针对加密服务的攻击

　　加密是安全体系中最基本的需求之一，有了加密技术，银行才能提供网上银行和资金转账服务，消费者才能使用信用卡或借记卡进行网上购物，它也是公众与政府机构或医疗服务提供商进行在线交互的安全保证。然而，毫不意外的是，加密服务是DDoS攻击的主要目标。加密服务让人们能够访问大量个人数据、保密数据和财务数据。身份窃贼和网络罪犯一旦成功破解网络服务加密，就能获得大量可乘之机。

　　根据NETSCOUT Arbor的第13次年度全球基础设施安全报告(WISR)，近年来，以加密网络服务为目标的攻击变得越来越普遍。在企业、政府和教育(EGE)领域的受访者中，53%检测到以应用层的加密服务为目标的攻击，42%的受访者表示受到以TLS/SSL(安全传输层/安全套接层)协议为目标的攻击，这些协议控制着客户端-服务器身份验证和安全通信。在服务提供商中，检测到以安全网络服务(HTTPS)为攻击目标的比例在过去一年显著提高，从52%提高到了61%。

　　四种主要加密攻击类型

　　以加密服务为目标的DDoS攻击常常分为以下四类：

　　· 以SSL/TLS协商(一般称为“握手”)为目标的攻击，此类攻击决定了连接互联网的双方对其通信进行加密的方式。

　　· 针对SSL服务端口的协议或连接攻击，此类攻击旨在利用SSL漏洞。

　　· 以SSL/TLS服务端口为目标的容量耗尽攻击，此类攻击通过高流量洪泛耗尽端口容量。

　　· 针对通过SSL/TLS运行的基础服务的应用层攻击。

　　攻击者在攻击高价值加密目标时可谓不屈不挠。由于大部分加密应用和服务的本质决定了其重要性，一次成功的攻击就能产生毁灭性的后果。考虑到安全网络服务攻击的广度、多样性和逐步升级的趋势，必须采取能够检测和缓解目前所有攻击类型的多层防御措施。

　　以牙还牙：挫败加密攻击

　　为了给安全团队制造更多麻烦，攻击者经常使用SSL/TLS加密本身隐藏其非法活动。大量互联网流量在网络中流动却不会被检测或发现，这让恶意攻击者能够轻松隐藏在合法流量中，随时准备对安全HTTPS服务发起攻击。因此，安全体系的一个重要组件是能够检查经过安全加密的流量，并验证其真实性，而不会减缓、阻断或危害合法流量。虽然成功抵御攻击并不总是需要解密，但很明显，人们越来越需要可扩展的数据包解密解决方案。

　　NETSCOUT Arbor第13次WISR得出的一个积极结论是，服务提供商和企业都认识到传统的防火墙和入侵防护系统无法有效抵御复杂的DDoS攻击，尤其是以加密服务为目标的加密攻击。加密是一项必要的技术，但它无法依靠自身挫败顽强且富有经验的攻击者。作为缓解DDoS攻击唯一有效的方法，安全网络服务运营商和托管方越来越认识到特别设计的智能DDoS缓解系统(IDMS)的必要性。最佳做法是采用结合始终开启的本地防御措施和云端缓解功能的分层方法，根据威胁的规模和性质自动激活。

　　DDoS攻击产生的最严重后果经常是声誉和品牌形象受损，对组织声誉破坏最大的无疑是损坏安全服务，因为消费者已经对这些服务建立了信任，而且每天都依赖这些服务，甚至不会有其他想法。组织需要在加密之外采取更多措施，确保最关键服务的完整性和可用性。

　　关于作者

　　徐开勇(George Tsui)

　　NETSCOUT Arbor中国大陆和香港地区总经理

　　徐开勇(George Tsui)先生现任NETSCOUT Arbor中国大陆和香港地区总经理。他的主要职责包括在该地区管理和开发渠道销售网络，以及面向服务提供商和企业级市场制定销售策略和市场开发计划。加入NETSCOUT Arbor之前，他曾任英国电信公司区域总监，管理大中华区的销售渠道业务和运营，全面负责企业损益、卓越运营以及客户满意度。加入英国电信公司之前，他曾在香港电讯和Infonet香港公司担任不同的高级职务。

　　徐开勇先生在全球电信/ ICT行业拥有超过24年的丰富经验，其关注领域及专长包括渠道合作伙伴/联盟开发、销售和商业管理。

　　徐开勇先生在香港办公，拥有英国诺丁汉大学(University of Nottingham)电气与电子工程学士学位。

(本文不涉密)
责任编辑：路沙

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。