对付 DDoS 攻击,防御、响应需齐头并进

2018-02-09 09:25:00 作者:投稿 出处 : 比特网

  由于分布式拒绝服务(DDoS)攻击的广泛性和危害性,现在几乎所有企业都已经认识到并开始部署强大的防御措施来监测和缓解 DDoS 攻击。但是,并不是有了这些防御措施就可以高枕无忧。应对 DDoS 攻击,企业还需要认真制定事件响应方案和流程,否则在防御上的所有投入很容易化为乌有。

  曾有一家国际性网络公司就因此遭受到惨痛的教训。该公司把自己托付给了一家著名的DDoS托管服务公司,认为得到了很好的保护。然而,在一个星期天,公司相关关键员工不在岗,一系列容量耗尽攻击瞄准并最终攻破了它。只有少数高级别员工联系到了DDoS服务供应商来处理事件,但不幸的是,一切都太晚了。等他们发现问题后,公司内部团队和服务供应商还拨错了会议电话号码,进一步延迟了对事件的响应。结果,缓解措施生效时为时已晚,游戏服务宕机超过90分钟。网络游戏玩家要的是高质量、超快速的服务,不能接受无法连网,完全可能去别的游戏网站。这一事件导致这家游戏公司至少损失了100万美元的收入。此外,还有客户关系的受损,以及为留住这些玩家要进行的推广等费用这些都是DDoS成功攻击后造成的其他长期后果。

  DDoS服务供应商会出现什么问题?

  到底哪里出了问题?与一家著名的DDoS保护服务供应商签署了协议后,这家安全工作人员很少的游戏公司感到很安全。他们没有充分意识到,而且DDoS服务供应商也没有解释清楚的是,速度是事件响应和成功缓解威胁的关键因素。

  安全部门从未受过培训;也没有针对这类不测事件进行过实践演练。所有信息的传递和转换都只是取决于某一两个人的知识和权威。

  对于DDoS攻击,事件响应往往会滞后。那么,一个有效的事件响应流程应该是什么样子?把它分为六步就很清楚了,需要注意的是,这六个阶段不应该是线性,而应该是循环的。

  第一步:准备

  这可能是最困难但也是最重要的阶段,因为它奠定了基础。如果没有充分的准备,失败几乎是必然的。在攻击过程中,没有时间去弄清楚怎么进行响应。

  首先,建立团队并分配职责。通常来说应对高级威胁是安全运营部门的责任,DDoS防御则由网络部门负责,而不是安全部门。在攻击期间,打破这些壁垒对于沟通至关重要。应该建立上下游关系以及沟通流程——规定谁给谁打电话,为什么等等。

  第二步:识别

  缺乏网络可见性,企业就缺乏必要的信息,不知道糟糕的服务或者应用程序性能下降是DDoS攻击数据流造成的还是网络错误配置造成的。内部部署解决方案可以提供快速诊断问题所需的关键数据流可见性,节省IT和网络部门宝贵的时间,同时提高性能。

  第三步:分类

  看到什么样的攻击? 了解它会怎样继续下去,以及需要采取什么样的对策。

  第四步:追溯

  查明攻击的来源——从何而来?它会影响哪里的网络以及怎样影响?这有助于辨别所看到的其他网络问题是否与攻击有关。

  第五步:反应

  在发现攻击并进行分类和跟踪之后,一般就能更好地准备应用最合适的缓解工具。没有一种工具或者方法能够适用于所有情形。最好是手边有不同的工具包,并尽可能利用自动响应功能。

  第六步:事后

  分析发生了什么?学到什么?如何能做得更好?每个人都错过了哪一步骤?下一次如何能反应更快,更轻松一些?针对发现的任何具体问题,回到第一阶段,将其应用到准备过程中。

  通过最佳实践防御来加强反应能力

  文章开头提到的那家网络游戏运营商的经历也凸显了混合检测和缓解解决方案的必要性。这种解决方案结合了基于和本地部署的保护功能,目前大部分安全分析师都认为这是一种DDoS缓解的最佳实践。如果只是基于云的服务,当攻击已经开始时,往往由客户负责通知MSSP。本地部署的DDoS解决方案(设备的或者虚拟的)提供了网络可见性,并有一些内置的对抗措施,在意识到攻击之前,检测到攻击时就会自动启动对抗措施,而无需人工干预。这能够节省宝贵的时间来启动和协调事件响应计划。

  在最佳实践应用场景中,本地部署和基于云的防御措施实现无缝保护。通过先进的“云信令”,当网络中的攻击流量达到设定容量时,本地部署设备通知云基础设施启动缓解措施。

  毫无疑问,自动化提供了事件响应中的关键优势。但不能完全依赖它,事件响应计划仍然需要。攻击者肯定会采用先进的技术,但他们真正的优势在于其狡诈性。要想高效应对DDoS,应该把先进技术和人类智能结合起来,以阻止不正当的行为。实践,实践,再实践。

  

关于作者:⾦⼤刚(Alex ChinArbor Networks 大中华区总经理

 

最近更新
科普

科普图集
从《中国互联网+指数报告(2018)》看数字经济

从《中国互联网+指数报告(2018)》看数字经济>>详情

“互联网+”的这些新变化,你知道吗?

“互联网+”的这些新变化,你知道吗?>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。