多管齊下,防御拒絕服務(wù)攻擊
勒索軟件和資料外泄可能是最受關(guān)注的,但是拒絕服務(wù)(Denial-of-service, DoS)攻擊的案例正在增加。那么我們可以做什么來減少它們帶來的影響呢?
聽過一句古話叫做“重?zé)ㄉ鷻C”嗎?好吧,拒絕服務(wù)攻擊正好印證了這句話。事實上,拒絕服務(wù)攻擊(或者稱之為DoS)的使用數(shù)量正在增加。阿卡邁科技最近的一份報告顯示,在2016年的第一個季度DoS攻擊數(shù)量與2015年同比增長了125%。與此同時,一份來自Verizon的最新報告顯示,受DoS影響的行業(yè)包含了國有企業(yè)、零售業(yè)、金融服務(wù)業(yè)和學(xué)校——所有這些行業(yè)都需要抵御拒絕服務(wù)攻擊的措施。
盡管DoS攻擊沒有像勒索軟件、Point-of-Sale(POS)攻擊或者零售數(shù)據(jù)泄露那么引人注目,但是它能影響的用戶數(shù)也是很多的。讓這些攻擊一直這么流行的原因是他們很容易被觸發(fā),并且很難完全地防護它們。DoS攻擊只是針對應(yīng)用可用性,攻擊者可以很簡單地將服務(wù)中斷。
使用新的方式進行DoS攻擊
學(xué)生們也發(fā)現(xiàn)了DoS攻擊的威力了,一些學(xué)生黑客使用這項技術(shù)來簡單地逃避將要進行的考試。他們使用DoS攻擊應(yīng)用服務(wù)器幾個小時,就不再需要擔(dān)心考試不通過了。這種方法如此簡單的原因是DoS產(chǎn)品很簡單而且便宜,并且可以在網(wǎng)上買到,你甚至不需要到“暗網(wǎng)”上去買。只要簡單地搜索一下這個術(shù)語,網(wǎng)站就會返回很多DoS的服務(wù)。很多這些booter網(wǎng)站支持通過信用卡,Paypal,Western Union和比特幣進行付款。
顯而易見,這樣的門檻是很低的,因此任何人都可以發(fā)起一個DoS來攻擊你的公司。因此,在攻擊發(fā)生之前部署拒絕服務(wù)防衛(wèi)計劃是非常重要的。這個計劃會在被攻擊之前解決誰來進行響應(yīng)、響應(yīng)的內(nèi)容是什么以及會執(zhí)行哪些防護措施會等問題。要減少任何潛在的損害,你需要盡早定位和檢測到要受到的攻擊。
流量的隔離
識別和檢測技術(shù)是基于的是檢測和區(qū)別合法流量及非法流量的能力。行為分析是最常見的一種技術(shù),行為分析通過記錄平均包速率來將有差異的包進行標記。這種方法會在有問題發(fā)生的時候提醒你。變點檢測是另一個有用的技術(shù),這項技術(shù)使用統(tǒng)計數(shù)據(jù)和對累積和的估算來定位和識別真實和網(wǎng)絡(luò)流量以及預(yù)期的網(wǎng)絡(luò)流量。
增大帶寬和部署負載均衡器是兩個很重要的步驟。事實是,你應(yīng)該總是擁有比你想象需要更多的帶寬才對。這不只是針對于DoS來說,其他合理的事件也會導(dǎo)致流量的突發(fā)。擁有額外的帶寬可以幫助吸收攻擊,以及可以為防御響應(yīng)爭取更多的時間。同步服務(wù)器可以提供額外的自動防故障保護。這種拒絕服務(wù)防御策略的想法是將流量負載到多服務(wù)器架構(gòu)的不同服務(wù)器上,以此來進一步減輕攻擊帶來的傷害。
減緩請求來保護你的網(wǎng)絡(luò)
限流是另一個有用的技術(shù)。限流減緩每一個用戶的請求數(shù)量,還可能可以對短時間太多的嘗試進行限制。你應(yīng)該考慮阻攔一些無效的地址。你可能有時候會聽說這種稱之為bogon and martian packet filtering的做法。這些簡單來說就是一些無效的地址,比如說無用的地址、loopback地址和網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)地址。
不要忘了回顧一下RFC 2827和3704的標準。RFC 2827不會對DoS攻擊進行保護,但是它能阻止攻擊者在你的網(wǎng)絡(luò)使用偽造的源地址,而這些源地址是不會被防火墻規(guī)則所過濾的。你需要部署拒絕服務(wù)攻擊的防御技術(shù)。RFC 3704也是通過拒絕偽造地址帶來的流量限制DoS攻擊帶來的影響。RFC 3704也保證了流量是可以追蹤到它的正確的源地址的。更謹慎點,你可以和你的因特網(wǎng)服務(wù)供應(yīng)商(ISP)討論一下他們提供的黑洞過濾和DoS防御服務(wù)。黑洞過濾是一種在路由層面將數(shù)據(jù)包丟棄的技術(shù),可以動態(tài)實現(xiàn)它的功能,以快速抵御DoS攻擊。
所有的拒絕服務(wù)攻擊防御措施都可以限制DoS攻擊帶來的損害,但是這并不能阻止別人惡意地去攻擊你的網(wǎng)絡(luò)。要充分做好準備,你需要有一份應(yīng)急響應(yīng)計劃、部署額外的帶寬、黑洞虛假流量和考慮從ISP那購買DoS硬件和服務(wù)。最糟糕的情況是你什么都不準備,而是等待DoS攻擊來臨的時候采取想響應(yīng)的方法。
