当前位置:错新网文章中心服务器安全维护 → 史上最大DDoS攻击的本质与防范

史上最大DDoS攻击的本质与防范

减小字体 增大字体 作者:admin  来源:本站整理  发布时间:2013-4-30 11:32:14
近两年来发展态势也渐趋平缓,直至一个月前,欧洲反垃圾邮件组织Spamhaus突然遭受到高达300Gbps的大流量DDos攻击。这一轮被认为是史上最大的DDos攻击,让人们警醒,原来DDos攻击手段从未被攻击者忽略。

  DDos攻击在今天看来并不新鲜,近两年来发展态势也渐趋平缓,直至一个月前,欧洲反垃圾邮件组织Spamhaus突然遭受到高达300Gbps的大流量DDos攻击。这一轮被认为是史上最大的DDos攻击,让人们警醒,原来DDos攻击手段从未被攻击者忽略。



这次超大流量DDos攻击的本质是什么?为什么会在今天出现?对此类攻击又该如何防范? 在防DDos攻击领域耕耘多年的安全公司Arbor近日对相关问题给出了答案。

  问:迄今为止,这是最大的DDoS攻击吗?

  答:是的,而且规模比以前大得多。之前报告的(和验证的)最大攻击约为100Gb/秒。

  问:这是一种新型的DDoS攻击吗?

  答:不是的。此次攻击属于DNS反射/放大攻击,而DNS反射/放大攻击已存在多年了。这种类型的攻击已被发现用来产生近年来互联网上看到的多个最大攻击。DNS 反射/放大攻击利用互联网上的DNS 基础结构来放大攻击能够产生的通信量。DNS 是用于主机名到IP 地址解析的互联网基础设施的重要组成部分。DNS 反射/放大攻击通过使用多个客户端肉机(bots僵尸肉机) 将查询发送到多个开放DNS 解析器中,从而使大量的攻击流量从广泛分布源中产生(在Spamhaus袭击期间,使用了超过30K开放解析器)。

  问:DNS反射/放大攻击是如何产生的?

  答:两件事使这些类型的攻击成为可能:服务提供商网络缺乏入口过滤(允许流量从虚假源地址转发);因特网上开放 DNS 解析器的数目(可从任何 IP 地址进行查询响应)。

  攻击者必须能够假冒目标受害人DNS 查询的源地址。所有组织应在他们网络的所有边界实施 BCP38/84 反欺骗。不幸的是,在今年的Arbor全球网络基础设施安全报告(包含2012年) 中,仅 56.9%的调查对象表示他们目前正在他们的网络边缘执行 BGP 38/84。

  这种攻击的第二个关键组成部分是因特网上大量可用的开放DNS 解析器。目前在互联网上预计约有 2700 万开放DNS 解析器。

  问:DNSSec(域名系统安全拓展)可帮助处理这些攻击吗?

  答:不,DNSSec 旨在确保DNS 查询答复的真实并且不被篡改。完全无助于DNS反射/放大攻击,相比没有DNSSec的情况,具有DNSSec的任何类型查询都会生成更显著的大量回复数据包,实施DNSSec 实际上意味着更易将攻击放大。

  问:互联网基础设施几乎已经到了最大的100Gbps。如果是这样的话,Spamhaus是如何看到300 Gbps

[1] [2]  下一页


本文引用网址:

在下列搜索引擎中搜索“史上最大DDoS攻击的本质与防范”的相关信息:

谷歌搜索 百度搜索 360搜索 雅虎搜索 搜狗搜索 搜搜搜索 必应搜索 有道搜索
你可能还喜欢以下文章
  • 1如何做爱真人示范图片 男女ML常...
  • 2雨后小故事 qq表情姐弟雨后小故...
  • 3如何做爱更舒服?教你做爱72式...
  • 4情侣酒店开房qvod 情侣做爱视频...
  • 5怎么做爱舒服?真人示范做爱姿...
  • 1dedecms如何更换fck编辑器
  • 2帝国CMS修改了栏目的"内容模板...
  • 3DEDE:显示文章上级栏目的名称和...
  • 4DeDe CMS增加父栏目调用可多级...
  • 5PHPWIND论坛无法登陆,后台无法...
  • 1合肥艳照门事件 合肥艳照门全套...
  • 2中国女大学生的淫靡生活
  • 3武汉十七中教室门种子 教室门q...
  • 4嫩白少妇与猛男户外疯狂车震遭...
  • 5性感MM裸体私房照 大秀美腿傲人...
  • 1解决configure: error: OpenSS...
  • 2用rewrite实现APACHE绑定多域名...
  • 3黑客是如何组织一次DDoS攻击的...
  • 4微软公司临时改变初衷 宣布本月...
  • 5中国税务网络安全体系重整 防护...
  • 赞助商广告

    图片文章导读

    相关文章阅览