对抗高级DDoS攻击

分布式拒绝服务(DDoS)攻击呈上升趋势，随着它们变得越来越复杂和激烈，打击它们变得越来越困难。随着国家标准与技术研究院(NIST)与国土安全部(DHS)科学技术(S&T)和产业界合作，研究和开发DDoS检测和缓解的新方法，测试和衡量DDoS/欺骗缓解技术的有效性和影响的技术，并制定此类技术的部署指南，这种情况在未来可能会发生变化。

快速增长的DDoS威胁最终表现为攻击带宽的数量级增加(从每秒几亿比特到每秒几千亿比特)和目标范围的扩大(从电子商务网站到金融机构，再到关键基础设施的组件)。

发起大规模DDoS攻击的方法也在发生变化，从大规模使用受感染的个人电脑，到使用功能强大、连接丰富的托管设施和/或使用移动应用程序。

反射、放大DDoS攻击

反射/放大攻击代表了一种有问题的特定形式的DDoS。

反射攻击依赖于受感染/控制的主机将其查询的源地址欺骗到功能强大的互联网服务器(例如，DNS服务器)的能力。通过将最终攻击目标的地址放在其查询的源地址中，反射攻击使用Internet自身基础设施的资源来攻击自身。当攻击者可以使用一个非常小的查询来生成一个大得多的响应，并将其转发给最终目标时，这些攻击就更加引人注目了。这种输入能量对响应大小的放大被称为“放大”，最近的事件记录了这种类型的攻击达到300+Gbps。

被攻击的服务器包括DNS服务器(估计有3000万台易被攻击)和NTP (Network Time Protocol)服务器(估计有100万台易被攻击)。虽然我们可以并且应该专注于改进这些服务器和应用协议的实现和配置，以避免它们在DDoS攻击中被利用，但这个问题的范围是巨大的，许多这些服务器都在设备和网络中没有得到积极维护。

十多年来，业界已经为ip级过滤技术开发了技术规范和部署指南，以阻止带有欺骗源地址的网络流量。这些技术的范围和适用性差别很大。有些技术主要关注Internet存根边界的入口过滤，通常具有Internet协议(IP)前缀过滤的粒度。这些技术通常被称为“BCP38”，这是该领域最初的互联网工程任务组(IETF)规范之一，但包括BCP38或其后续BCP84中未涵盖的一系列附加技术。

反欺骗技术的部署可以看作是配置、性能分析、最后监视和验证所部署技术的一个周期。

面向目标的工作

NIST的目标是与社区合作，记录和定量描述过滤欺骗IP流量流的各种方法的适用性、有效性和影响，然后制定共识建议和部署指南，以推动联邦网络环境和整个行业的采用。

NIST将调查源地址过滤技术的最新状况，并开发定量描述其适用性范围、有效性、部署考虑以及对网络性能和可靠性的潜在影响的方法。重点将放在确定不同的网络结构如何影响配置和性能。特别是，将分析边缘网络(例如银行、代理机构等)、小规模运输网络(大学、大型机构、区域交换点)和大规模运输网络(国家和全球ISP)的配置和性能差异。

NIST将开发部署场景和测试基础设施，以经验衡量当前过滤技术的可扩展性、性能和鲁棒性。边缘网络和小规模场景也将在当前最先进实现的测试台上进行测量。

NIST还将为无处不在的源地址过滤机制的部署制定全面的技术指导和战略路线图。本指南的设想范围将侧重于数据流量，并将涉及逐步部署和继续维护拟议机制的计划。

格雷戈里·黑尔是《工业安全与保安资源》(ISSSource.com)是一个新闻及资讯网站，内容涵盖制造业自动化领域的安全及保安事宜。本内容最初出现在ISSSource.com．Chris Vavra编辑，CFE Media制作编辑，控制工程，cvavra@cfemedia.com．

在线额外

请参阅下面链接的ISSSource关于IIoT的其他故事。

原创内容可在www.isssource.com．

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。