如何减小DDoS攻击的 发生率和破坏力?
  毫无疑问,近期策划重大DDoS攻击的 那些人对互联网的内部运作原理有着深入了解。由于攻 击者对这些专业知识的掌握了解,以及一 些重要互联网协议缺少基本安全保障,导致当 谈到保护企业自身安全和防范这种类型的攻击时,许多的企业处于劣势。

  这就是 为什么许多企业、政策和 行业组织一直致力于制定广泛的行业计划,减小危害巨大的DDoS攻击的发生率。在大多数国家,已通过了宣布DDoS攻击为非法的法律,比如美国的《计算机 欺诈和滥用法案》以及英国的《计算机滥用法案》,但是立 法对网络犯罪起不了多大的威胁效果。

  本文将 主要探讨如何减小DDoS攻击的 发生率和破坏力,以及如 何结合使用内部和基于云的DDoS缓解控制措施,尽量减小日益复杂的DDoS攻击对 企业业务造成的干扰和破坏。

  评估DDoS攻击的威胁

  DDoS攻击的破坏力很大,足以威 胁到整个国家的关键基础设施,这个事 实可以解释为何诸多政府部门在开始要求:必须制定DDoS缓解方案。比如说,受联邦 金融机构检查委员会监管的金融机构现在必须监控无无遭到DDoS攻击,要有随 时就能激活的事件响应方案,并确保 在攻击持续期间有足够的人手,包括求 助事先签好的第三方服务,如果有的话。还鼓励 金融机构将攻击方面的详情上报金融服务信息共享和分析中心以及执法部门,帮助其 他机构识别和缓解新的威胁及手法。

  针对DDoS攻击等 网络威胁的全球合作在加强。由于僵 尸网络是一大威胁及常见的DDoS武器,联邦调查局(FBI)和国土安全部与另外100多个国 家共享了他们认为被感染了DDoS恶意软 件的成千上万台计算机的IP地址。白宫网络安全办公室、商务部、国土安 全部以及行业僵尸网络组织也在紧密地合作,共同对 付和打击僵尸网络。打掉僵 尸网络无疑有助于改善安全形势,但这是 一项永远不会结束的任务。

  实施DDoS缓解控制措施,对DDoS攻击说不!

  针对分 布式拒绝服务的缓解方案不可忽视,因为这 种攻击的频率和复杂性给更多的企业组织构成了威胁。如今的DDoS攻击结 合了大强度的蛮力攻击和应用程序层攻击,尽量造 成最大程度的破坏,并躲避检测机制。有些DDoS攻击利 用了成千上万中招的系统或Web服务,会给企 业在成本和声誉方面极其重大的破坏,拒绝服 务日益成为高级针对性攻击的一部分。好消息是,你可以使用好多工具,尽量减 小这种类型的攻击给客户和收入造成的影响。

  想缓解DDoS,首先就 要确保你已定义了事件响应流程,并且明确了责任,这就需 要多个小组通力合作。DDoS防范规 划需要安全团队与网络操作人员、服务器 管理员和桌面支持人员以及法律顾问和公关经理携起手来。

  一旦DDoS事件响 应方案落实到位,你就可 以关注四大方面的DDoS缓解控制措施,尽量减小DDoS攻击给 业务造成的干扰和破坏。在此按 重要性顺序排列:

  •互联网服务提供商(ISP)。大多数ISP都有“洁净的网络管道”(Clean Pipe)或DDoS缓解服务,收费通 常要比标准的带宽成本高一些。基于ISP的服务 对许多中小企业来说很管用,也符合 预算方面的要求。别忘了一点:云服务 提供商和主机托管商也是ISP。

  •DDoS缓解即服务提供商。如果你有多家ISP,第三方DDoS缓解即 服务提供商也许是一种更明智的选择,不过基 于云的服务通常成本更高。如果改变DNS或BGP路由,让攻击流量通过DDoS SaaS提供商来发送,你就能 过滤掉攻击流量,无论哪家ISP来为你处理。

  •专用的DDoS缓解设备。你可以 在互联网接入点部署DDoS缓解设备,以此保 护服务器和网络。不过,蛮力攻 击可能仍会耗尽你的所有带宽――即使服务器没有崩溃,客户们 仍无法正常访问。

  •基础设施部件:比如负载均衡系统、路由器、交换机和防火墙。依赖贵 企业的操作基础设施来缓解DDoS攻击是 注定失败的策略,只能对 付最软弱无力的攻击。然而,这些部件在协同缓解DDoS方面却能够发挥作用。

  大多数 企业需要外部服务和内部DDoS缓解能力结合起来。对你员 工的技能水平作一个切合实际的评估――要是你手下有IT安全人 员能检测并分析威胁,先从内部DDoS缓解开始入手,然后逐渐完善策略,加入外部服务。要是你 没有足够的人手或者所需的技能组合,不妨从 外部服务开始入手,考虑将来添加托管CPE(用户端设备)缓解能力。

  无论你 最后选择了哪种架构,每年都 要至少测试两次DDoS缓解控制措施。如果你 借助外部服务提供商,就要核对路由和DNS方面的变化,确保流 量会传送到外部服务,不会有重大干扰――另外还 要确保能顺利切回到直接路由。网络配置和DNS路由在 正常操作期间常常变动――你要在实际的DDoS攻击之 前弄清楚这一点。

  防止DDoS攻击

  想防止DDoS攻击,长期的 解决办法就是加强攻击者用来发动攻击的互联网协议,并且要求升级系统,以便得益于最佳实践。比如说,许多DDoS攻击之所以能得逞,就是因 为攻击者通常借助上当受骗的源IP地址来生成流量。IETF Best Common Practices文档BCP 38建议:网络操 作人员应对从下游客户进入其网络的数据包进行过滤,丢弃源 地址不在其地址范围内的任何数据包。这样可 以让黑客无法发送声称来自另一个网络的数据包(即欺诈攻击)。不过,按BCP 38的要求 来做需要一笔支出,却没有 立竿见影的效果,因而尽 管有益于更广泛的社区,却没有全面实施起来。

  网络管 理员们可以确保自己遵守其他最佳实践,从而加 强互联网的总体安全。比如说,他们应 该熟悉国土安全部颁布的DDoS快速指南(DDoS Quick Guide),还应该 落实开放解析器项目(Open Resolver Project)等项目给予的建议。开放解 析器可以回复针对域外主机的递归查询,因而用于DNS放大DDoS攻击中。该项目已列出了2800万个构 成重大威胁的解析器,并提供了详细指导,教人们如何配置DNS服务器,以减小DNS放大攻击的威胁。

  与往常一样,若能确 保已安装了软件的最新版本,系统不 大容易受到黑客的攻击,黑客经 常企图利用其资源作为DDoS攻击的一部分。

  虽然金 融机构等大企业是某些攻击者眼里的明显目标,但它们 至少有财力和资源来采用最新的安全技术和最佳实践。不过,资源有 限的小企业仍然面临可能很强大的对手。这也是 谷歌启动护盾项目(Project Shield)的原因之一:

好让那些运行新闻、人权或 选举方面网站的组织机构可以通过谷歌庞大的DDoS缓解基 础设施来发布其内容。这种类 型的计划主要旨在确保潜在的受害者有足够的资源来抵御攻击,从而消除DDoS攻击的影响。

  全面共享DDoS缓解资源、实施行 业最佳实践可能很费时间和资源,而且可 能无法立即带来回报,但是互 联网是个整体性的社区项目,打击DDoS攻击是 大家共同的责任。除非人人都出一份力,否则再 多的计划也无法让我们摆脱该死的DDoS攻击。

标签: 济南网站建设 济南网站推广 济南手机网站 济南微信网站 DDOS攻击 转载请注明来自http://www.

  • QQ咨询:
  • 手 机:13105316892(马经理)
  • 电 话:13105316892
  • 邮 箱:1070239262@qq.com
友情链接:    大发系统彩票   678彩票   久盛棋牌   荣耀棋牌娱乐   现金扎金花