毫無(wú)疑問(wèn),近期策劃重大DDoS攻擊的那些人對(duì)互聯(lián)網(wǎng)的內(nèi)部運(yùn)作原理有著深入了解。由于攻擊者對(duì)這些專(zhuān)業(yè)知識(shí)的掌握了解,以及一些重要互聯(lián)網(wǎng)協(xié)議缺少基本安全保障,導(dǎo)致當(dāng)談到保護(hù)企業(yè)自身安全和防范這種類(lèi)型的攻擊時(shí),許多的企業(yè)處于劣勢(shì)。
這就是為什么許多企業(yè)、政策和行業(yè)組織一直致力于制定廣泛的行業(yè)計(jì)劃,減小危害巨大的DDoS攻擊的發(fā)生率。在大多數(shù)國(guó)家,已通過(guò)了宣布DDoS攻擊為非法的法律,比如美國(guó)的《計(jì)算機(jī)欺詐和濫用法案》以及英國(guó)的《計(jì)算機(jī)濫用法案》,但是立法對(duì)網(wǎng)絡(luò)犯罪起不了多大的威脅效果。
本文將主要探討如何減小DDoS攻擊的發(fā)生率和破壞力,以及如何結(jié)合使用內(nèi)部和基于云的DDoS緩解控制措施,盡量減小日益復(fù)雜的DDoS攻擊對(duì)企業(yè)業(yè)務(wù)造成的干擾和破壞。
評(píng)估DDoS攻擊的威脅
DDoS攻擊的破壞力很大,足以威脅到整個(gè)國(guó)家的關(guān)鍵基礎(chǔ)設(shè)施,這個(gè)事實(shí)可以解釋為何諸多政府部門(mén)在開(kāi)始要求:必須制定DDoS緩解方案。比如說(shuō),受聯(lián)邦金融機(jī)構(gòu)檢查委員會(huì)監(jiān)管的金融機(jī)構(gòu)現(xiàn)在必須監(jiān)控?zé)o無(wú)遭到DDoS攻擊,要有隨時(shí)就能激活的事件響應(yīng)方案,并確保在攻擊持續(xù)期間有足夠的人手,包括求助事先簽好的第三方服務(wù),如果有的話(huà)。還鼓勵(lì)金融機(jī)構(gòu)將攻擊方面的詳情上報(bào)金融服務(wù)信息共享和分析中心以及執(zhí)法部門(mén),幫助其他機(jī)構(gòu)識(shí)別和緩解新的威脅及手法。
針對(duì)DDoS攻擊等網(wǎng)絡(luò)威脅的全球合作在加強(qiáng)。由于僵尸網(wǎng)絡(luò)是一大威脅及常見(jiàn)的DDoS武器,聯(lián)邦調(diào)查局(FBI)和國(guó)土安全部與另外100多個(gè)國(guó)家共享了他們認(rèn)為被感染了DDoS惡意軟件的成千上萬(wàn)臺(tái)計(jì)算機(jī)的IP地址。白宮網(wǎng)絡(luò)安全辦公室、商務(wù)部、國(guó)土安全部以及行業(yè)僵尸網(wǎng)絡(luò)組織也在緊密地合作,共同對(duì)付和打擊僵尸網(wǎng)絡(luò)。打掉僵尸網(wǎng)絡(luò)無(wú)疑有助于改善安全形勢(shì),但這是一項(xiàng)永遠(yuǎn)不會(huì)結(jié)束的任務(wù)。
實(shí)施DDoS緩解控制措施,對(duì)DDoS攻擊說(shuō)不!
針對(duì)分布式拒絕服務(wù)的緩解方案不可忽視,因?yàn)檫@種攻擊的頻率和復(fù)雜性給更多的企業(yè)組織構(gòu)成了威脅。如今的DDoS攻擊結(jié)合了大強(qiáng)度的蠻力攻擊和應(yīng)用程序?qū)庸,盡量造成最大程度的破壞,并躲避檢測(cè)機(jī)制。有些DDoS攻擊利用了成千上萬(wàn)中招的系統(tǒng)或Web服務(wù),會(huì)給企業(yè)在成本和聲譽(yù)方面極其重大的破壞,拒絕服務(wù)日益成為高級(jí)針對(duì)性攻擊的一部分。好消息是,你可以使用好多工具,盡量減小這種類(lèi)型的攻擊給客戶(hù)和收入造成的影響。
想緩解DDoS,首先就要確保你已定義了事件響應(yīng)流程,并且明確了責(zé)任,這就需要多個(gè)小組通力合作。DDoS防范規(guī)劃需要安全團(tuán)隊(duì)與網(wǎng)絡(luò)操作人員、服務(wù)器管理員和桌面支持人員以及法律顧問(wèn)和公關(guān)經(jīng)理攜起手來(lái)。
一旦DDoS事件響應(yīng)方案落實(shí)到位,你就可以關(guān)注四大方面的DDoS緩解控制措施,盡量減小DDoS攻擊給業(yè)務(wù)造成的干擾和破壞。在此按重要性順序排列:
•互聯(lián)網(wǎng)服務(wù)提供商(ISP)。大多數(shù)ISP都有“潔凈的網(wǎng)絡(luò)管道”(Clean Pipe)或DDoS緩解服務(wù),收費(fèi)通常要比標(biāo)準(zhǔn)的帶寬成本高一些;贗SP的服務(wù)對(duì)許多中小企業(yè)來(lái)說(shuō)很管用,也符合預(yù)算方面的要求。別忘了一點(diǎn):云服務(wù)提供商和主機(jī)托管商也是ISP。
•DDoS緩解即服務(wù)提供商。如果你有多家ISP,第三方DDoS緩解即服務(wù)提供商也許是一種更明智的選擇,不過(guò)基于云的服務(wù)通常成本更高。如果改變DNS或BGP路由,讓攻擊流量通過(guò)DDoS SaaS提供商來(lái)發(fā)送,你就能過(guò)濾掉攻擊流量,無(wú)論哪家ISP來(lái)為你處理。
•專(zhuān)用的DDoS緩解設(shè)備。你可以在互聯(lián)網(wǎng)接入點(diǎn)部署DDoS緩解設(shè)備,以此保護(hù)服務(wù)器和網(wǎng)絡(luò)。不過(guò),蠻力攻擊可能仍會(huì)耗盡你的所有帶寬――即使服務(wù)器沒(méi)有崩潰,客戶(hù)們?nèi)詿o(wú)法正常訪(fǎng)問(wèn)。
•基礎(chǔ)設(shè)施部件:比如負(fù)載均衡系統(tǒng)、路由器、交換機(jī)和防火墻。依賴(lài)貴企業(yè)的操作基礎(chǔ)設(shè)施來(lái)緩解DDoS攻擊是注定失敗的策略,只能對(duì)付最軟弱無(wú)力的攻擊。然而,這些部件在協(xié)同緩解DDoS方面卻能夠發(fā)揮作用。
大多數(shù)企業(yè)需要外部服務(wù)和內(nèi)部DDoS緩解能力結(jié)合起來(lái)。對(duì)你員工的技能水平作一個(gè)切合實(shí)際的評(píng)估――要是你手下有IT安全人員能檢測(cè)并分析威脅,先從內(nèi)部DDoS緩解開(kāi)始入手,然后逐漸完善策略,加入外部服務(wù)。要是你沒(méi)有足夠的人手或者所需的技能組合,不妨從外部服務(wù)開(kāi)始入手,考慮將來(lái)添加托管CPE(用戶(hù)端設(shè)備)緩解能力。
無(wú)論你最后選擇了哪種架構(gòu),每年都要至少測(cè)試兩次DDoS緩解控制措施。如果你借助外部服務(wù)提供商,就要核對(duì)路由和DNS方面的變化,確保流量會(huì)傳送到外部服務(wù),不會(huì)有重大干擾――另外還要確保能順利切回到直接路由。網(wǎng)絡(luò)配置和DNS路由在正常操作期間常常變動(dòng)――你要在實(shí)際的DDoS攻擊之前弄清楚這一點(diǎn)。
防止DDoS攻擊
想防止DDoS攻擊,長(zhǎng)期的解決辦法就是加強(qiáng)攻擊者用來(lái)發(fā)動(dòng)攻擊的互聯(lián)網(wǎng)協(xié)議,并且要求升級(jí)系統(tǒng),以便得益于最佳實(shí)踐。比如說(shuō),許多DDoS攻擊之所以能得逞,就是因?yàn)楣粽咄ǔ=柚袭?dāng)受騙的源IP地址來(lái)生成流量。IETF Best Common Practices文檔BCP 38建議:網(wǎng)絡(luò)操作人員應(yīng)對(duì)從下游客戶(hù)進(jìn)入其網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行過(guò)濾,丟棄源地址不在其地址范圍內(nèi)的任何數(shù)據(jù)包。這樣可以讓黑客無(wú)法發(fā)送聲稱(chēng)來(lái)自另一個(gè)網(wǎng)絡(luò)的數(shù)據(jù)包(即欺詐攻擊)。不過(guò),按BCP 38的要求來(lái)做需要一筆支出,卻沒(méi)有立竿見(jiàn)影的效果,因而盡管有益于更廣泛的社區(qū),卻沒(méi)有全面實(shí)施起來(lái)。
網(wǎng)絡(luò)管理員們可以確保自己遵守其他最佳實(shí)踐,從而加強(qiáng)互聯(lián)網(wǎng)的總體安全。比如說(shuō),他們應(yīng)該熟悉國(guó)土安全部頒布的DDoS快速指南(DDoS Quick Guide),還應(yīng)該落實(shí)開(kāi)放解析器項(xiàng)目(Open Resolver Project)等項(xiàng)目給予的建議。開(kāi)放解析器可以回復(fù)針對(duì)域外主機(jī)的遞歸查詢(xún),因而用于DNS放大DDoS攻擊中。該項(xiàng)目已列出了2800萬(wàn)個(gè)構(gòu)成重大威脅的解析器,并提供了詳細(xì)指導(dǎo),教人們?nèi)绾闻渲?a href="http://m.pufcvep.cn/tags-323.html" target="_blank">DNS服務(wù)器,以減小DNS放大攻擊的威脅。
與往常一樣,若能確保已安裝了軟件的最新版本,系統(tǒng)不大容易受到黑客的攻擊,黑客經(jīng)常企圖利用其資源作為DDoS攻擊的一部分。
雖然金融機(jī)構(gòu)等大企業(yè)是某些攻擊者眼里的明顯目標(biāo),但它們至少有財(cái)力和資源來(lái)采用最新的安全技術(shù)和最佳實(shí)踐。不過(guò),資源有限的小企業(yè)仍然面臨可能很強(qiáng)大的對(duì)手。這也是谷歌啟動(dòng)護(hù)盾項(xiàng)目(Project Shield)的原因之一:
好讓那些運(yùn)行新聞、人權(quán)或選舉方面網(wǎng)站的組織機(jī)構(gòu)可以通過(guò)谷歌龐大的DDoS緩解基礎(chǔ)設(shè)施來(lái)發(fā)布其內(nèi)容。這種類(lèi)型的計(jì)劃主要旨在確保潛在的受害者有足夠的資源來(lái)抵御攻擊,從而消除DDoS攻擊的影響。
全面共享DDoS緩解資源、實(shí)施行業(yè)最佳實(shí)踐可能很費(fèi)時(shí)間和資源,而且可能無(wú)法立即帶來(lái)回報(bào),但是互聯(lián)網(wǎng)是個(gè)整體性的社區(qū)項(xiàng)目,打擊DDoS攻擊是大家共同的責(zé)任。除非人人都出一份力,否則再多的計(jì)劃也無(wú)法讓我們擺脫該死的DDoS攻擊。
--51CTO
轉(zhuǎn)載請(qǐng)保留原文地址: http://m.pufcvep.cn/show-384.html