根据Arbor Networks的最新调查,目前而言,分布式拒绝服务攻击仍然是对众多ISP的首要安全威胁。
然而事实上,从六年前出现分布式拒绝服务攻击以来,大多数接受调查的公司都针对这种攻击做了大量的防御工作,重视程度比其他任何安全威胁都高,包括蠕虫病毒和其他基于僵尸网络(bo.net)的病毒攻击。
除了大多都由僵尸网络发起的分布式拒绝服务攻击之外,遇到的其它类型的威胁分别是僵尸网络的其他恶意攻击,包括网络钓鱼攻击、垃圾邮件、身份盗窃等。
根据调查结果,Arbor 公司总结了僵尸网络的以下趋势:
1.傀儡牧人(botherder)已经很难渗透命令和控制管道对僵尸主机进行更好的监控。
2.老的僵尸主机不断变化,导致新的僵尸主机和僵尸网络不断涌现。
3.僵尸主机隐藏更深,组织更加完善,因此很难发现和移除。
4.僵尸网络的结构更加灵活,能力更加强大,而且更善于伪装,以此来避开各种检测和分析。
“目前僵尸主机不太容易被检测出来,其原因是它们不再用于明显的恶意攻击。” Arbor Networks的网络结构主管Craig.Labovitz评论说,:“僵尸网络不再是简单地将大量显而易见的恶意攻击数据投入网络中,现在它们的活动就好像是在ISP雷达的盲区中飞行一样。这大大增加了侦查僵尸网络或者减少其影响的工作难度。”
同时,Arbor Networks的调查还显示了其他一些方面的信息:
1.网络攻击的猛烈程度呈上升趋势。
众多ISP的反馈表明,来自骨干网络上的数十亿比特量级的DDoS攻击在攻击频率和攻击强度上都有持续增长。造成这样后果的原因一方面是全球范围内宽带接入internet数量的增长,另一方面是因为网络的集中趋势。
2.“僵尸规则”。
尽管防火墙、操作系统和互联网供应商都尽了最大努力,仍然无法阻止数以百万计的终端系统可以进行分布式拒绝服务攻击或其他攻击行为。
3.ISP们已经采取了一定的措施来防范恶意的攻击。由于缺乏先进的基础设施和手段,大部分网络服务提供商主要通过截断所有通向僵尸主机的通路来降低非法攻击的危害。通过这种方法,网络服务提供商成功地保护了自己的骨干网络不受到分布式拒绝服务的攻击。但是这种方法造成的影响可能比真正收到拒绝服务攻击还要恶劣。
4.除了平均每个月40起个人受到攻击的报告,多数报告到执法部门的攻击都是针对ISP的。
由于经济持续低迷,出现了越来越多的以僵尸网络作为职业进行创收的人。僵尸网络已经作为一种产业而持续发展。
5.ISP需要有资金的来源。
网络经营者开始重新关心并且重视回归的投资,但是一旦其基础设施的安全受到、特别是受到僵尸网络威胁的时候,ISP会处于非常困难的境地。一些ISP认为,实际上他们站到一个能够抵御恶意攻击损害的位置上来保护自己。同时他们也认为这是非常困难的事,除非能够争取到新的投资。
由于新兴的网络安全威胁,研究将问题集中在基础设施安全受到的威胁上面,包括DNS攻击和VOIP攻击等。
调查显示,半数ISP都部署了一定的机制来检测DNS和VOIP带来的威胁。尽管仍然有许多机构仍在规划部署VOIP服务的阶段,但是很少有针对VOIP基础设施攻击的报道。ISP对于出现新的安全威胁越来越保持着时刻的警惕。
“好消息是,今天的ISP们在继续部署和完善他们的抵御攻击系统,”Arbor Networks的首席研究员Danny McPherson说:“随着新的安全威胁不断涌现同时其他类似于僵尸网络的攻击手段不断成熟,我们希望年度研究报告中的这些研究结果有助于指导ISP们进行决策,如何来保护它们重要的基础设施。”