暗网潜航——DDoS(四):攻守相赴(三)
庞博文
2021-01-04 04:17 HKT
字体大小
即使做足防御工事,亦会有机会受到攻击。面对分散式阻段服务攻击(DDoS),我们有「主动式防御」或「消极式防御」两种方法应对。主动式防御令攻击方失去攻击意欲,不会选择你的系统作为他们的攻击目标。
不过DDoS攻击手法多样化,攻击者每一分钟都会扫描各个系统,寻找漏洞及弱点。每一次出现新漏洞,不管是正式被发布,还是在暗网上流传的零日漏洞,网络上很快就会出现扫描器,并且不停扫描,寻找有哪些漏洞可作攻击。
所有系统都有机会成为潜在攻击目标,那么如何令攻击方失去攻击意欲呢?大家要明白,攻击者或罪犯都有舍难取易的习性,只要能够达到目的,谁的系统漏洞较多较严重,更容易被打倒,谁就会成为目标;比较「难哽」的系统,就不容易被列为目标。
主动式防御就是将系统变得「难哽」,包括计算正确的频宽、硬件和软件负载管理;网络和软件恒常进行漏洞扫描;配置合理正确的软硬件安全保障设备;清晰并保持更新的网络硬件拓扑图、数据资料流向图及软硬件版本纪录;良好而且可追查的更新控制管理和配置管理数据库;配置正确的安全监控系统、设计良好的安全编码等,牢牢操控整个系统所有软硬件状态,合理把它们更新,安置于防御当中,令攻击者对你失去兴趣。
然而把所有讯息安全管理事项都做一遍,而且要做对实在相当麻烦。在我多年职业生涯里面,做足做对做好的客户并不多,仅要求数据资料流向图和配置管理数据库这两个做得好的,也属凤毛麟角。主动式防御麻烦困难兼花时间,所以目前大部份系统都采用消极式防御,下周我们一起探讨它的利弊。
TOZ联合创办人
庞博文
不过DDoS攻击手法多样化,攻击者每一分钟都会扫描各个系统,寻找漏洞及弱点。每一次出现新漏洞,不管是正式被发布,还是在暗网上流传的零日漏洞,网络上很快就会出现扫描器,并且不停扫描,寻找有哪些漏洞可作攻击。
所有系统都有机会成为潜在攻击目标,那么如何令攻击方失去攻击意欲呢?大家要明白,攻击者或罪犯都有舍难取易的习性,只要能够达到目的,谁的系统漏洞较多较严重,更容易被打倒,谁就会成为目标;比较「难哽」的系统,就不容易被列为目标。
主动式防御就是将系统变得「难哽」,包括计算正确的频宽、硬件和软件负载管理;网络和软件恒常进行漏洞扫描;配置合理正确的软硬件安全保障设备;清晰并保持更新的网络硬件拓扑图、数据资料流向图及软硬件版本纪录;良好而且可追查的更新控制管理和配置管理数据库;配置正确的安全监控系统、设计良好的安全编码等,牢牢操控整个系统所有软硬件状态,合理把它们更新,安置于防御当中,令攻击者对你失去兴趣。
然而把所有讯息安全管理事项都做一遍,而且要做对实在相当麻烦。在我多年职业生涯里面,做足做对做好的客户并不多,仅要求数据资料流向图和配置管理数据库这两个做得好的,也属凤毛麟角。主动式防御麻烦困难兼花时间,所以目前大部份系统都采用消极式防御,下周我们一起探讨它的利弊。
TOZ联合创办人
庞博文
更多文章