| 摘要:近年来,大多数公司都将拒绝服务攻击认为是可接受的威胁,因为成为这种攻击的受害者的可能性以及对企业造成的影响都相对比较小。然而,近日这种类型的攻击却越来越普遍,导致很多企业重新思考这种风险影响。首席执行官关心的是收入损失以及负面新闻;IT部门对崩溃的应用程序和长时间加班感到烦恼。 |
在某些情况下,分布式工具可能会改变他们的要求。但是,一般情况下,你会看到对相同的资源的请求,来自相同的来源,组合在一起,例如对不存在的网址反复发送请求。确定攻击使用的请求。如果在所有攻击节点都是相同的,你将能够找到攻击者,区分合法流量。
你只要弄清楚了请求的样式,你就能确定攻击者。找到发送最高量和最快请求的攻击节点,这些都是比较大的攻击者。知道最常见的请求以及其来源后,你就可以开始行动了。
笔者经常听到重命名被感染资源(例如URL或者主机名)的建议,但这样只会导致攻击者重构他们的攻击,或者攻击新的资源。
这种策略只有当攻击者调用合法的web应用程序URL(执行一些资源密集型工作,例如大型数据库查询)才行得通。在这种情况下,修改应用程序,执行屏幕确认或者执行攻击者的工具无法理解的重定向(例如CAPTCHA或者具有用户确认和重定向的Flash应用程序)可以减小攻击的影响。不幸的是,在大多数情况下,攻击者只会改变他们的攻击。
在尝试过这些初始步骤后,下一步应该是来源过滤、连接和速率限制。如果我们可以阻止最大的攻击者并减慢其他攻击者,那么我们就可以大大减小攻击的影响。为了成功发动攻击,攻击者的节点必须超过我们的生产集群在给定时间内所能够处理的请求数量。如果我们能够阻止一些攻击节点,那么我们就可以减少系统的负载,让我们有时间阻止更多攻击,通知网络供应商,转移服务等。
为了保护大部分基础设施,最好尽可能的在靠近网络边缘的位置应用过滤器。如果你可以说服网络服务供应或者数据中心在他们的设备部署过滤器,将更便于阻止攻击。
如果你必须在你的设备上部署过滤器,或者你需要等待上游供应商的响应才能开始,那么则可以从边缘设备开始,逐渐向后蔓延。使用所有合适的工具来过滤请求,减小对系统的影响。路由器、负载平衡器、IPS、web应用程序防火墙,甚至系统本身都可以拒绝部分请求。
第一个过滤器应该过滤来自发送最多请求的攻击者的所有连接。向你的访问控制列表(ACL)应用此规则。当然,边缘设备不应该接受发送到其接口的流量,并且不应该响应数据包。如果它们这样做的话,将会成为攻击者额外的攻击目标。
接下来,根据来源来限制连接的速率。这能够阻止来自超过连接限制的主机的任何新连接请求。查看日志,将速度限制设置为低于每个间隔发送请求的平均数量。
如果你不确定那些日志条目是攻击者,哪些是合法的,则可以使用最大请求发送者的请求速率作为出发点。因为最大发送者发送请求的速率肯定大于平均值。
此外,你还可以调整主机和边缘设备以更快的速度来清除空闲会话以获取更多资源。但是不能太过头,以免花费太多资源来建立和拆除连接。
通过阻止来源和限制速率,已经能够大大缓解攻击的影响。如果攻击者仍然继续攻击,看不到尽头,IT团队则应该将重点转移到保护其他企业资源上。
通常情况下,攻击者会针对一个特定的主机,应用程序或网络。转移这些资源的流量到另一个位置,或者阻止流量,将可以保存后端系统的负载,但是也会影响你的服务,这也正是攻击者的目标。
将受到攻击的服务与其他服务进行分隔也是个好主意。如果能够分离感染的服务的话,至少企业不会完全崩溃。
如果你通过互联网提供服务,那么你就是一个潜在的DDoS攻击目标。这种攻击袭击你的企业的可能性取决于你的企业经营方式、攻击者的突发奇想或者企业的竞争对手。缓解攻击的最佳方法是确保您有足够的能力,冗余站点,商业服务分离以及应对攻击的计划。
责任编辑:Lily
评论表单加载中...
