中文站

不要成为反DDoS攻击的局外人

作者:George V. Hulme,是国际公认的信息安全和商业技术作家。20多年来,Hulme一直撰写商业、技术和IT安全主题的文章。

以下为译文:

DDoS攻击比以往任何时候更凶残,随时攻击任何人。考虑到这一点,我们收集了一些关于防止DDoS攻击的基本建议。

1.你的反DDoS计划准备好了吗

机构必须尝试预测成为应用程序和网络服务对手的攻击目标,并起草应急响应计划以对抗这些攻击。

Tsantes说:“企业越来越关注这些攻击,并计划如何应对。他们越来越擅长整合自己的内部攻击信息以及他们的供应商提供给他们的信息来帮助他们对抗这些攻击。”

IBM的Price同意到: “各机构的响应越来越好。他们正在整合内部的应用程序和网络团队,并且他们知道何时需要升级攻击响应来预防攻击。随着攻击者变得越来越复杂,金融机构也越来越复杂。”

Day说:“如果确实发生了影响业务的DDoS攻击,包括影响良好的公共消息的传递,则还应该制定灾难恢复计划和测试过程。基础设施的类型和地域的多样性也可有助于减轻DDoS攻击,以及公共和私有云的适当混合化。

BeyondTrust的技术人员ScottCarlson说:“任何大型企业都应该从使用的多个WAN入口点的网络级别保护开始,并与大型流量清理供应商达成协议,如Akamai或F5,以在攻击快要到达之前减轻和重新路由攻击。”没有任何物理的DDoS设备能够跟上WAN速度攻击,所以必须首先在云中清除它们。确保你的操作人员适当、方便地重新路由流量进行刷洗,并故障转移网络设备来达到饱和。”

2.进行实时调整

在2012年和2013年,当一波又一波的攻击了许多金融服务和银行业的时候,这些攻击残酷且复杂,企业真的需要能够实时调整。其中包括Bank of America(美国银行)、 Capital One(第一资本公司)、Chase(美国大通银行)、Citibank(花旗银行)、 PNC Bank(匹兹堡国民银行) 和Wells Fargo(富国银行)。美洲Arbor Networks解决方案架构师Gary Sockrider表示:“这些攻击不仅是多矢量的,而且策略也在实时变化。”攻击者会观察网站的响应,当网站重新上线时,黑客会调整并采用新的攻击方式。

“他们是坚决的,且总是变换着策略在一些不同的端口、协议或新来源上攻击你。”他说,“企业必须做好防御准备,像攻击者一样迅速、灵活。”

3.争取DDoS保护和减轻服务

CynergisTek公司的网络安全策略副总裁JohnNye解释说,在这些攻击发生时进行调整的事情上公司可以有很多方法,但使用第三方DDoS保护服务可能是最实惠的方法。“可以在企业内部,通常是在SOC或NOC中监视过度的流量,如果它与合法的流量有足够的区别,则它可以被web应用程序防火墙(WAF)或其他技术解决方案阻塞。虽然可以构建一个更健壮的基础设施来处理更大的流量负载,但与使用第三方的服务相比,这种解决方案的成本要高得多。”

数据中心服务提供商Cyxtera的网络安全总监Chris Day同意Nye的观点,即企业应该考虑获得专业帮助。“企业应该与DDoS缓解公司或它们的网络服务提供商合作,使其具备减轻能力,或者至少准备好在攻击发生时能迅速部署。”

“如果一个企业的网络存在对他们的业务至关重要,那么它做的最有用的事情就是招募第三方DDoS保护服务,”Nye补充道,“我不会推荐任何特定的供应商,因为最好的选择都是视情况定的,并且如果一个企业正在考虑使用这样的服务,他们应该彻底调查各种选择。”

4.不要只依靠外围防御

在对几年前金融服务公司的DDoS攻击采访中发现他们传统的内部安全设备(防火墙、入侵预防系统、负载平衡器)无法阻止攻击。

当谈到几年前对银行和金融服务的攻击时,Sockrider说:“我们看着这些设备无用,得到的经验非常简单:你必须有能力在DDoS攻击到达那些设备之前减轻它。它们就像你试图保护的服务器一样易受攻击。”部分减轻措施将不得不依赖上游网络提供商或托管安全服务提供商,它们可以在远离网络边界的地方中断攻击。

当您面临高容量攻击时,减轻上游的进一步攻击尤为重要。

Sockrider说:“如果你的网络连接是10GB,而你却受到了100GB的攻击,那么试图以10GB的速度与之抗衡是没有希望的,你已经在上游被屠杀了。”

5.在线应对应用层攻击

对特定应用程序的攻击通常是隐蔽的、低容量的和更有针对性的。

Sockrider说 “它们被设计成在雷达下飞行,所以你需要在现场或数据中心进行保护,这样你才可以进行深度数据包检查,并在应用层看到所有东西。”这是减轻此类攻击的最佳方式。

Signal Sciences的战略、市场合伙人Tyler Shields补充道:“公司将需要一个能够处理应用层DoS攻击的web保护工具。特别是需要您配置的满足业务逻辑的时,基于网络的缓解不再足够。”

容量安全公司AquaSecurity的联合创始人和首席技术官Amir
Jerbi解释了如何通过在多个公共云提供商上部署应用程序来增加冗余,从而防止DDoS攻击。他说:“这将确保如果你的应用程序或基础设施提供商受到攻击,那么你可以很容易地扩展到下一个部署的云。”

6.合作

当涉及到这些攻击时,银行业正在进行一些合作。他们显示的每一件事的保护与分享都是严格的,所以在某种程度上,银行在合作方面比大多数企业做得更好。

IBM金融部门的安全策略师Lynn Price表示:“他们与电信提供商合作,且直接与服务提供商合作。他们不得不这样,因为孤立地工作无法取得成功。”

例如,当金融服务业被定为攻击目标时,他们转向金融服务信息共享和分析中心寻求支持,并共享有关的威胁信息。AkamaiTechnologies的金融服务首席策略师里Rich Bolstridge表示,“在一些信息共享会议上,大型银行在讨论正在被攻击的类型以及采取的被证明有效的解决方案时非常开放。那样,大型银行至少在持续的互相交谈中。”

不考虑企业是什么,金融业的战略是可以且应该在其他地方被采纳的战略。

7.小心二级攻击

DDoS攻击虽然代价高,但有时也可能只是分散注意力,为更恶毒的攻击提供掩护。

Price说“DDoS可以成为来自另一个方向攻击的更严重攻击的转移策略。银行需要意识到他们不仅要监测和维护DDoS攻击,也必须关注DDoS可能只是多方面攻击中的一个方面这件事,这也许是为了窃取账户或其他敏感信息,“

8.保持警惕

尽管很多时候DDoS攻击似乎只针对高档次的行业和公司,但研究显示这并不一定。如今的数字供应链相互关联,每家企业都依赖于数十家甚至数百家在线供应商,在线的网络攻击活动有所增加,有其他国家的政府支持的企业攻击,且DDoS攻击易于发起,因此每个机构都必须将自己视为被攻击的目标。

因此,请做好准备,并将本文中的建议作为启动点来构建你自己的反DDoS策略吧!

本文由网易易盾组织翻译。

相关阅读:

流量清洗的原理和DDoS流量清洗的实践

DDoS是什么?

DDoS高防IP原理