如何防御针对基础架构的攻击（一）

在当今高度数字化的世界中，企业与个人越来越依赖互联网基础架构，如边界网关协议（BGP）、域名系统（DNS）和安全套接层（SSL）等，来确保通信的安全性与可靠性。然而，这些设计用以保护和促进信息交流的基础设施并非坚不可摧，它们经常成为黑客攻击的目标。Gartner的安全和风险管理峰会指出，基础架构攻击是现代企业面临的主要风险之一，本文将深入探讨四种常见的基础架构攻击及其防御策略。 1. DoS和DDoS攻击（拒绝服务和分布式拒绝服务攻击） DoS攻击通过发送大量请求至目标服务器，耗尽其资源，导致合法用户无法访问服务。而DDoS攻击则是DoS攻击的一种扩展形式，攻击者利用多台被控制的计算机（即僵尸网络）同时发起攻击。Arbor Networks的研究表明，这类攻击在互联网上十分常见，而且攻击手段变得越来越容易获得和使用，例如使用LOIC这样的免费工具。 企业可以采取多种措施来应对DDoS攻击： - 部署BCP38网络入口过滤策略来减少源地址欺诈的发生。 - 进行业务影响评估，并制定详尽的事件响应计划。 - 考虑使用ISP提供的“管道清洁”服务，这类服务能够检测并减轻DDoS攻击。 - 使用更高级的“净化型”服务，允许企业在遭受攻击时将流量发送至第三方供应商，由供应商过滤恶意流量后再传回企业。 - 部署位于DMZ的DDoS防护设备，它能检测DDoS攻击并改变流量方向。 2. 证书授权损害和欺诈 数字证书是网络安全中非常重要的一个环节，它们用于验证网站和软件的真实性。然而，当证书授权过程被破坏时，即便用户拥有证书，也无法保证其访问的是真正的目标。Gartner的研究人员和SSL的发明者Taher Elgamal都指出，证书授权过程中的问题，实际上是过程管理问题，而非单纯的技术问题。 为应对证书授权损害和欺诈，企业可采取以下措施： - 加强证书的注册和管理过程，以确保它们在发布前能够进行严格的审查和验证。 - 采用新的验证方法，例如使用新的安全标准和协议，以减少对旧有证书体系的依赖。 - 提高证书颁发机构（CA）的安全水平，确保其在面临攻击时的防御能力。 3. 域名服务攻击 域名服务攻击会破坏或篡改DNS记录，导致用户被引导到恶意网站或内容。这类攻击通常不易被发现，因为它们涉及对DNS服务器的底层改动。攻击者可能通过社会工程学、钓鱼邮件等手段获取DNS的管理权限，或者直接对DNS服务器进行物理或网络攻击。 为了防御域名服务攻击，企业可以采取以下措施： - 定期审查DNS记录并对比历史记录，以检测异常变化。 - 在网络上实施强大的访问控制，限制对DNS配置的访问，使用双因素认证等手段加强安全性。 - 使用DNSSEC（域名系统安全扩展）来加密和验证DNS信息，以防止信息被篡改。 4. 4GLTE攻击 虽然4GLTE网络的普及在很大程度上改进了移动网络的性能，但同时也带来新的安全挑战。4GLTE网络可能遭受网络干扰、欺骗和盗窃等多种攻击。攻击者可能会利用网络中存在的漏洞或弱点来攻击4GLTE网络。 防御4GLTE攻击的策略包括： - 定期更新和打补丁，以修复已知的安全漏洞。 - 实施网络监控和入侵检测系统，以便及时发现并响应可疑活动。 - 对网络设备进行安全配置，关闭不必要的服务和端口，降低潜在攻击面。 面对基础架构攻击，企业需要采取积极主动的安全策略，并根据最新的安全研究和建议不断更新自身的防御体系。安全是一个持续的过程，需要不断地评估风险、实施措施和监测效果，以应对不断演变的网络安全威胁。