步步为营：打击僵尸网络大军

面对近年来僵尸网络军团不断扩张的局面，Ixia解决方案市场营销副总裁Jeff Harris向读者们解读如何凭借智能IP地址过滤技术一举粉碎僵尸大军。

僵尸网络大军正在以一种前所未有的规模扩张，其活动越发猖獗、其力量重金袭汤。仅2016年第一季度，由僵尸军团发起的攻击就高达3.11亿次，比2015年同期1增长300%，较2015年第四季度增长35%，创历史新高。

僵尸网络大部分被用于发起分布式拒绝服务(DDoS)攻击，其破坏力和活跃程度同样与日俱增。报告显示，今年第一季度全球DDoS攻击力度增长四倍2，另有报告表明，73%的受访者在2015年遭受过DDoS攻击，82%受访者遭受过多次攻击3。僵尸网络可以利用盗取到的登录信息，发起精密而又不易被察觉的大规模攻击尝试，寻找系统漏洞并加以利用。随着僵尸网络军团步步紧逼，企业又该如何步步为营，保卫自身网络安全?

谁在发起攻击?

各企业通常主要采取两种策略应对僵尸网络的攻击。第一种策略是关于网站和网络自身应对DDoS攻击时所带来的流量突发暴增的能力。基于实时网络测试的负载均衡策略可以通过分担流量帮助应对其高峰和低谷，这是预防DDoS攻击尝试的一种重要方法。然而，即使行之有效的负载均衡策略在面对大规模的DDoS攻击时，也会束手无策，造成应用程序的突然瘫痪——正如前文所述，如今的攻击强度正不断增大。

第二种策略则与安全工具有关，例如防火墙。此种作法在识别和拦截恶意流量方面非常奏效，但它同时也需要具备在网络流量高峰时段进行主动分析、识别并阻止恶意数据包的处理能力。所以，即使最新一代的高容量防火墙也会遭受巨大压力，因为那些大量的无关流量也会显著降低防火墙的分析性能，导致防火墙在网络系统中的性能耗尽。

智能IP过滤

但我们还有第三种策略：在僵尸网络发起的恶意流量到达防火墙之前，通过智能过滤率先阻止攻击。这种方式极大地降低了攻击强度和影响力，同时也提高了防火墙和相关安全解决方案的效率——使其更容易识别威胁并减少误报。

建立一个可以持续监测并主动过滤受僵尸网络控制的IP地址的网关就能做到解决上述问题。由于网关时刻保持接收来自智能应用与威胁情报系统的更新，就能够清楚的知道哪些IP地址已经被感染僵尸程序或被其他恶意软件入侵。当来自这些恶意地址的流量抵达网关时，网关能够以高达10GB的线速自动过滤恶意流量，从而确保其无法进入您的网络。

此策略甚至可扩展至您未开展业务的全球地区，拦截其IP地址。研究表明，僵尸网络的指挥和控制中心主要集中在少数几个国家：在所有DDoS攻击中，俄罗斯、乌克兰、巴基斯坦、土耳其是十大僵尸网络命令及控制数量排名靠前的国家。如果您的企业和这些国家尚无业务往来，何不拦截所有来自这些地区的流量?

只需上述这样一个简单步骤，企业将极大程度降低遭受僵尸网络攻击的概率。

发现漏洞

使用智能网关过滤IP流量还有另一个好处：它能够诊断您的网络是否已经感染僵尸病毒。据估计，全球80%以上的企业都感染了僵尸病毒，同时僵尸网络还能秘密将敏感数据发送给犯罪分子。此外，该网关还可以检查流出您网络的流量：如果流量是前往某个已知僵尸网络命令和控制服务器的IP地址，那么网关会将其过滤并自动封锁，并永久切断数据泄露通道。

显而易见，IP地址过滤策略的直接优势在于大幅度降低您的企业遭受僵尸网络DDoS外部攻击的概率，并防止因现有内部僵尸感染造成数据泄漏。但不仅如此，这种方法还有助于提高您现有的安全基础设施和IT团队运作效率。一家企业每周大约会收到17,000次恶意软件警示，而每年则需花费127万美元追踪误报。 IP地址过滤至少可降低30%的警报和误报数量，释放IT团队资源，减少诸如防火墙、防病毒和沙箱等现有解决方案的处理资源的开销，提高企业的对目标攻击的响应能力。

如何步步为营，让僵尸网络大军缴械投降?智能IP过滤通过采用威胁情报网关为企业提供基于管理策略的进出流量控制——排查不速之客和已知数据泄漏感染源，此举将是防患于未然的不二法门。

====================================分割线================================

本文转自d1net（转载）