防范物联网DDoS军团

纽约时报命名的“网络世界的私家侦探”，著名业内博客“克雷布斯论安全(Krebs on Security)”的博主Brian Krebs最近成为了一场规模空前DDoS袭击事件的主要攻击目标。由于Krebs的网站流量每秒激增700Gbit，博客被迫下线。

 

抵御物联网DDoS军团

 

　　一般来说，大多数DDoS攻击不会超过每秒200Gbit。在整个2015年期间，如此大规模的攻击事件只发生过16次。

 

　　不过真正让这次攻击不同寻常的并不是它的规模，而是大部分的恶意流量来源，即用于发起攻击的僵尸网络包含大量联网设备，例如监控摄像头和智能电视。

 

　　尽管利用破解智能物联网设备进行网络攻击在行业中已经屡见不鲜，但此类设备从未参与过如此大规模的DDoS攻击。难怪这次攻击被不少行业学者看做是未来大规模企业级攻击的预演。

 

　　事实上，许多被用于攻击的联网设备都极易受到侵害，因为它们大部分的用户从未更改过设备的出厂设置密码。但是，与侵入手机和网络相比，网络犯罪分子为何对侵入相机或者智能电视格外“情有独钟”呢?因为即使平常在其他方面谨慎管理密码的用户也不会认为他们的联网设备会出现类似的安全风险。

 

　　另外，物联网设备也倍受网络犯罪分子的“青睐”。正如上文，虽然它们专门被设计用于远程控制互联网，但运行它们的软件却可能从未被更新，也总是被人们抛之脑后。同时，它们也及其可能被保护不当的WiFi路由器连接，特别是在家庭的网络环境中。

 

　　商业网络中的设备也存在同样的问题，例如联网打印机、闭路电视摄像头、空调系统控制器等。各企业机构必须牢记，任何连接设备都是整体网络架构和信息安全态势的一部分，即使它们看起来不像黑客的目标。当然，在全球范围内随着越来越多的互联设备被罪犯所利用，企业必须确保DDoS缓解措施是其网络安全战略的核心部分。

 

　　那么，企业该如何降低强大攻势下的DDoS所带来的影响?又要如何防止自己的网络资产被无意卷入僵尸网络中，在别处发起DDoS攻击?以下三个关键行动需要您重点考虑：

 

　　1. 确保您的设备难以攻克

 

　　每个联网设备的初始默认密码都应被更改，并接入安全的WiFi网络。这些步骤虽然看似简单，对黑客的设备瞄准和操控却有重大影响。

 

　　2. 减少企业的攻击面

 

　　尽管智能设备被用于大规模DDoS攻击的情况并不多见，各企业却完全可以进行自我防范。一旦其设备或网络受到危害并用于恶意目的，攻击来源的IP地址将可以被识别并列入黑名单。此外，针对某些特定威胁的智能网关，例如Ixia的ThreatARMOR解决方案，能够过滤所有已知不良IP地址流量，甚至阻止它们接触企业网络。这将极大减少周边保护工具和网络自身的工作负载。同时ThreatARMOR会利用市面已经出现的不良IP地址持续更新它的黑名单数据库，将企业的遭受攻击的风险降至最低。

 

　　3. 避免您的联网设备与已知不良IP地址相互通信

 

　　被过滤、拦截的IP地址还可用于阻止您网络中可能已遭入侵设备与黑客的指挥与控制中心通讯，防止您的设备被用作其他DDoS攻击的帮凶，同时遏制潜在的数据泄露。这种技术还可防止其他形式的网络攻击，例如从恶意控制计算机下载有效负载的勒索软件等等。

 

　　随着互联网连接设备的激增促使DDoS攻击愈演愈烈，现在是时候考虑如何针对这些极具破坏力的网络攻击部署先进的防御措施了。