如何防御針對基礎架構的攻擊（一）

 

　　互聯網的基礎架構，如BGP、DNS、SSL等，其設計目的都是保障通信的正常進行，但此基礎架構并非總是完全可信的。我們仍可以看到一些重大的問題需要解決。

 

　　Gartner的研究人員John Pescatore指出有四大主要的攻擊可以利用互聯網的基礎架構：DoS和DDoS、證書授權損害和欺詐、 域名服務攻擊、 4G LTE。Gartner的研究人員Orans指出，互聯網從整體上說是穩定的。但是如果你從其組成部分的層次上來看，就會發現存在一些不穩定和不可靠的問題。

 

　　下面就是Gartner的研究人員所發現的四大主要的基礎架構攻擊，以及對付這些攻擊的主要策略。

 

　　1、拒絕服務和分布式拒絕服務攻擊(即DoS和DDoS)

 

　　根據Arbor Networks的消息，這兩種攻擊絕對不會絕跡，而且至少有一半的ISP每月遭受一到十次的這種攻擊，而且用免費工具(如Low Orbit Ion Cannon(LOIC))這種廣受攻擊者歡迎的匿名DDoS武器，就可以更容易地發動攻擊。Orans說，黑客主義是一個問題：如果某人不喜歡你的企業，他就可以對你發動攻擊，且犯罪份子的攻擊也是一個問題。

 

　　Neustar的副總裁和高級技術專家Rodney Joffe在Gartner會議期間展示了一段視頻，展示了犯罪者的攻擊往往用于掩飾更為陰險的目標攻擊。犯罪者越來越擅長于隱藏其操作，他們隱藏得越好，安全人員就越難以過濾和防御這種攻擊。

 

　　Joffe說，這種攻擊的偽裝性越來越好，企業應當部署BCP 38(網絡入口過濾)，以應對源地址欺詐。在對付DDoS的過程中，這會帶來顯著的差異。

 

　　Gartner對遏止DDoS攻擊的建議：首先，評估喪失企業的Web給企業帶來的經濟影響，并提供在遭受攻擊后的事件響應計劃。Orans說，企業的計劃應當以業務的連續性和災難恢復策略為重點。

 

　　其次，考慮減輕DDoS攻擊的服務。最廉價的方法是一種“管道清潔”服務，其成本超過帶寬服務價格的10%到15%。ISP可以檢測并減輕DDoS攻擊，因而犯罪者就無法完全占有你的信息通道，Oran說，這是一個富有成本效益的好方法。

 

　　Orans說，一種更凈化型的版本是“凈化型”服務，即你在遭受攻擊時，你可以將通信發送給一個供應商。這些供應商可以充當一個中間人，并對通信進行“凈化”，取出DDoS通信，僅將善意通信發送給你。這種服務的每個站點的收費標準為10000美元，當然，你也可以根據帶寬來付費。另外一種服務是DDoS設備，它位于DMZ中，并可以檢測DDoS通信，進而改變其方向。

 

　　2、證書授權

 

　　數字證書遭到損害和攻擊的事實迫使許多專家尋求一種驗證網站或軟件的新方法。Pescatore說，真正的問題是這個注冊過程。數字證書只能如同其注冊過程一樣強健：密鑰的交換并不自動等同于認證。

 

　　SSL的發明者Taher Elgamal在Gartner的峰會上展示了一段視頻消息，他說，這純粹是一個過程問題而不是一個技術問題。在過去的幾年中，在證書授權遭到破壞后，就會出事，此時的用戶仍擁有證書授權，但他們并沒有占有其名字。此時，可信性已經無從談起。