今天的分布式拒绝服务 (DDoS) 攻击与早期的攻击几乎无法识别,当时大多数是简单的、大规模的攻击,旨在造成尴尬和短暂的中断。攻击背后的动机越来越不清楚,技术变得越来越复杂,攻击频率呈指数级增长。考虑到自动攻击尤其如此,自动攻击允许攻击者以比任何人类或传统 IT 安全解决方案响应的速度更快的速度切换向量。
现代攻击的规模、频率和持续时间的组合对任何在线组织都构成了严重的安全性和可用性挑战。几分钟甚至几十分钟的停机或延迟会显着影响基本服务的交付。当您将这些因素结合起来时,受害者将面临重大的安全性和服务可用性挑战。以下是确保您的网络免受 DDoS 攻击的七个注意事项。
1、记录您的 DDoS 弹性计划:这些弹性计划应包括技术能力,以及概述如何在成功拒绝服务攻击的压力下继续业务运营的综合计划。事件响应团队应建立并记录与企业的沟通方法,包括组织所有分支机构的关键决策者,以确保相应地通知和咨询关键利益相关者。
2、识别 DDoS 攻击活动:大型、高容量 DDoS 攻击并不是 DDoS 活动的唯一形式。黑客通常会发起短期、小规模的攻击,以对您的网络进行压力测试,并在您的安全范围内发现安全漏洞。了解您的网络流量模式并寻找可实时识别 DDoS 攻击流量并立即消除大大小小的 DDoS 攻击的DDoS 攻击防护解决方案。
3、不要认为只有大规模的容量攻击才是问题所在:DDoS 攻击者变得越来越老练;他们的目标不仅是瘫痪网站,而且是通过低带宽、不饱和的 DDoS 攻击来分散 IT 安全人员的注意力,这种攻击是更邪恶的网络渗透(例如勒索软件)的烟幕弹。此类攻击通常持续时间短(不到 5 分钟)且规模大,这意味着它们很容易在雷达下溜走,而不会被流量监控器甚至某些 DDoS 保护系统检测到或缓解。
4、不要依赖流量监控或阈值:当然,您可以注意到流量高峰时,但您能区分好流量和坏流量吗?如果你真的看到了一个尖峰,你会怎么做?您能否仅阻止不良流量,或者您的网络资源是否会不堪重负?监控您的流量和设置阈值限制不是一种保护形式,尤其是当您考虑到阈值触发器通常不会注意到小的、不饱和的攻击时。
5、不要依赖 IPS 或防火墙:入侵防御系统(IPS) 和防火墙都无法保护您。即使是声称内置了抗 DDoS 功能的防火墙也只有一种阻止攻击的方法:使用不加区分的阈值。当达到阈值限制时,使用该端口的每个应用程序和每个用户都会被阻止,从而导致中断。攻击者知道这是与攻击者一起阻止好用户的有效方法。由于网络和应用可用性受到影响,拒绝服务的最终目标得以实现。
6、与缓解提供商合作:今天,许多 ISP 提供DDoS 保护计划,作为增值服务或高级服务。了解您的 ISP 提供免费还是付费的 DDoS 保护计划。但是在您受到攻击之前很久就联系您的 ISP;如果您没有适当的 DDoS 保护并且已经受到攻击,您的 ISP 可能无法立即注册您然后阻止 DDoS 流量到您的站点。或者,您可以购买本地或虚拟 DDoS 保护产品。DDoS 保护具有多种部署可能性;通过本地防 DDoS 设备或虚拟机 (VM)实例。请务必寻找丰富的实时 DDoS 安全事件分析和报告以及自动缓解。
7、将缓解时间与成功的攻击保护相结合:当您制定弹性计划并选择 DDoS 保护方法时,缓解时间必须是您决策过程中的关键因素。请记住,DDoS 缓解服务可以作为自动化 DDoS 缓解解决方案的有用辅助工具。但是,仅靠缓解服务是不够的,因为 1) 在使用服务之前,某人或某物(计算机或人)必须检测到正在进行的 DDoS 攻击,以及 2) 重定向“不良”流量需要 20-30 分钟,从而允许在此期间发生更多恶意的安全漏洞。面对 DDoS 攻击,时间至关重要。等待几分钟、几十分钟甚至更多时间来缓解 DDoS 攻击都不足以确保服务可用性或安全性。