ALL ABOUT OFFENSIVE DENFENCE

在无法划分安全等级区域的场景下,对服务器采取的保护策略中,有一种很少被部署的策略,是进攻性防御。

攻击型防壁在检测到入侵行为后采取的对策相对于一般类型防壁采取的不响应或者重置连接的策略不同的地方是,攻击型防壁会尝试使用更加激进的措施反制入侵者,其目标是瘫痪攻击源或瘫痪攻击网络链路上可能成为代理的节点。

由于攻击型防壁存在这种特性,在访问终端不可控前提下,很有可能会无差别的攻击恶意终端和间接受到恶意控制的终端,因此在常见网络环境中,攻击型防御策略是不可取的。进攻型防壁应用范围仅有在服务端控制实体发现访问端群体中长期存在难以溯源的恶意流量,即处于纯技术性APT状态下才会考虑部署。在一般场景下,黑洞设备多被用于处理泛洪攻击,但是在逻辑漏洞试探和伪装成针对接口的泛洪攻击面前,黑洞设备所需要的过滤规则受到IDS的直接或间接指导,IDS本身是消耗资源的,因此在攻击端不断变换攻击网络链路的情况下,很难阻断恶意访问。一方面宏观网络管理者在网络中可以部署探测节点来追踪攻击的真正源头,另一方面,不得不否认,某些为正常网络使用而服务的协议可以被利用来绕过,欺骗,干扰宏观网络管理者的判断。这也是攻击型防壁虽然很少见,但是却存在在很多防御者的备选方案中的原因,成为了一个控制台上很少被按下去的按钮。

攻击型防壁与攻击者一样依赖系统脆弱性,智能IDS的性能开销会逐渐增大,但是伴随系统本身漏洞逐渐减少IDS的开销并不一定会无限增长,在服务集群化,分布化发展趋势影响下IDS本身也成为了继承在整个服务体系里的一部分,防御的核心会转向逻辑漏洞的避免和网络链路带宽的进出不对等控制。

上一篇:【部分源码分析】PLATO——开放域对话的SOTA之作


下一篇:vue连个数组对比