0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

DDoS防治:网络管理和网络安全的异同

如意 来源:百家号 作者:至顶网 2020-06-28 11:23 次阅读

在工作中笔者经常听到一些抱怨,说自己的网站又被DDoS攻击了。作为从业者,听到这样的消息实感无奈。多年前就已经有人已经提出了网络实名与攻击溯源,可现在这么多年过去了,DDoS依然攻击依旧。下面就先从DDoS防治这个话题来谈起。

DDoS:本不该再出现的异常流量

为什么说DDoS是本不该再出现的异常流量,是因为如果把木马、蠕虫比喻成电影《天下无贼》里的小偷的话,那么DDoS就能算是个明火执仗的土匪,借用黎叔的话讲,就是一点技术含量也没有。现如今社会法制相对比较完善,人人都有身份证,出门都是摄像头,就算真的有人出来打、砸、抢,估计跑不太远就会被抓。那么DDoS这种严重影响网络正常应用的“土匪”行径,为什么可以猖獗至今呢?

是技术不足吗?看上去不像,早在2014年国家网络安全周上,一大堆安全厂商就竞相在硕大的屏幕上进行网络攻击溯源的展示,很是吸引眼球。是管理方面的问题吗?《网络安全法》在2016年也已经发布。技术和管理都已经到位的情况下,依然会出现问题,那就只有能力不足这一种可能性了。下面就让我们步入正题,从网络安全与网络管理的角度来进行一下分析。

网络管理与网络安全的异同

在网络管理和网络安全的初始阶段,交换机是交换机,防火墙是防火墙,两者基本上没有什么交集之处。但是随着网络技术的发展,交换机上开始跑起了三层路由,防火墙开始变成网关的路由器,两者开始互抢对方的饭碗,随后交换机上开始可以设策略封端口,算是彻底抢了防火墙的饭碗,而防火墙则向着更高的层次发展,摇身一变成了下一代防火墙……

由此可见,随着网络设备管理能力的提升,正在将更多的网络安全功能融入其中。但是网络与网络安全之间,目前为止还依然存在着一条难以跨越的鸿沟,那就是网络管理始终管理的是连接,关心的是网络连接从哪里开始,经过多少路由,转发的延时是多少。而网络安全则注重传输内容,判断是否为攻击流量、攻击类型以及如何进行处理。也就是说,网络管理更偏向于全局管理,而网络安全更倾向内容分析。

而在实际应用过程中,这些不同的倾向性往往会产生致命的结果。正所谓道高一尺,魔高一丈。以前靠发syn包,做个长ping的简单DDoS攻击,早被模拟或就是真实应用连接请求所取代。这些攻击流量往往和真实流量混杂,通常的网络安全手段很难将其分辨。更何况还有利用0Day传播的网络蠕虫、恶意网页、木马程序等等。这也是DDoS至今猖獗始终难以消灭的一个重要原因。

要想从根本上解决这个问题,就需要站在全局的角度去考虑问题。既要对攻击内容进行准确识别,又要找到攻击源头有针对性地进行防御,再有确实可信的取证,这样才能结合国家相关的法律、法规,对相应的违法行为进行处罚,从而在根源上解决问题。而这需要网络管理与网络安全的统一融合。

但是。这种融合并不是一件十分轻松就可以完成的事情。先不去讨论对所有网络传输内容进行检测的合法性问题,仅从实现技术的角度看,就有很大的难题需要进行克服:传统的网络管理控制器处理能力有限,很难满足对每条流的连接况状进行分析。要想解决的话,目前看来只能通过软件定义方法。

如何挖掘SDN控制器的潜能

当前,随着网络接入设备数量和网络流量的飞速增长,通过软件定义管理控制网络的SDN、SD-WAN技术相继出现了。在SDN技术出现的初期,人们,就已经认识到了基于传输层的网络连接而不是仅基于网络层的IP对网络进行管理控制的重要意义。因此,先天就具备了部分网络安全管理控制能力。这也为网络管理与网络安全的融合提供了难得的一个契机。但是,SDN毕竟是为网络管理而设计的技术,用在网络安全上还是会有些力不从心。那么应当如何挖掘SDN的潜力,让网络管理与安全趋于一统呢?

SDN可否用于网络安全管理,答案无疑是肯定的。现在已经有很多安全厂商在推出基于SDN技术的网络安全管理方案,但大多数只是将SDN作为一个大的网关设备,而不是基于网络整体来对网络威胁进行分析。实际上,通过连接进行管理的SDN,可以让管理者们看到的东西会更多,内容也会更加丰富,通过对可疑流量的镜像分析,还可以深入了解网络威胁的具体应用行为。

现在的问题在于,如何通过SDN对正常流量与异常攻击加以识别,而不是单纯的在网关处对攻击流量进行简单的拦截,从而在整网泛围内对攻击的动向进行全面掌控。这种撑控也会比通过sniffer嗅探的方式更加真实可信,从而可以更精准地对攻击源头进行定位。这就好像在网络上也安装上了一个个高清摄像头,对于正常用户而言,不会存在任何影响,而对破坏份子而言,一做坏事甚至一露面就可以被识别。做坏事的人被抓住了,造成的损失自然也会可控了。

但目前这还只是一个理论上的推断,要想真正实施,恐怕还需要制订出一个统一的基于软件控制的网络与网络安全管理标准才能进行实现。但是从技术的角度上看,网络安全与管理的统一融合还是具备相当大的可行性。

网络管理与安全是否该进行统一?

当前,移动互联技术的飞速发展,导致网络应用数量激增,也由此引发出更加广泛的网络安全问题。传统DDoS攻击没有被遏制,勒索病毒、恶意刷单等新的网络威胁形式又不断出现,给人们正常网络应用造成极大困扰。这些网络威胁有些是属于网络安全范围的恶意攻击,有些是属于网络管理范畴的应用流量,二者往往会相互裹挟,难以统一进行防御,对网络正常应用造成极大威胁。

新的网络威胁也会催生出新的网络安全解决方案,而从网络整体的角度出发,将网络管理与网络安全融合成为一体,会更加有助于从威胁源头解决问题。但是统一并不意味着不再需要网络安全,而是正好相反,未来网络安全会发挥出更加重要的作用。未来DDoS之类的恶意攻击可能会因为统一监管而减少,但是漏洞、蠕虫、拖库等网络威胁依然还会产生。这些高技术的网络威胁问题,还是需要有更高本领的网络安全人士进行解决,也许未来基于大数据分析的人工智能技术继续发展后,可以将这些应用类的网络威胁也统一由网络管理设备进行统一处理。但是现在,还是让那些各大网络安全厂商的那些已经树立多年的网络安全溯源大屏发挥他们的真正作用吧!

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • DDoS
    +关注

    关注

    3

    文章

    172

    浏览量

    23071
  • 网络管理
    +关注

    关注

    0

    文章

    120

    浏览量

    27673
  • 网络安全
    +关注

    关注

    10

    文章

    3159

    浏览量

    59763
收藏 人收藏

    评论

    相关推荐

    如何配置 VLAN 以提高网络安全

    配置虚拟局域网(VLAN)是一种在交换网络中提高网络安全的有效方法。VLAN通过将网络划分为多个逻辑分割,可以限制不同用户组之间的通信,从而减少潜在的安全威胁。以下是配置VLAN以提高
    的头像 发表于 11-19 09:17 486次阅读

    常见的网络硬件设备有哪些?国产网络安全主板提供稳定的硬件支持

    随着网络技术的不断进步,网络安全问题日益严重,企业和个人对网络安全的重视程度不断加深,对于网络安全硬件设备的要求也越来越高,网络硬件设备不仅
    的头像 发表于 10-21 10:23 301次阅读

    IP风险画像如何维护网络安全

    的重要工具。 什么是IP风险画像? IP风险画像是一种基于大数据分析和机器学习技术的网络安全管理工具。它通过对IP地址的网络行为、流量特征、历史记录等多维度数据进行深入分析,构建出每个IP地址的个性化风险画像,揭示了IP地址
    的头像 发表于 09-04 14:43 305次阅读

    网络安全技术商CrowdStrike与英伟达合作

    网络安全技术商CrowdStrike与英伟达合作共同研发更先进的网络防御解决方案;提升CrowdStrike Falcon平台的威胁检测速度和准确性。将通过人工智能原生平台CrowdStrike
    的头像 发表于 08-28 16:30 1378次阅读

    虹软科技获ISO/SAE 21434 网络安全管理体系认证

    近日,虹软正式通过ISO/SAE 21434 网络安全管理体系认证,获得国际知名认证机构DNV颁发的证书。ISO/SAE 21434是目前汽车网络安全领域最具权威性、认可度最高的国际标准,取得该认证
    的头像 发表于 08-23 18:33 1163次阅读

    海外高防服务器对网络安全保护的影响

    海外高防服务器作为一种专门设计用于抵御分布式拒绝服务(DDoS)攻击和其他网络威胁的强大工具,对网络安全保护起着至关重要的作用。这类服务器通常部署在具有丰富带宽资源和先进防御机制的国际数据中心,为全球范围内的用户提供了一层坚固的
    的头像 发表于 07-16 10:18 274次阅读

    Palo Alto Networks与IBM携手,深化网络安全合作

    网络安全领域的两大巨头Palo Alto Networks和IBM近日宣布建立全面合作伙伴关系,共同推动网络安全领域的创新发展。根据协议,Palo Alto Networks将收购IBM的QRadar SaaS资产及相关知识产权,以进一步拓展其
    的头像 发表于 05-22 09:40 601次阅读

    揭秘!家用路由器如何保障你的网络安全

    家用路由器保障网络安全需选知名品牌和型号,设置复杂密码并开启防火墙,定期更新固件,使用安全协议,合理规划网络布局,及时发现并处理异常。提高家庭成员网络安全意识共同维护
    的头像 发表于 05-10 10:50 679次阅读

    4G插卡路由器:安全可靠的网络安全解决方案

    4G插卡路由器是一款安全可靠的网络安全解决方案,具有数据加密、防DDoS攻击、安全防护和设备管理等优势。其信号覆盖广、稳定性高、性价比高,适
    的头像 发表于 05-07 10:35 865次阅读

    专家解读 | NIST网络安全框架(1):框架概览

    本文主要探讨NIST CSF框架的起源目标、内容组成,及其在网络安全风险管理中的关键作用,通过采用该框架,组织能够更有效地实施风险识别、安全保护、威胁检测和事件响应,从而构建更加坚固和弹性的
    的头像 发表于 05-06 10:30 1362次阅读
    专家解读 | NIST<b class='flag-5'>网络安全</b>框架(1):框架概览

    企业网络安全的全方位解决方案

    安全域划分到云端管理,全面构建企业网络安全防线 在数字化浪潮席卷全球的今天,企业网络安全已经成为商业运营中不可忽视的一部分。随着企业数字资产价值的不断攀升,
    的头像 发表于 04-19 13:57 688次阅读

    普华基础软件荣获ISO/SAE 21434汽车网络安全管理体系认证证书

    近日,普华基础软件在网络安全领域取得了又一重大突破,成功获得了国际知名第三方检测、检验和认证机构德国莱茵TÜV颁发的汽车网络安全ISO/SAE 21434管理体系认证证书。这一荣誉的获得,标志着普华
    的头像 发表于 03-19 09:48 652次阅读

    家用路由器:简化网络设置和管理,保护家庭网络安全

    家用路由器以其简化网络设置和管理、保护家庭网络安全等优势,成为了家庭网络中不可或缺的重要设备。技术的不断进步和用户需求的不断升级,家用路由器必将继续发挥其优势,为家庭
    的头像 发表于 03-16 11:23 577次阅读

    自主可控是增强网络安全的前提

    后成立了中央网络安全和信息化领导小组,这标志着我国网络空间安全国家战略已经确立。      网络安全的内涵可以包括:    -信息安全。它是
    的头像 发表于 03-15 17:37 887次阅读

    工业发展不可忽视的安全问题——OT网络安全

    在数字化时代,工业运营技术(OT)的网络安全比以往任何时候都更加重要。DataLocker,作为OT网络安全的守护者,提供了全面的加密和数据管理解决方案,确保关键基础设施免受网络威胁。
    的头像 发表于 03-09 08:04 2143次阅读
    工业发展不可忽视的<b class='flag-5'>安全</b>问题——OT<b class='flag-5'>网络安全</b>