簡單三步走 幫助企業(yè)及其IT團隊預(yù)防DDoS攻擊 |
發(fā)布時間: 2012/8/15 10:07:36 |
這樣的報刊標(biāo)題太司空見慣了:攻擊者黑掉了著名網(wǎng)站。這一對業(yè)務(wù)的威脅日趨嚴(yán)重的事件背景是分布式阻絕服務(wù)(DDoS)。重要的是,企業(yè)要對DDos的威脅有所察覺,并采取預(yù)防措施,才能避免成為出現(xiàn)在報刊頭條上的下一個DDoS攻擊受害者。
本文闡釋了什么是DDoS攻擊,并提供了操作步驟,幫助您盡可能地降低DDoS的影響,甚至是在理想的情況下徹底地規(guī)避攻擊。 風(fēng)險并非虛幻,且危險性越來越高 如果您覺得您的公司很小、很不重要,資金也不雄厚,不足以為攻擊者感興趣的下手對象,則請您三思。任何公司企業(yè)都可能成為受害者,大多數(shù)機構(gòu)都容易遭到DDoS攻擊。無論您是《財富》世界500強企業(yè)、政府機構(gòu)還是小中企業(yè)(SMB)——都會出現(xiàn)在當(dāng)今網(wǎng)絡(luò)暴徒的目標(biāo)清單之中。即使是深諳安全之道、動用大量資金和專家保護自身的公司,包括亞馬遜、維薩卡、索尼、孟山都(Monsanto)農(nóng)業(yè)生化、PostFinance支付、貝寶(PayPal)支付和美洲銀行(Bank of America),也都成為了這一威脅的受害者。 最近,DDoS攻擊事件的數(shù)量明顯增加,其攻擊規(guī)模也在升級,遠遠超過了100千兆位秒的流量。對亞洲一家電子商務(wù)網(wǎng)站的一次長時間攻擊形成的僵尸網(wǎng)絡(luò)涉及超過25萬臺僵尸電腦,據(jù)說其中很多都在中國。 DDoS的攻擊形式五花八門 從最基本的層面上講,DDoS攻擊是企圖讓一臺機器或一個網(wǎng)絡(luò)的資源無法為目標(biāo)用戶所使用。雖然DDoS攻擊采用的手段、動機和目標(biāo)有所不同,但這種攻擊一般包括一人或多人試圖暫時或無限期中斷或暫停主機與互聯(lián)網(wǎng)連接的服務(wù)。 通常情況下,這要通過分布式僵尸網(wǎng)絡(luò)的協(xié)作來進行,要動用數(shù)百或數(shù)千臺僵尸電腦,這些電腦之前已被感染并接受遠程遙控,等待攻擊者發(fā)出命令。DDoS攻擊的方式是通過發(fā)起潮水般的大批量通信,強制覆沒服務(wù)器資源,或利用內(nèi)在弱點,讓目標(biāo)服務(wù)器崩潰。 潮水攻擊包括網(wǎng)間控制報文協(xié)議(ICMP)潮(比如smurf和Ping潮水攻擊)、同步符(SYN)潮(使用偽造的TCP/SYN包),以及其他應(yīng)用程序級的潮水攻擊。潮水式DDoS攻擊往往借力于大型分布式僵尸網(wǎng)絡(luò)的不對稱力量。這些網(wǎng)絡(luò)可以創(chuàng)建多個線程,發(fā)送極大數(shù)量的請求,使得網(wǎng)絡(luò)服務(wù)器癱瘓。 崩潰攻擊通常發(fā)送利用操作系統(tǒng)漏洞的畸形數(shù)據(jù)包。應(yīng)用程序級的DDoS攻擊通過利用服務(wù)器應(yīng)用程序(比如緩沖溢出或叉路炸彈)來使系統(tǒng)崩潰。惡意軟件搭載的DDoS攻擊可能用木馬病毒危害潛在的僵尸網(wǎng)絡(luò)系統(tǒng),木馬反過來會觸發(fā)大量下載僵尸代理程序。 此外,攻擊已經(jīng)變得更加復(fù)雜。例如,僵尸網(wǎng)絡(luò)可能不僅僅對目標(biāo)服務(wù)器潮水般地傳播數(shù)據(jù)包,而且有可能侵入性地與服務(wù)器建立聯(lián)系,從內(nèi)部啟動極大數(shù)量的偽造應(yīng)用處理。 為什么用DDoS? 犯罪分子使用DDoS,因為它價格低廉、難以發(fā)現(xiàn)且十分高效。DDoS攻擊很便宜,是因為它們利用了由成千上萬的僵尸電腦組成的分布式網(wǎng)絡(luò),這些電腦通過電腦蠕蟲病毒或其他自動化方法俘獲。例如,DDoS攻擊MyDoom就是使用一種蠕蟲病毒來散布潮水攻擊發(fā)起的命令。因為這些僵尸網(wǎng)絡(luò)在全球范圍內(nèi)買賣,在黑市上唾手可得,攻擊者可以用不到100美元購買僵尸網(wǎng)絡(luò)的使用權(quán)進行潮水攻擊,或者以低至每小時5美元的價格雇傭他人進行特定的攻擊。 DDoS的攻擊很難探測到,因為它們經(jīng)常使用正常的連接,并模仿正常的授權(quán)通信。結(jié)果,這種攻擊非常高效,因為通常情況下目標(biāo)服務(wù)器會錯誤地信任通信,執(zhí)行這些請求而最終將自身淹沒,促成了攻擊。比如,在HTTP-GET潮水攻擊(例如Mydoom)中,請求通過正常的TCP連接發(fā)送,并被網(wǎng)絡(luò)服務(wù)器認(rèn)定為合法內(nèi)容。 受金錢或意識形態(tài)驅(qū)使 受金錢驅(qū)使的DDoS攻擊通常是基于敲詐勒索或競爭。勒索方案往往是要求受害組織支付大筆贖金來防止拒絕服務(wù),從而使勒索方獲利。例如,據(jù)報道,一家英國的電子賭博網(wǎng)站在拒絕贖金要求后,遭到了DDoS攻擊而癱瘓。 來自不道德商業(yè)競爭對手的攻擊比人們想象中的更為普遍。一項行業(yè)調(diào)查發(fā)現(xiàn),對美國企業(yè)的所有DDoS攻擊有一半以上是由競爭對手發(fā)起的,以得到不正當(dāng)?shù)纳虡I(yè)優(yōu)勢。 意識形態(tài)攻擊可能由政府機構(gòu)或草根黑客積極分子發(fā)起。黑客積極分子通過阻塞高知名度的組織或網(wǎng)站來讓自己出名,以表達不同的政見或抵觸的做法。也許當(dāng)今最臭名昭著的黑客積極分子的例子之一是松散的團體“無名氏(Anonymous)”,其聲稱自己的職責(zé)(和名聲)是黑掉知名組織,像聯(lián)邦調(diào)查局和中央情報局等的網(wǎng)站,并已經(jīng)瞄準(zhǔn)了遍及六大洲的25個國家的網(wǎng)站。 下一個受害者是誰? 因為黑客積極分子的攻擊日程很不穩(wěn)定、無法預(yù)測,任何公司都有可能被當(dāng)做最新熱點的象征,受到黑客的攻擊。知名度高的組織(比如Facebook)或活動(比如奧運會、歐洲杯或美國大選)的網(wǎng)站極易成為攻擊目標(biāo)。 而對于由政府發(fā)起的網(wǎng)絡(luò)戰(zhàn)DDoS攻擊,易受襲擊的就不止是政府目標(biāo)了。這些攻擊也可能瞄準(zhǔn)提供關(guān)鍵基礎(chǔ)設(shè)施、通訊和運輸服務(wù)的關(guān)聯(lián)供應(yīng)商,或者試圖損壞關(guān)鍵業(yè)務(wù)或金融交易服務(wù)器。 基于云的服務(wù)現(xiàn)在也特別容易遭受針對性的攻擊。因為需要進行過量計算或事務(wù)處理的網(wǎng)站(比如綜合性的搜索引擎或數(shù)據(jù)挖掘網(wǎng)站)非常迫切地需要資源,它們也是DDoS攻擊的首選目標(biāo)。 IT部門能做什么 顯然,IT部門需要提高警惕,先發(fā)制人,抵御DDoS攻擊。行業(yè)分析公司加特納(Gartner)指出,“當(dāng)企業(yè)依賴于互聯(lián)網(wǎng)連接的可用性時,DDoS攻擊防護應(yīng)該成為商業(yè)連續(xù)性/災(zāi)難恢復(fù)規(guī)劃的一個標(biāo)準(zhǔn)部分,并納入所有的互聯(lián)網(wǎng)服務(wù)采購計劃。”要有效做到這一點,一家企業(yè)必須在面對DDoS攻擊時得到預(yù)先示警,做好準(zhǔn)備充分,并具備應(yīng)對的彈性。 IT部門需要得到預(yù)警 簡單來說,IT部門應(yīng)該知道誰是網(wǎng)絡(luò)服務(wù)提供商(ISP)。IT部門應(yīng)該與服務(wù)提供商攜手合作,制定好有效的應(yīng)急預(yù)案。在許多情況下,網(wǎng)絡(luò)服務(wù)提供商可能成為抵御DDoS攻擊的第一條防線。 IT應(yīng)該清楚自身的薄弱環(huán)節(jié)。一個準(zhǔn)備充分的IT組織應(yīng)該能夠識別最容易被DDoS攻擊覆沒的網(wǎng)絡(luò)部分,比如互聯(lián)網(wǎng)管道、防火墻、入侵防御(IPS)、負載平衡器或服務(wù)器。此外,IT部門需要密切監(jiān)視這些可能在攻擊下陷入癱瘓的部分,并且評估是否需要升級或優(yōu)化其性能和彈性。 最后,IT部門應(yīng)該了解自身的通信情況。IT部門無法控制其無法看到的事物。因此,IT部門應(yīng)該掃描和監(jiān)視進出流量,以便看到異常的通信量或模式,并通過這些異常確定目標(biāo)網(wǎng)站或發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)的僵尸網(wǎng)絡(luò)。為了做好充分準(zhǔn)備,IT部門也需要查看7層的通信流量,以確定和控制混合的、應(yīng)用程序?qū)拥腄DoS攻擊。 IT部門需要常備不懈 IT組織應(yīng)該在評估和部署適當(dāng)?shù)膽?yīng)對產(chǎn)品和服務(wù)上大力投資。例如,一些下一代防火墻具備集成入侵探測和應(yīng)對已知DDoS攻擊預(yù)防對策,只需有持續(xù)提供最新簽名,就能自動更新。 理想情況下,IT部門需要防火墻深入掃描出站和入站的通信流量——包括查看應(yīng)用程序——并且監(jiān)控可疑模式,以及向管理層示警。IT部門應(yīng)該確定防火墻解決方案可以根據(jù)識別的模式、通信量或特征,通過阻斷、過濾或重新定向,對DDoS攻擊實施補救。 為了綜合性通信智能,IT部門也可以考慮安裝流量分析軟件,這些軟件能夠按照不同應(yīng)用程序或用戶檢查使用數(shù)據(jù)、在不同的時間段查看數(shù)據(jù),并且關(guān)聯(lián)多個來源的通信數(shù)據(jù),比如NetFlow和IPFIX。 展望未來,IT部門的領(lǐng)導(dǎo)應(yīng)該時時關(guān)注新興技術(shù),以便將其納入武器庫。例如IP地理定位,這種技術(shù)可以幫助識別入站數(shù)據(jù)包的可疑地理來源。 IT部門應(yīng)該具有彈性 如上所述,拒絕服務(wù)攻擊是建立在系統(tǒng)覆沒和堵塞上的。只要有可能,IT部門應(yīng)該憑借高冗余、高性能的組件,以及基于政策的帶寬管理,提高網(wǎng)絡(luò)的彈性。 例如,某些下一代防火墻可以結(jié)合大規(guī)模擴展多核設(shè)計和近線速深層數(shù)據(jù)包掃描技術(shù),實現(xiàn)多重威脅和應(yīng)用同步掃描、對所有大小文件的分析和數(shù)千兆速度的連接。這類防火墻可以針對的受到攻擊進行最佳性能和靈活性配置,帶有主動/主動高可用性(HA)故障轉(zhuǎn)移、應(yīng)用智能和控制,以及帶寬優(yōu)先化。 結(jié)束語 如果一家組織的業(yè)務(wù)遍布互聯(lián)網(wǎng),那么,它成為DDoS攻擊的目標(biāo)將不是會與不會的問題,而是何時的問題。不過,IT部門有很多可以采取的措施,盡量減少和避免這種影響。IT組織應(yīng)該與公司領(lǐng)導(dǎo)層密切配合,提早警示自身的薄弱部分,準(zhǔn)備好相應(yīng)的對策,并憑借高性能、高冗余的網(wǎng)絡(luò)安全組件來靈活地抵御攻擊。 本文出自:億恩科技【mszdt.com】 服務(wù)器租用/服務(wù)器托管中國五強!虛擬主機域名注冊頂級提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |