加密是安全體系中最基本的需求之一，有了加密技術(shù)，銀行才能提供網(wǎng)上銀行和資金轉(zhuǎn)賬服務(wù)，消費者才能使用信用卡或借記卡進行網(wǎng)上購物，它也是公眾與政府機構(gòu)或醫(yī)療服務(wù)提供商進行在線交互的安全保證。然而，毫不意外的是，加密服務(wù)是DDoS攻擊的主要目標。加密服務(wù)讓人們能夠訪問大量個人數(shù)據(jù)、保密數(shù)據(jù)和財務(wù)數(shù)據(jù)。身份竊賊和網(wǎng)絡(luò)罪犯一旦成功破解網(wǎng)絡(luò)服務(wù)加密，就能獲得大量可乘之機。

根據(jù)NETSCOUT Arbor的第13次年度全球基礎(chǔ)設(shè)施安全報告（WISR），近年來，以加密網(wǎng)絡(luò)服務(wù)為目標的攻擊變得越來越普遍。在企業(yè)、政府和教育（EGE）領(lǐng)域的受訪者中，53%檢測到以應(yīng)用層的加密服務(wù)為目標的攻擊，42%的受訪者表示受到以TLS/SSL（安全傳輸層/安全套接層）協(xié)議為目標的攻擊，這些協(xié)議控制著客戶端-服務(wù)器身份驗證和安全通信。在服務(wù)提供商中，檢測到以安全網(wǎng)絡(luò)服務(wù)（HTTPS）為攻擊目標的比例在過去一年顯著提高，從52%提高到了61%。

四種主要加密攻擊類型

以加密服務(wù)為目標的DDoS攻擊常常分為以下四類：

·以SSL/TLS協(xié)商（一般稱為“握手”）為目標的攻擊，此類攻擊決定了連接互聯(lián)網(wǎng)的雙方對其通信進行加密的方式。

·針對SSL服務(wù)端口的協(xié)議或連接攻擊，此類攻擊旨在利用SSL漏洞。

·以SSL/TLS服務(wù)端口為目標的容量耗盡攻擊，此類攻擊通過高流量洪泛耗盡端口容量。

·針對通過SSL/TLS運行的基礎(chǔ)服務(wù)的應(yīng)用層攻擊。

攻擊者在攻擊高價值加密目標時可謂不屈不撓。由于大部分加密應(yīng)用和服務(wù)的本質(zhì)決定了其重要性，一次成功的攻擊就能產(chǎn)生毀滅性的后果�？紤]到安全網(wǎng)絡(luò)服務(wù)攻擊的廣度、多樣性和逐步升級的趨勢，必須采取能夠檢測和緩解目前所有攻擊類型的多層防御措施。

以牙還牙：挫敗加密攻擊

為了給安全團隊制造更多麻煩，攻擊者經(jīng)常使用SSL/TLS加密本身隱藏其非法活動。大量互聯(lián)網(wǎng)流量在網(wǎng)絡(luò)中流動卻不會被檢測或發(fā)現(xiàn)，這讓惡意攻擊者能夠輕松隱藏在合法流量中，隨時準備對安全HTTPS服務(wù)發(fā)起攻擊。因此，安全體系的一個重要組件是能夠檢查經(jīng)過安全加密的流量，并驗證其真實性，而不會減緩、阻斷或危害合法流量。雖然成功抵御攻擊并不總是需要解密，但很明顯，人們越來越需要可擴展的數(shù)據(jù)包解密解決方案。

NETSCOUT Arbor第13次WISR得出的一個積極結(jié)論是，服務(wù)提供商和企業(yè)都認識到傳統(tǒng)的防火墻和入侵防護系統(tǒng)無法有效抵御復雜的DDoS攻擊，尤其是以加密服務(wù)為目標的加密攻擊。加密是一項必要的技術(shù)，但它無法依靠自身挫敗頑強且富有經(jīng)驗的攻擊者。作為緩解DDoS攻擊唯一有效的方法，安全網(wǎng)絡(luò)服務(wù)運營商和托管方越來越認識到特別設(shè)計的智能DDoS緩解系統(tǒng)（IDMS）的必要性。最佳做法是采用結(jié)合始終開啟的本地防御措施和云端緩解功能的分層方法，根據(jù)威脅的規(guī)模和性質(zhì)自動激活。

DDoS攻擊產(chǎn)生的最嚴重后果經(jīng)常是聲譽和品牌形象受損，對組織聲譽破壞最大的無疑是損壞安全服務(wù)，因為消費者已經(jīng)對這些服務(wù)建立了信任，而且每天都依賴這些服務(wù)，甚至不會有其他想法。組織需要在加密之外采取更多措施，確保最關(guān)鍵服務(wù)的完整性和可用性。

標簽： ddos ssl 安全 防火墻 服務(wù)器 互聯(lián)網(wǎng) 漏洞 通信 網(wǎng)絡(luò)

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。