”——人工发起的拒绝服务攻击
看看以往的案例,从外国特工中毒到中国学生受害,让受害者病倒、不能工作、不能学习的致命元素铊都是被他人施放的。在网络世界里,同样也有大量人为操控的破坏性攻击行为,与铊中毒事件具有同样的破坏手法。
“中暑型”——系统弱不禁风而停止服务
暑天,人在出门前没喝足水,或是衣服穿多了,再加上自身身体虚弱,上街后发生中暑现象就不足为怪了。信息系统如果自身运转不够强壮,再无意间被装上破坏系统稳定性的软件,那么,一旦有外力轻轻一推,就会倒掉。
“船撞桥型”——纯属意外
广东九江大桥被撞断的事故,经过权威部门鉴定,大桥的建设质量没有问题,完全是由于江船意外撞中桥墩所致,纯属意外。信息系统也难保不碰到意外。一杯打翻的水可能会毁掉一个机房,造成系统瘫痪。尽管意外在所难免,但是,由此造成的泛DoS攻击事件并不能成为安全管理员免责的借口。
泛DoS攻击事件发生的原因,有时是以上原因中的某一种造成的,但更多的时候是各种原因组合在一起造成的,由此给用户带来的危害更大,令安全管理员更难对付。
如何解决泛DoS攻击
一、控制毒患
治理DoS攻击事件的毒患,可以参照控制禽流感的方法。
●做好免疫工作。对付禽流感,兽医会给鸡鸭一一打疫苗。同样,我们可以参照着给PC机、服务器一一打好补丁,就可以抵御那些安全厂商们已知的计算机病毒。
●截断传播源。拉网拦截不明飞鸟是治理禽流感的一个不错的方法。在信息网络中,同样可以适用。用户可以在UTM、IPS、防毒墙、抗DoS攻击等产品中择而用之,以此拉网。
●实时监测、及时通报。卫生防疫部门对禽流感疫情的监控通报机制有助于掌控疫情、及时响应。据此,信息网络里可以部署上类似的产品——NIDS、HIDS、SOC(安全管理中心),也能起到同样的作用。
●查找源头,及时扑杀。卫生防疫部门在确诊了感染的病鸡、病鸭后,几公里内的家禽都要捕杀干净。同样道理,一旦网络中发现了导致DoS攻击的病毒或蠕虫后,也得及时找到源头,把它从网络中隔离出来,或者干脆断掉相关网段。
● 强化宣传教育。宣传不吃来历不明的死鸡死鸭是防止人感染禽流感的良方。同样,教育用户一旦发现网速慢了就要及时通报,不乱装不明软件也是杜绝病毒蠕虫的上上策。
二、控制攻击
DoS攻击事件往往是带有恶意企图的人或组织发起的。对此,除了使用以上治理毒患中的手段外,控制DoS攻击事件还应补充做好以下工作:
●加强对入侵行为学的研究。分析恶意入侵者的心理、思维、利益驱动等因素,研究现有法律对入侵者的惩戒作用。研究什么样的利益会促使他们铤而走险,确定哪些系统更容易被他们破坏,并加以重点防护。
● 加强审计产品的部署。使用包括IDS在内的行为审计产品,保存恶意攻击者的行为记录,以便尽快分析源头,斩断来袭流量,也便于事后取证,追究法律责任。在部署审计产品时,一定要注意监控范围要全,这样一可以防止漏掉证据信息,二可以便于我们综合不同的证据,进行关联分析。
三、加强系统自身的强壮性
“中暑型”的泛DoS攻击事件,问题主要出在系统本身。当下信息系统中,带病者、亚健康者很多,它们在应用层面、代码层面存在着各种各样的风险。其中,病重者,在还没有发生拒绝服务攻击或病毒蠕虫时,稍遇风吹雨打,就有跨掉的危险。
对于这类问题,关键要加强系统自身的强壮性。就像对于中暑的病人,与其事后用“十滴水”抢救,还不如事前喝足水,穿凉快一点。对于计算机,我们在关注应用系统功能的同时,还应该充分关注其安全性。在系统开发设计或者初始配置之时,就应为今后抗击DoS做好准备。如果在系统上线时,还没有把握确定系统能稳定运行,就不要仓促上线,什么时候改进好了,什么时候再正式运行。
四、用管理防范意外
“船撞桥型”意外事件令管理人员较难驾驭,因为它发生时的种种迹象往往不合常理,很难快速找出原因。
意外不能完全消除,只能尽量避免。如果江船不是违规驶入不该走的航道,广东九江大桥也不会被撞断。所以,处理这类问题,重在加强管理,让各项工作流程都严格按制度执行,就可以把很多意外情况扼杀在萌芽状态。
四管齐下,综合治理
上面具体研究了“禽流感”、“铊中毒”、“中暑”、“船撞桥”四类泛DoS攻击事件的解决方法,当它们在实际中联合登场时,我们则要通盘布局,把上述解决方法结合起来使用。这种结合,不是简单的累加,而是一体化地运用。
另外,我们应该注意的是,把泛DoS攻击事件的处理放在安全管理的大局中来考虑,要结合其他安全任务需求来统一规划,制定合理的安全预算,科学配置产品,有效应用技术,而不是重复建设。
了解DoS攻击
DoS攻击方法简单,容易达到目的,因而成为攻击者的惯用手段。攻击者通过故意攻击网络协议缺陷或直接使用一些手段,耗尽被攻击对象的资源(网络带宽、文件系统空间容量、开放的进程等),让目标计算机或网络无法提供用户所需的服务。
DoS的的起源在上世纪80年代。新千年来临时,DoS攻击发展到了极致。其中,2000年2月,Yahoo、CNN、eBay、Amazon等的网站遭到DDoS (Distributed Denial of Service,分布式拒绝服务)攻击以及2002年10月全球互联网域名解析服务器被DoS攻击都是载入安全史的重大事件。