使防火墻容易受到DDoS攻擊的這些實(shí)施缺陷是什么？

組織通常傾向于嚴(yán)重且完全依賴(lài)防火墻、負(fù)載平衡器和 VPN 等，以防止 DDoS 攻擊、保護(hù)其任務(wù)關(guān)鍵型資產(chǎn)并保護(hù)其 IT 基礎(chǔ)設(shè)施。但是攻擊變得更加致命和嚴(yán)重；攻擊者已經(jīng)對(duì)其攻擊方法進(jìn)行了現(xiàn)代化改造，并利用一流的技術(shù)來(lái)協(xié)調(diào)分布式拒絕服務(wù)攻擊。眾所周知，防火墻存在漏洞，尤其是那些由實(shí)施失敗引起的漏洞，這使得它們無(wú)法有效地保護(hù)應(yīng)用程序并使它們成為威脅參與者的 DDoS 目標(biāo)。

那么，使防火墻容易受到DDoS 攻擊的這些實(shí)施缺陷是什么？組織可以做些什么來(lái)加強(qiáng)他們的安全態(tài)勢(shì)并有效地防止這些攻擊？請(qǐng)仔細(xì)閱讀，找出答案。

什么是防火墻？

防火墻是一種基于硬件或軟件的系統(tǒng)，可保護(hù)專(zhuān)用網(wǎng)絡(luò)的資產(chǎn)免受來(lái)自外部網(wǎng)絡(luò)的用戶(hù)未經(jīng)授權(quán)的訪問(wèn)。它們被放置在網(wǎng)絡(luò)網(wǎng)關(guān)或外圍，檢查所有傳入和傳出的數(shù)據(jù)包，并過(guò)濾掉那些不符合安全策略的數(shù)據(jù)包。它們?nèi)狈`活性、可擴(kuò)展性、敏捷性和透明度。它們只能保護(hù)局域網(wǎng)免受未經(jīng)授權(quán)的訪問(wèn)，并且對(duì)高級(jí)威脅無(wú)效。

另一方面，下一代WAF位于用戶(hù)和 Web 應(yīng)用程序之間，用于審查、監(jiān)控和過(guò)濾對(duì)服務(wù)器的所有請(qǐng)求。這在云計(jì)算和物聯(lián)網(wǎng)時(shí)代特別有用，因?yàn)榫W(wǎng)絡(luò)沒(méi)有固定、嚴(yán)格的邊界。WAF 分析所有 HTTP 通信以決定是否允許、阻止、標(biāo)記或挑戰(zhàn)每個(gè)請(qǐng)求。惡意請(qǐng)求在到達(dá)服務(wù)器之前被過(guò)濾掉，并且應(yīng)用程序保持受保護(hù)和可用。

下一代 WAF 還利用最新技術(shù)，包括自學(xué)習(xí) AI 系統(tǒng)和分析，并為方程式注入更高的準(zhǔn)確性、靈活性、敏捷性和透明度。因此，WAF 能夠更好地阻止零日威脅、應(yīng)用層 DDoS 攻擊和各種現(xiàn)代高級(jí)威脅。

糟糕的防火墻實(shí)施如何為 DDoS 鋪平道路？

1. 防火墻中TCP實(shí)現(xiàn)的弱點(diǎn)

攻擊者利用防火墻中 TCP 協(xié)議的不良實(shí)施來(lái)協(xié)調(diào)反射放大 DDoS 攻擊。傳統(tǒng)上，放大攻擊使用 UDP 協(xié)議的無(wú)連接特性來(lái)用大量欺騙性請(qǐng)求/數(shù)據(jù)包淹沒(méi)目標(biāo)服務(wù)器（通常是打開(kāi)的、配置錯(cuò)誤的服務(wù)器），從而使服務(wù)器無(wú)法訪問(wèn)。他們使用 UDP 協(xié)議主要是因?yàn)?TCP 協(xié)議在基于 IP 的網(wǎng)絡(luò)上建立 TCP/IP 連接所需的三次握手所帶來(lái)的挑戰(zhàn)和復(fù)雜性。

然而，許多防火墻并不總是符合這些 TCP 標(biāo)準(zhǔn)，并且容易出現(xiàn)糟糕的實(shí)現(xiàn)，從而為反射放大攻擊鋪平了道路。一種糟糕的 TCP 實(shí)現(xiàn)是建立會(huì)話的方式。通常，目的主機(jī)向 TCP 主機(jī)發(fā)送一個(gè) SYN 請(qǐng)求，TCP 主機(jī)以 SYN/ACK 響應(yīng)并等待來(lái)自客戶(hù)端的 ACK 響應(yīng)。威脅參與者用會(huì)話請(qǐng)求淹沒(méi) TCP 主機(jī)，但不返回 ACK 響應(yīng)。這會(huì)導(dǎo)致所謂的SYN 洪水。隨著大量不完整的會(huì)話打開(kāi)，主機(jī)的緩沖區(qū)被填滿，它無(wú)法接受來(lái)自合法用戶(hù)的新會(huì)話請(qǐng)求，從而導(dǎo)致拒絕服務(wù)。

2. 僅使用狀態(tài)檢查

傳統(tǒng)防火墻使用狀態(tài)數(shù)據(jù)包檢查來(lái)檢查網(wǎng)絡(luò)流量，了解傳入流量的風(fēng)險(xiǎn)，并決定是否允許資源請(qǐng)求。雖然檢查數(shù)據(jù)包中的所有內(nèi)容并識(shí)別風(fēng)險(xiǎn)，但有狀態(tài)解決方案不會(huì)根據(jù)預(yù)定義的規(guī)則查看其他重要參數(shù)，例如源、目標(biāo)等。

因此，即使沒(méi)有有效的 TCP 握手，惡意行為者也可以欺騙防火墻響應(yīng)欺騙性審查請(qǐng)求并返回大塊頁(yè)面。它們也無(wú)法提供對(duì) DDoS 流量的完全可見(jiàn)性，并且無(wú)法與其他基于云的解決方案進(jìn)行良好的集成和通信以阻止攻擊。

3. 所有流量都通過(guò)防火墻路由

如果所有流量都通過(guò)它，防火墻本身可能會(huì)被協(xié)議和容量攻擊耗盡。大多數(shù)現(xiàn)代DDoS 服務(wù)通過(guò)內(nèi)容交付網(wǎng)絡(luò) (CDN) 支持防火墻。鑒于其全球邊緣服務(wù)器網(wǎng)絡(luò)，CDN 能夠無(wú)縫地處理迅猛的流量激增，而無(wú)需處理大量請(qǐng)求使源服務(wù)器或防火墻不堪重負(fù)。只有對(duì)未緩存內(nèi)容的請(qǐng)求才會(huì)通過(guò)防火墻路由到源服務(wù)器。

4. 控件激活不當(dāng)

當(dāng)組織未激活安全控制或操作不當(dāng)時(shí)，它們往往會(huì)侵蝕防火墻安全性并使應(yīng)用程序容易受到 DDoS 攻擊。例如，不打開(kāi)安全解決方案中的反欺騙控制將使應(yīng)用程序面臨各種威脅，包括 DDoS、惡意軟件等。

其他防火墻實(shí)施失敗

缺少/不正確的防火墻策略 過(guò)時(shí)的防火墻軟件 使用與技術(shù)堆棧不兼容的防火墻安全解決方案 防火墻上可用的不必要的端口、功能和服務(wù)

結(jié)論

為確保您的應(yīng)用程序始終可用，您必須選擇像AppTrana這樣的下一代托管 WAF 解決方案，該解決方案易于部署并針對(duì) DDoS 和大量威脅提供強(qiáng)大的安全性。

網(wǎng)站標(biāo)題：使防火墻容易受到DDoS攻擊的這些實(shí)施缺陷是什么？
鏈接分享：http://www.bm7419.com/news30/316030.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站制作、網(wǎng)站排名、商城網(wǎng)站、網(wǎng)站策劃、網(wǎng)站設(shè)計(jì)公司、定制網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)