DDoS 攻击比以往任何时候都更大、更凶猛,可以随时攻击任何人。根据Verizon 最新的 DDoS 趋势报告,与去年相比,2018 年上半年的攻击峰值规模增长了 111%。赛门铁克赛门铁克安全响应中心的威胁研究员 Candid Wueest 说:“攻击者掌握了越来越多的机器,他们可能会滥用这些机器进行 DDoS 攻击。”

即使最近国际僵尸网络运营商备受瞩目,但在其他僵尸网络接管之前的几个月内,活动可能会略有减少。“在赛门铁克,我们与执法部门合作并帮助他们取缔僵尸网络,”他说。“不幸的是,利用新的物联网——路由器、闭路电视摄像机和所有这些设备,摆脱所有这些设备并不真正可行。大多数人甚至不知道他们的物联网设备是否被用于攻击。”

2 月份,GitHub 遭受了每秒 1.35 TB 的攻击,这是有史以来最大的一次攻击。十分钟内,其 DDoS 缓解供应商 Akamai Prolexic 就开始工作。八分钟后,攻击者放弃了。该记录在下个月被打破​,Netscout Arbor 报告了​针对一家美国公司的 1.7 Tbps 攻击,但​由于部署​了缓解防御措施,因此没有报告中断。Wueest 说,此类攻击规模太大,任何公司都无法独自应对。

据 Verizon 称,攻击变得越来越复杂,现在有 52% 的攻击采用了多种攻击媒介。“他们可能从一种攻击方法开始,然后当你缓解它时,切换到另一种,”Wueest 说。“他们可以多次这样做,因为他们可以使用很多不同的攻击方法。”

一旦有人想出新的攻击方法,犯罪分子就会立即寻找将其货币化的方法,或者将其包含在他们的僵尸网络工具包中。“DDoS 市场的运作方式与我们看到的其他犯罪市场类似,”Sophos Ltd. 的首席研究科学家 Chet Wisniewski 说,“没有什么坏主意是没有回报的。”

考虑到这一点,我们收集了一些必要的建议,以防止 DDoS 攻击。

1. 准备好 DDoS 缓解计划

组织必须尝试预测应用程序和网络服务对手将针对的应用程序和网络服务,并起草应急响应计划以减轻这些攻击。“企业更加关注这些攻击并计划他们将如何响应。而且他们越来越擅长收集自己的内部攻击信息以及他们的供应商为帮助对抗这些攻击而提供的信息,”Chip Tsantes 说,安永会计师事务所信息安全咨询服务负责人。

IBM 金融部门安全策略师 Lynn Price 对此表示赞同。“组织在响应方面变得越来越好。他们正在整合他们的内部应用程序和网络团队,他们知道什么时候需要升级攻击响应,这样他们就不会措手不及。所以随着攻击者变得越来越老练,所以是金融机构,”她说。

“如果确实发生了影响业务的 DDoS 攻击,包括良好的公共消息传递,还应该制定灾难恢复计划和经过测试的程序。数据中心服务提供商 Cyxtera 的首席网络安全官 Chris Day 表示,基础设施在类型和地域方面的多样性也有助于缓解 DDoS 以及与公共和私有云的适当混合。

“任何大型企业都应该从具有多个 WAN 入口点的网络级保护开始,并与大型流量清理提供商(例如 Akamai 或 F5)达成协议,以在攻击到达您的边缘之前减轻和重新路由攻击。没有任何物理 DDoS 设备可以跟上 WAN 速度攻击,因此必须首先在云中清理它们。BeyondTrust 的技术研究员 Scott Carlson 说:“确保您的运营人员制定了适当的程序,可以轻松地重新路由流量以进行清理,并对饱和的网络设备进行故障转移。”

2. 实时调整

虽然企业需要能够实时调整以应对 DDoS 攻击一直是事实,但当 2012 年和 2013 年金融服务和银行业遭受一波攻击浪潮时,这种情况变得越来越多,其中包括 Bank of美国、第一资本、大通银行、花旗银行、PNC 银行和富国银行。这些攻击既无情又复杂。Arbor Networks 美洲解决方案架构师 Gary Sockrider 说:“这些攻击不仅是多向攻击,而且策略会实时改变。” 攻击者会观察网站如何响应,当网站重新上线时,黑客会调整新的攻击方法。

“他们很坚决,他们会在一些不同的端口、协议或新来源上攻击你。总是改变策略,”他说。“企业必须准备好像他们的对手一样快速和灵活。”

3. 使用 DDoS 保护和缓解服务

CynergisTek 网络安全战略副总裁 John Nye 解释说,企业可以自己做很多事情来准备在这些攻击发生时进行调整,但使用第三方 DDoS 保护服务可能是最实惠的途径。“监控可以在企业内部完成,通常在 SOC 或 NOC 中进行,以观察过多的流量,如果它与合法流量有足够的区别,则可以在 Web 应用程序防火墙 (WAF) 或其他技术解决方案中阻止它。虽然可以构建更强大的基础设施来处理更大的流量负载,但这种解决方案比使用第三方服务的成本要高得多,”Nye 说。

Cyxtera's Day 同意 Nye 的观点,即企业应该考虑获得专业帮助。“企业应该与 DDoS 缓解公司和/或其网络服务提供商合作,以具备缓解能力或至少准备好在发生攻击时快速部署。”

Nye 补充道:“如果企业的 Web 存在对其业务至关重要,那么企业可以做的最有用的第一件事就是使用第三方 DDoS 保护服务。在这种情况下,我不会推荐任何特定的供应商,因为最好的选择是视情况而定,如果企业正在考虑使用这样的服务,他们应该彻底调查这些选项。”

今年,供应商提供的保护水平显着提高——今年创纪录的攻击可用的保护就是例证。缓解供应商也越来越多地相互合作,与互联网服务提供商和执法部门合作,在问题到达目标受害者或沿途堵塞互联网管道之前很久就解决上游的问题。

一家 DDoS 缓解提供商 Cloudflare 已将其存在点——他们在上游、ISP 和其他关键位置安装的设备——从去年此时的 118 个扩展到今天的 156 个。该公司总法律顾问 Doug Kramer 表示,同期,该公司保护的网站数量从 700 万个增加到 1200 万个。

Cloudflare 最近因拒绝取消对一些新纳粹网站的保护而成为新闻,但它对将 DDoS 攻击者踢出其网络并没有这种疑虑。“我们与许多其他团队合作,例如 AWS、Akamai、Google 和 Palo Alto Networks 的人员,”Kramer 说。“尽管我们可能是商业领域的竞争对手,但我们共同努力追踪这些东西并将其关闭。”

然而,由于网站宣传危险内容,这是一个审查问题,他说。“我们的方法是避免成为审查员,所以我们将遵循法庭程序。如果我们得到法庭裁决,我们将停止服务或法庭要求的任何事情。但如果我们发现具有网络攻击性质的活动,我们会采取一种不同的方法。如果我们网络上有人发起 DDoS 攻击,我们将尽快采取行动禁用服务。”

4. 不要只依赖外围防御

将修复系统尽可能地推向上游是成功应对 DDoS 攻击的主要因素。几年前,在报道金融服务公司遭受的 DDoS 攻击时,我们采访的每个人都发现,他们传统的本地安全设备——防火墙、入侵防御系统、负载平衡器——无法阻止这些攻击。

“我们看到这些设备出现故障。那里的教训非常简单:你必须有能力在 DDoS 攻击到达这些设备之前缓解它。它们很容易受到攻击。它们和你试图攻击的服务器一样容易受到攻击保护,”Sockrider 在谈到几年前对银行和金融服务的攻击时说。部分缓解工作将不得不依赖上游网络提供商或托管安全服务提供商,这些提供商可以在远离网络边界的地方中断攻击。

当您面临大量攻击时,减轻上游的攻击尤为重要。“如果你的互联网连接是 10GB 并且你收到了 100GB 的攻击,那么试图在 10GB 大关上与之抗争是没有希望的。你已经被上游屠杀了,”Sockrider 说。

今年两起创纪录的袭击事件确实强调了这一点。Rapid7 的首席数据科学家 Bob Rudis 说,在那里,攻击者向易受攻击的 memcached 服务器发送欺骗请求,这些服务器用于加速网站和网络。“Memcached 之于拒绝服务攻击,就像氢弹之于传统战争一样,”他说。

他说,这些攻击并没有停止。根据最新的Rapid7 威胁报告,memcached 的每日连接数在 3 月份飙升至 10,000 左右,然后在 6 月份飙升至 50,000 以上,并在 9 月份飙升至 200,000 以上。“Memcached 攻击者还活着,并且继续为新系统盘点——互联网上仍然有很多新系统,”他说。

5. 在线对抗应用层攻击

对特定应用程序的攻击通常是隐蔽的、数量少得多且更有针对性。“它们的设计目的是在雷达下飞行,因此您需要在本地或数据中心进行保护,以便您可以执行深度数据包检查并查看应用层的所有内容。这是缓解此类问题的最佳方法攻击,”Sockrider 说。

Signal Sciences 战略、营销和合作伙伴关系副总裁 Tyler Shields 补充说:“组织将需要一种可以处理应用层 DoS 攻击的 Web 保护工具。” “具体地说,那些允许您对其进行配置以满足您的业务逻辑的。基于网络的缓解措施已不再足够,”他说。

Amir Jerbi 是容器安全公司 Aqua Security 的联合创始人兼首席技术官,他解释了您可以采取的防止 DDoS 攻击的步骤之一是通过将应用程序部署到多个公共云提供商来为应用程序添加冗余。“这将确保如果您的应用程序或基础设施提供商受到攻击,那么您可以轻松扩展到下一个云部署,”他说。

6. 合作

在这些攻击方面,银行业正在进行一些合作。他们透露的一切都受到精心保护并严格共享,但在有限的范围内,银行在协作方面比大多数行业做得更好。“他们相互合作,并与他们的电信供应商合作。他们直接与他们的服务供应商合作。他们必须这样做。他们不能孤立地工作并取得成功,”IBM 的 Price 说。

例如,当金融服务行业成为攻击目标时,他们转向金融服务信息共享和分析中心寻求支持并共享有关威胁的信息。“在其中一些信息共享会议中,[大]银行在谈论正在进行的攻击类型以及他们实施的证明有效的解决方案时非常开放。这样,大银行至少有Akamai Technologies 金融服务首席策略师 Rich Bolstridge 说。无论行业如何,金融部门的战略都可以而且应该在其他地方采用。

7. 注意二次攻击

尽管 DDoS 攻击的成本可能很高,但它们有时可能只是分散注意力,为更邪恶的攻击提供掩护。“对于来自另一个方向的更严重的攻击,DDoS 可能是一种转移策略。银行需要意识到,他们不仅要监控和防御 DDoS 攻击,而且还必须关注这样一种观念: DDoS 可能只是多方面攻击的一个方面,可能是为了窃取帐户或其他敏感信息,”Price 说。

8. 保持警惕

尽管很多时候 DDoS 攻击似乎只针对知名行业和公司,但研究表明这并不准确。随着当今互联的数字供应链(每个企业都依赖数十个甚至数百个在线供应商),通过攻击表达的在线激进主义增加,国家支持对其他国家的行业进行攻击,以及可以轻松发起 DDoS 攻击,每个组织必须将自己视为目标。

因此,准备好并使用本文中的建议作为启动点来构建您的组织自己的反 DDoS 策略。