《电子技术应用》
您所在的位置:首页 > 通信与网络 > 业界动态 > Arbor Networks发布第六期全球互联网基础设施安全年报

Arbor Networks发布第六期全球互联网基础设施安全年报

报告披露DDoS攻击规模自2005年来增长1000%,首次突破100 Gbps
2011-03-08
作者:Arbor Networks公司

  2010年可说是分布式拒绝服务(DDoS)攻击成为主要攻击类型的一年,而许多颇具影响的攻击都是针对流行的互联网服务和其它众所周知的攻击对象。2010年也是DDoS攻击在互联网上活动规模和频率激增的一年;DDoS攻击规模首次突破100 Gbps,应用层攻击同时也创下历史新高。面向综合通信网络运营商和下一代数据中心的网络安全和管理解决方案的顶级供应商Arbor Networks公司(Arbor Networks, Inc.)发布报告指出,服务提供商因此受到巨大的冲击;运行费用增加,营收减少,客户流失。
 
  Arbor Networks是全球服务提供商和网络运营商的可信赖的顾问和解决方案合作伙伴,凭着其与建立运营商长期的合作关系和卓著声誉,今年再次成功完成这一年度报告。该报告针对一线网络操作人员所遇到的各种来自全球僵尸网络(botnet)和DDoS攻击的挑战,给出了独到的见解。报告立足于提供统计数据和深入分析,可让网络运营商在其安全战略方面作出更加科学化的决策,以确保关键的互联网基础设施和其它基于IP的基础设施的可用性。
 
  哈佛大学Berkman互联网与社会研究中心的Ethan Zuckerman称:“Arbor Networks公司的研究对于任何想了解网络安全领域,以及其演进过程和影响的人来说都是完全不可缺少的。”
 
DDoS攻击已成为主流
 
  僵尸网络驱使的DDoS攻击很可能继续成为2011年和以后的一种成本低且影响力高的网络抵制形式。2010年发生的主要网络事件包括涉及中日领土争端,缅甸、斯里兰卡政治骚乱及‘维基解密’等事件的DDoS攻击。保护网络可用性的需求最终进入全球企业IT咨询公司的监管视线,而对DDoS的防范也因此将被全球列为CXO级的管理问题。
 
攻击范围继续扩大
 
  DDoS攻击范围包括易受DDoS攻击的网络基础设施、服务器、协议和服务的各个方面。随着在网络中引入新的设备、协议和服务,易受DDoS攻击的设施的范围将会扩大。这对网络运营商而言是一个巨大的挑战。由僵尸网络驱使的大规模的应用层DDoS攻击仍然是运营商面临的最主要问题。今年的报告还将披露针对基础设施本身的攻击,尤其是针对域名系统(DNS)、VoIP和IPv6的攻击。
 
  Arbor Networks公司首席解决方案专家Roland Dobbins称:“网络运营商正在面对由无处不在的僵尸网络所发起的全球性互联网暴动。这导致DDoS攻击的规模、频率和复杂度迅速加大。攻击向量不断增多,包括应用和服务,以及在移动设备上的蔓延,都大大增加了运营商面临的挑战。”
 
  应用层DDoS攻击的复杂度和其对运行的影响程度都在增加。2010年有多达77%的受访者报告检测到应用层攻击。这些攻击既针对其客户也针对其附属支持服务,如DNS和门户网站等。互联网数据中心(IDC) 和手机/固网的无线运营商都报告指出,应用层DDoS攻击能够导致大量服务中断,运营费用(OPEX)上升,客户流失和收益损失。
 
复杂度不断增加的攻击暴露IPS和防火墙的弱点
 
  为防范DDoS攻击,许多运营商部署了基于状态检测的防火墙(stateful firewall)和入侵防御系统(IPS)设备来保护数据中心基础设施。但实际上,这些设备会使得网络更容易遭受攻击,因为即便是对目前升级最灵活的设备上的状态表,一个中等规模的DDoS攻击就可让其瘫痪。有近49%的IDC受访者报告了DDoS攻击导致的防火墙和IPS瘫痪事件。
 
移动网络缺乏准备为新攻击提供了机会
 
  就网络的可见性和控制,以及保护自身和客户免受攻击的整体能力而言,发展最迅速的手机和固网的无线网络运营服务可能是互联网服务提供商(ISP)中缺乏充分准备的一环。有近60%的受访者表示对其无线分组核心的流量缺乏可见性或受限。而仅有23%的受访者表示其无线分组核心具有可见性,与其有线网络的可视性相当或更好。值得注意的是,就安全而言,许多手机和固网的无线网络运营商可能仅具备与8到10年前有线运营商之状况相近的保护能力。
 
  运营商在转变为IPv6运营商的同时,也正在努力维持其安全状况。一些运营商就对IPv6网络流量的可见性缺乏,以及无法象控制IPv4流量一样地控制IPv6网络流量存在担忧。部署IPv6到IPv4的网关和网络地址转换(NAT) 时所带来的额外网络状态和DDoS向量,对网络可用性也是一个严重的威胁。
 
DNS成为首要攻击目标
 
  DNS攻击已成为DDoS最容易攻击方式之一。它能够通过拒绝互联网用户解析服务器/资源记录,导致一台服务器,一项服务或一个应用程序离线。此外,大量错误配置的DNS开放式递归运算,加上许多网络缺乏反欺骗部署,就会让攻击者发起导致DNS瘫痪的反射/放大性攻击。
 

本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306118;邮箱:aet@chinaaet.com。