摘要:近年来,大多数公司都将拒绝服务攻击认为是可接受的威胁,因为成为这种攻击的受害者的可能性以及对企业造成的影响都相对比较小。然而,近日这种类型的攻击却越来越普遍,导致很多企业重新思考这种风险影响。首席执行官关心的是收入损失以及负面新闻;IT部门对崩溃的应用程序和长时间加班感到烦恼。 |
在这种攻击中,大多数攻击中并不关心系统和应用程序是否崩溃了,虽然他们会对崩溃感到高兴,他们的主要目标是防止目标公司提供的服务响应来自合法用户的请求,为受害公司制造问题。
如果你有适当的监控技术,那么就很容易发现这些攻击。你的网络操作中心(NOC)会显示系统状态:带宽、每秒请求以及系统资源,如果突然或者在短时间内,所有这些趋势都上升,那么监控系统就会发出警报。
在典型的企业中,这些事件将会促使NOC的升级,并且IT团队也会赶紧招募适当的人来处理。管理层也会收到通知说网站和应用程序不正常,所有人都会思考为什么突然请求出现激增。
第一步是分析这些请求的日志。你想要知道请求了什么以及请求的来源。对比新的请求和正常流量来判断这些是否是合法负载。
如果你的企业已经将日志记录集中化管理,那么事情就很好办。但如果日志服务器跟不上,也超负载了,那么可能无法响应你对日志的搜索。如果攻击了你的应用程序,被感染服务器的日志可能无法发送到日志系统。你将要从攻击的开始传输了哪些数据进行分析。
获取日志后,打开归类工具和解析工具,来解析这些日志以了解攻击。
首先,你需要确定攻击是如何进行的。攻击是否发送数据到远程系统没有打开的端口,从而消耗防火墙资源?是否反复请求特定的URL?或者是否只是简单地发送Get/HTTP/1.1请求到web服务器?
通过企业监控,可以确定负载应用的位置。如果你的防火墙的负载很大,而web服务器没有,则说明是第一种类型的攻击。如果web服务器在处理请求方面速度很慢,防火墙在处理负载,比平时更高的资源利用率,那么web应用程序应该被直接攻击了。
知道攻击媒介后,将需要配合日志信息以确定几个关键因素。
通过查看日志,你可以确定攻击工具做了什么。无论请求发送给web应用程序还是由防火墙处理,你寻找的数据是相同的。
违反常规的请求。查看日志可以很清楚的看出攻击的部分,因为会有很高数量的类似请求或者请求样式组合在一起。例如,可能会有1万个请求试图访问一个URL,或者可能有个端口失效。