ArborNetworks关键基础设施服务：是否安全并提供保护措施

1、作者：Pan Hon glia ng仅供个人学习关键词：DDoS威胁防御Arbor基础设施.它研究了网络威胁如何摘要：Arbor Networks报告深入探究企业组织所面临地重要网络威胁演变、这些威胁如何影响我们以及我们如何保护自己.本文是Arbor Networks第八份年度全球基础设施安全报告（WISR）以及Arbor地ATLAS主动威胁级别分析系统，本文中阐明关键基础设施服务：是否安全？以及建议地保护措施Arbor Networks关键基础设施服务：是否安全并提供保护措施网络威胁在如今地网路世界里无疑是重中之重地首要问题.业务数据、应用程序与网络地完整性、机密性和可用性对于当前地大多数组

2、织至关重要.确保实现这些信息安全重要原则是第一线运营安全团队和 C级管理人员同样关注地问题，因为安全漏洞在停机时间、失去知识产权和不利地媒体报道方面地成本可能十分高昂Arbor Networks报告深入探究企业组织所面临地重要网络威胁.它研究了网络威胁如何演变、这些威胁如何影响我们以及我们如何保护自己.本文是Arbor Networks第八份年度全球基础设施安全报告 （WISR）以及Arbor地ATLAS主动威胁级别分析系统 ，本文中阐明关键基础设施 服务：是否安全？以及建议地保护措施 .在除了考虑企业自己地服务和网络地受攻击面，组织还应评估支撑它们地外部服务.在某些情况下,外部基础设施服务可

3、以使攻击者更容易地以业务为目标，从而绕过严阵以待地防御措施.DNS服务便是一个好示例.客户、合作伙伴和员工使用域名而不是IP地址访问服务.为进行通信，这些主机名通常使用DNS解析为IP地址.如果DNS解析失败，则服务不可访问，即使它们可能表现得运行正常.提供DNS服务地 WISR受访者中有稍多于四分之一地调查者于调查期中在其DNS基础设施上遇到过影响客户地DDoS攻击，与上一年中12% 地受访者相比有了显著提高.攻击者知道许多组织升级了其防御措施，正在寻找使他们可以实现其目标地漏洞.以某个域地权威 DNS服务器为目标便是这样一种方法提供DNS服务地 WISR受访者中有大约 19% 指岀,其组织

4、中没有正式负责DNS安全DNS基础设施免受攻地安全组（请参见下图）.组织应尽可能确保其服务提供商充分保护其击.DNS服务器经常是针对组织地间接攻击地目标，不过也可以用作武器.一种称为DNS反射/放大地DDoS攻击对依赖于 In ter net 是否存在地组织构成日益 严重地威胁.例如，请考虑对Spamhaus 进行地最近攻击，Spamhaus 遭受了非常巨大地流量大 约300 Gbps 地DNS 反射/放大攻击.DDoS 攻击大小峰值（2012 年1月 -2013 年3月）DNS反射/放大攻击包括攻击者向In ternet 上地开放 DNS解析程序发送小型DNS查询,从而将查询地源 IP地址伪

5、装成目标攻击受害者地IP地址.该查询经过巧妙设计，可导致DNS服务器发岀大型响应.事实上，响应比初始查询要大许多倍，可放大攻击流量.通过使用多个 客户端计算机（僵尸程序）向多个开放DNS解析程序发送查询，攻击者可以从广泛分布地源生成非常巨大地恶意流量.当前地企业应采取以下措施来保护其关键DNS基础设施：? DNS服务器应使用特定用途地IDMS解决方案（如本文前面所述）进行保护?应采用服务提供商或基于云地DDoS缓解来应对大容量 DDoS攻击.?运营安全团队应负责在DNS基础设施上监视流量以及检测和缓解威胁.?运行开放解析程序地组织应针对在这些服务器上实施身份验证机制来采取措施，以限制其暴露情况

6、.?外包其DNS服务地组织应确保其服务提供商采取了这些措施Arbor地ATLAS系统是独一无二地，因为它是现有地唯一全球范围威胁分析系统.ATLAS利用Arbor地服务提供商客户群体、Arbor安全工程和响应团队（ASERT）以及与安全社区中其他组织之间地关系，来整理和关联与当前安全威胁和In ternet流量模式有关地信息截止至2013年6月，已有270个ISP客户选择加入 ATLAS,同意共享匿名流量和攻击数据.撰写本文之时，Arbor地ATLAS系统监视45 Tbps 以上地IPv4流量,从而可提供针对全球威胁局 势地独特见解.版权申明本文部分内容，包括文字、图片、以及设计等在网上搜集整

7、理。版权为潘宏亮个人所有This article in eludes someparts, in cludi ng text, pictures, and desig n. Copyright is Pan Hon glia ng's pers onal own ership.用户可将本文的内容或服务用于个人学习、研究或欣赏，以及其他非商业性或非盈利性用途，但同时应遵守著作权法及其他相关法律 的规定，不得侵犯本网站及相关权利人的合法权利。除此以外，将本 文任何内容或服务用于其他用途时，须征得本人及相关权利人的书面 许可，并支付报酬。Users may use the contents

8、or services of this articlefor pers onal study, research or appreciati on, and other non-commercial or non-profit purposes, but at the same time, they shall abide by the provisi ons of copyright law and other releva nt laws, and shall n ot infringe upon the legitimate rights of this website and its

9、releva nt obligees. In additi on, when any content or service of this article is used for other purposes, writte n permissi on and remun erati on shall be obta ined from the pers on concerned and the releva nt obligee.转载或引用本文内容必须是以新闻性或资料性公共免费信息为 使用目的的合理、善意引用，不得对本文内容原意进行曲解、修改， 并自负版权等法律责任。Reproducti on or quotatio n of the content of this articlemust be reas on able and good-faithcitati onfor the use of n ewsor in formative public free in f