勒索软件和资料外泄可能是最受关注的,但是拒绝服务(Denial-of-service, DoS)攻击的案例正在增加。那么我们可以做什么来减少它们带来的影响呢?
听过一句古话叫做“重焕生机”吗?好吧,拒绝服务攻击正好印证了这句话。事实上,拒绝服务攻击(或者称之为DoS)的使用数量正在增加。阿卡迈科技最近的一份报告显示,在2016年的第一个季度DoS攻击数量与2015年同比增长了125%。与此同时,一份来自Verizon的最新报告显示,受DoS影响的行业包含了国有企业、零售业、金融服务业和学校——所有这些行业都需要抵御拒绝服务攻击的措施。
尽管DoS攻击没有像勒索软件、Point-of-Sale(POS)攻击或者零售数据泄露那么引人注目,但是它能影响的用户数也是很多的。让这些攻击一直这么流行的原因是他们很容易被触发,并且很难完全地防护它们。DoS攻击只是针对应用可用性,攻击者可以很简单地将服务中断。
使用新的方式进行DoS攻击
学生们也发现了DoS攻击的威力了,一些学生黑客使用这项技术来简单地逃避将要进行的考试。他们使用DoS攻击应用服务器几个小时,就不再需要担心考试不通过了。这种方法如此简单的原因是DoS产品很简单而且便宜,并且可以在网上买到,你甚至不需要到“暗网”上去买。只要简单地搜索一下这个术语,网站就会返回很多DoS的服务。很多这些booter网站支持通过信用卡,Paypal,Western Union和比特币进行付款。
显而易见,这样的门槛是很低的,因此任何人都可以发起一个DoS来攻击你的公司。因此,在攻击发生之前部署拒绝服务防卫计划是非常重要的。这个计划会在被攻击之前解决谁来进行响应、响应的内容是什么以及会执行哪些防护措施会等问题。要减少任何潜在的损害,你需要尽早定位和检测到要受到的攻击。
流量的隔离
识别和检测技术是基于的是检测和区别合法流量及非法流量的能力。行为分析是最常见的一种技术,行为分析通过记录平均包速率来将有差异的包进行标记。这种方法会在有问题发生的时候提醒你。变点检测是另一个有用的技术,这项技术使用统计数据和对累积和的估算来定位和识别真实和网络流量以及预期的网络流量。
增大带宽和部署负载均衡器是两个很重要的步骤。事实是,你应该总是拥有比你想象需要更多的带宽才对。这不只是针对于DoS来说,其他合理的事件也会导致流量的突发。拥有额外的带宽可以帮助吸收攻击,以及可以为防御响应争取更多的时间。同步服务器可以提供额外的自动防故障保护。这种拒绝服务防御策略的想法是将流量负载到多服务器架构的不同服务器上,以此来进一步减轻攻击带来的伤害。
减缓请求来保护你的网络
限流是另一个有用的技术。限流减缓每一个用户的请求数量,还可能可以对短时间太多的尝试进行限制。你应该考虑阻拦一些无效的地址。你可能有时候会听说这种称之为bogon and martian packet filtering的做法。这些简单来说就是一些无效的地址,比如说无用的地址、loopback地址和网络地址转换(NAT)地址。
不要忘了回顾一下RFC 2827和3704的标准。RFC 2827不会对DoS攻击进行保护,但是它能阻止攻击者在你的网络使用伪造的源地址,而这些源地址是不会被防火墙规则所过滤的。你需要部署拒绝服务攻击的防御技术。RFC 3704也是通过拒绝伪造地址带来的流量限制DoS攻击带来的影响。RFC 3704也保证了流量是可以追踪到它的正确的源地址的。更谨慎点,你可以和你的因特网服务供应商(ISP)讨论一下他们提供的黑洞过滤和DoS防御服务。黑洞过滤是一种在路由层面将数据包丢弃的技术,可以动态实现它的功能,以快速抵御DoS攻击。
所有的拒绝服务攻击防御措施都可以限制DoS攻击带来的损害,但是这并不能阻止别人恶意地去攻击你的网络。要充分做好准备,你需要有一份应急响应计划、部署额外的带宽、黑洞虚假流量和考虑从ISP那购买DoS硬件和服务。最糟糕的情况是你什么都不准备,而是等待DoS攻击来临的时候采取想响应的方法。
作者:Michael Gregg
来源:51CTO
