三個階段阻止DDoS攻擊,你學會了嗎?
分布式拒絕服務 (DDoS) 攻擊是一種網絡攻擊,其中惡意行為者用大量數據淹沒目標系統或網絡,從而壓倒預期目標,使合法用戶無法使用。
當遭受DDoS攻擊時,系統會陷入癱瘓,并且經常完全沒有響應。防御者必須迅速采取行動阻止攻擊,這可能需要外部援助,甚至暫時關閉資源;使用日志、警報和其他資源確定DDoS攻擊的類型;最后,通過更改安全架構并投資工具來防止未來的攻擊,從而從攻擊中恢復過來。
第一階段:遏制
一旦遭受DDoS 攻擊,資源運行就會變得遲緩,甚至保護資源的更改也難以執行。雖然如果不識別攻擊就無法完全阻止攻擊,但如果系統因惡意流量泛濫而無法訪問,則無法識別攻擊。
必須停止攻擊(即使是暫時的),以恢復內部資源,例如 CPU 容量和內存。將日志發送到其他資源(獨立存儲、SIEM 解決方案等)的組織可能能夠同時阻止攻擊并確定 DDoS 攻擊的類型。
初始DDoS響應策略
簡單的 DDoS 攻擊通常可以通過熟練的內部資源進行阻止。但是,請記住,即使是基本的 DDoS 攻擊也可能需要借助主機互聯網服務提供商 (ISP) 的幫助在上游進行阻止,否則被阻止的 DDoS 攻擊流量仍可能威脅連接帶寬和 ISP 基礎設施。
您可以選擇的初始 DDoS 響應選項包括致電您的服務提供商(如互聯網和網絡托管)、聯系網絡安全專家、更改您的網絡以阻止攻擊并加強 DDoS 防護、關閉您的服務以在重新上線之前進行更改,和/或實施新技術以獲得更好的保護。
聯系服務提供商
在某些情況下,只需聯系互聯網或網絡托管提供商并通知他們有關情況,就可以阻止 DDoS 攻擊。他們可能已經知道并正在努力阻止流量。服務提供商可以確認攻擊的存在并實施一些更改以阻止惡意流量進入網絡。其中一些包括:
- 增加帶寬:增加帶寬可以幫助您抵御 DDoS 攻擊或完全緩解攻擊,但可能不具成本效益。
- 更改 IP 地址/范圍:更改您的 IP 地址和 DNS 信息可以暫時阻止攻擊,直到攻擊者瞄準新的 IP 地址。此外,需要更改多個內部系統以反映新的 IP 地址。
雖然聯系服務提供商很有幫助,但這可能還不夠。典型的互聯網機器人 DDoS 攻擊規模可達100 到 500 Gbps,一些更大規模的攻擊每秒可達到1 億次以上請求。如果沒有專業幫助,即使是最大的企業也難以阻止這種規模的攻擊。
聘請網絡安全專家
利用熟練的專業人員和高端工具和服務的組合是防御 DDoS 攻擊以及保護自己免受未來攻擊的最有效方法之一。這些方法包括:
- 網絡安全專家:應聯系安全顧問、托管檢測和響應(MDR) 專家和其他專業人員,以幫助阻止攻擊、改進針對未來攻擊的系統,并推薦其他事件響應工具和服務。
- 云服務:基于云的DDoS 防護服務通常提供阻止 DDoS 攻擊的最全面的選項,因此組織通常會將其部分或全部基礎設施遷移到 AWS、Microsoft Azure 或 Google Cloud 等云提供商。
請務必更新您的訪問控制列表,以允許服務與受保護系統之間的連接并阻止其他連接,這樣就不會有任何東西繞過 DDoS 服務。但是,也請記住,即使是云提供商也無法阻止源自組織網絡內的 DDoS 攻擊。
雖然擁有專業工具和服務值得投資,但它仍然是一項昂貴的投資,超過任何內部解決方案,可能不是公司愿意承擔的費用。此外,在您受到攻擊時尋找合格的專業人員可能會很困難且壓力很大。
此外,安全專家通常會記錄僵尸網絡和攻擊媒介,以便他們能夠迅速采取行動,甚至在攻擊發起之前就阻止攻擊。
過濾目標IP地址和位置
查看日志文件通常會揭示有關您的網絡的寶貴信息,包括產生大部分 DDoS 流量的 IP 地址和位置。然后,您可以使用這些信息在您的網絡上啟用快速且廉價的防御措施。一些選項包括:
- IP 過濾: IP 過濾將允許您阻止特定的 IP 地址。
- 地理封鎖:地理封鎖允許您阻止來自某個地理位置的連接。
這些可以為團隊提供急需的時間來開發和部署其他策略,但很少是永久性的解決方案,因為攻擊者可以欺騙他們的 IP 地址或利用未封鎖地區的僵尸網絡,導致安全打地鼠游戲,防御者不斷試圖跟上攻擊者。
此外,來自被阻斷區域的任何合法流量都將無法訪問您的資源,這可能會導致該地區的財務損失和聲譽受損。最后,通常建議在 ISP 級別也應用這些過濾器,以避免被阻斷的流量所消耗。
啟用或加強DDoS保護選項
組織應檢查其現有資源(服務器軟件、路由器固件等),以查找可能尚未激活的 DDoS 保護選項。檢查您的網絡設備是否有以下安全選項:
- 路由器上的 DDoS 保護:啟用此功能可通過監控進入網絡的流量數據包數量來幫助保護您的網絡免受 DDoS 攻擊。
- 速率限制:速率限制是一種安全功能,它限制了特定時間范圍內可以發出的請求數量。
由于這些功能已內置于多個網絡設備中,因此在攻擊發生之前在網絡上設置和運行這些功能應該相對容易且成本低廉。它們在攻擊期間可能無效,您可能直到攻擊之后才能部署這些功能。
關閉服務
有時,關閉受到攻擊的系統是最佳選擇。在恢復在線狀態之前,可以隔離服務或資源并加強其防御能力,防止進一步受到攻擊。以下是一些示例:
- 停止特定請求:如果您注意到自己正受到特定網絡請求(即 SYN 洪泛)的轟炸,則可以對傳入的連接請求進行速率限制。
- 阻止下載:如果特定服務試圖下載非常大的文件,則防御措施可能是暫時禁用下載而不影響網站的其余部分。
這是一種快速、廉價且有效的阻止 DDoS 攻擊的方法。但停機時間也可能對組織造成破壞和成本高昂。尤其是在系統完全關閉的情況下。
實施新技術
此步驟需要最深入的規劃和配置,理想情況下應盡早實施,而不是在攻擊發生后實施,因為在攻擊發生后,決策可能會倉促做出,考慮事項可能會被忽視。需要考慮的一些工具包括:
- 防火墻:防火墻是一種監控網絡流量并實施安全策略以阻止可疑網絡活動或惡意攻擊的工具。
- 安全網關:此工具類似于防火墻,但主要用于阻止可疑的網絡流量。
- DDoS 防護設備: DDoS 防護設備是一種專用于分析網絡流量以檢測和阻止 DDoS 攻擊的設備。
這些工具的缺點是部署起來成本高昂且耗時,并且需要大量資源進行維護。此外,它們無法防御外部攻擊,并且可能無法快速擴展以防御更大規模的攻擊。
任何受到攻擊的組織都應探索所有選擇,并根據其當前情況實施他們認為最有可能成功的措施。
非技術性DDoS響應
即使事件響應團隊可能正在努力應對 DDoS 攻擊,組織仍必須與其他利益相關者打交道。攻擊發生后,請遵循以下非技術響應:
- 通知高管和利益相關者:需要根據組織的事件響應計劃通知所有高管和利益相關者并不斷更新。
- 建立內部溝通:告知員工可用的內部資源或完成其職責的替代方法。
- 協調公共關系:根據事件響應計劃聯系客戶了解系統狀態。
- 聯系您的保險提供商:必須通知網絡安全保險公司、監管機構(證券交易委員會等)和執法部門。
管理層應將非技術援助納入事件響應團隊,以協調、管理和執行與利益相關者的書面、口頭和電話溝通。高管甚至可能希望在團隊中嵌入某人,該人有權批準費用或協調從 DDoS 攻擊中恢復所需的快速采購授權。
內部攻擊與外部攻擊
上述初始 DDoS 技術適用于所有攻擊。但是,根據 DDoS 攻擊的類型和受影響的架構,某些技術會比其他技術更有用。您需要了解保護內部網絡和外部資源(如視頻游戲系統)免受 DDoS 攻擊之間的區別。
阻止內部和外部路由器、服務器和網站DDoS攻擊
暴露在互聯網上的實用程序、應用程序和網站資產通常會成為 DDoS 攻擊者的目標,因為它們最容易受到影響。托管或支持這些資源的服務器通常會遭受 CPU、內存和帶寬過載。
這些攻擊與針對服務器和路由器的內部 DDoS 攻擊截然不同,后者針對的是內部網絡協議和資源。不過,一旦攻擊開始,保護這些不同資源的步驟將非常相似。
1. 阻止初始攻擊
檢查日志文件并開始阻止與攻擊(內部或外部)相關的 IP 地址,使用地理圍欄來阻止特定區域,或者對于內部攻擊,甚至關閉產生流量的受損本地設備。
然而,有些情況不允許DDoS攻擊者關閉設備。例如,如果攻擊者將醫院的呼吸機變成僵尸網絡,醫院就無法簡單地關閉呼吸機,否則會嚴重影響患者的健康。
此外,許多攻擊者一旦意識到攻擊已被阻止,就會改變策略和攻擊源。盡管阻止可能只是暫時有效,但它有助于爭取時間實施更有效的保護措施。
2. 避開攻擊
如果阻止無效,請嘗試更改服務器 IP 地址、路由器 IP 地址或網站 URL,以將服務器移出 DDoS 攻擊路徑。與阻止攻擊一樣,這可能只是暫時的緩解,但它可以為實施需要更多時間才能執行的其他策略贏得時間。
3.停止服務
如果阻止或避開攻擊不起作用,組織可能需要停止受到攻擊的服務(例如 PDF 下載、購物車、內部路由器等)。
部分或全部停止網站、應用程序或內部網絡將造成嚴重破壞,因此不應輕視這一步驟。只有在步驟 1 和 2 無法提供足夠的時間來執行下面的其他步驟時,才應執行此步驟。
4. 啟用額外保護
當部分事件響應團隊試圖阻止現有攻擊時,其他成員應致力于通過以下方式啟用針對 DDoS 攻擊的其他保護措施:
- 致電 ISP: ISP 可以幫助為受到攻擊的網站、應用程序和公開暴露的設備(防火墻、服務器、路由器等)設置外部 DDoS 防護服務。
- 評估防火墻保護:安裝WAF 服務或調整當前的 WAF 設置和策略可以增強您的網絡防御以阻止攻擊,或者您可以通過下一代防火墻 (NGFW) 重新路由您的內部流量。
- 調整速率限制:在網絡設備上配置速率限制可以改變現有防火墻、服務器和其他相關資源的請求閾值,以限制進入網絡的流量。
- 添加工具:添加或升級網絡和網站的保護、網絡安全產品、網絡入侵檢測系統 (IDS) 和入侵防御系統 (IPS)以及FWaaS等云防火墻解決方案可以保護您免受未來的攻擊。
- 獲取幫助:聘請事件響應或托管 IT 安全服務(MSSP) 供應商可以幫助定位并刪除驅動 DDoS 攻擊的惡意軟件。
但請注意,額外的保護措施可能會影響現有的架構或性能。例如,負載均衡器可能會被 DDoS 工具繞過,或者 DDoS 保護設備的數據包檢查可能會導致流量延遲。
還請記住,取證或安全調查將成為恢復過程的一部分,特別是對于可能引發網絡安全保險索賠的任何攻擊。需要找到并刪除攻擊者引入的初始感染、接入點、惡意軟件和系統更改,以防止未來的 DDoS 攻擊或其他類型的攻擊(勒索軟件、數據盜竊等)。
阻止外部路由器或視頻游戲系統DDoS攻擊
小型企業、游戲服務器和主播通常將路由器直接連接到互聯網,攻擊者可以找到他們的 IP 地址來攻擊他們。由于沒有 IT 專業人員支持環境,對這些暴露系統的攻擊可能會導致互聯網訪問完全中斷。阻止這些攻擊的一些方法是更改您的 IP 地址、在您的設備中啟用防御功能以及添加額外的安全層。
1.重置IP地址
避免 DDoS 攻擊的最快方法是重置 IP 地址。有幾種方法可以實現此目的:
- 最快捷的方法 — 拔掉電源:拔掉路由器、游戲系統,有時還要拔掉調制解調器。路由器 IP 地址重置最短只需 5 分鐘即可分配新 IP 地址,最長則需要 24 小時,具體取決于 ISP。
- 最佳方法——聯系 ISP:聯系互聯網服務提供商 (ISP);一些 ISP 限制 IP 地址的更改,需要直接聯系,但 ISP 也可以實施額外的安全措施或提供額外的服務來阻止 DDoS 攻擊。
- 管理控制臺 IP 重置:通過 Web 瀏覽器以管理員身份登錄路由器控制臺并更改 IP 地址;請查看路由器手冊以獲取說明。
- 命令提示符 IP 地址重置:使用命令行提示符(如 ipconfig(Windows、MacOS)或 ip(Linux))釋放和更新 IP 地址;MacOS 用戶還可以使用高級系統偏好設置來選擇 TCP/IP 和“更新 DHCP 租約”。
當然,這種技術會導致互聯網或網絡不可用,直到路由器重新啟動,攻擊者仍然可以搜索新的IP地址來攻擊路由器。
2. 激活 DDoS 防御選項
您還可以探索所用裝備的防御選項。一些防御選項包括:
- 路由器保護:檢查路由器管理控制臺和手冊,了解可以啟用或加強的其他 DDoS 保護選項。這些可以快速激活,但可能會影響性能。
- 升級設備:較舊的路由器或消費級路由器可能缺乏防御現代 DDoS 攻擊和其他常見網絡威脅的功能。考慮升級到具有更多安全功能或容量的設備。
- 啟用隱私模式:某些游戲機在菜單中提供隱私和在線安全選項,可用于最大限度地減少公開信息。例如,Xbox 具有“私人模式”功能,可在“更多選項”>“Xbox 設置”>“隱私和在線安全”下找到。
3. 添加保護層
為了阻止未來針對路由器的攻擊,請考慮添加額外的保護層:
- 添加設備:在路由器和互聯網之間添加網絡保護設備,如防火墻、安全網關和 DDoS 保護。
- 升級或添加專業級設備:考慮購買提供更多安全性的新型路由器和下一代防火墻。
- 基于云的保護:添加來自 Cloudflare 或 Sucuri 等供應商的云解決方案,例如 FWaaS 或 DDoS 保護服務。
- VPN 網絡服務:使用虛擬專用網絡 (VPN)來隱藏 IP 地址;但是,由于額外的網絡跳數,它會增加 ping。游戲玩家和流媒體可以尋找具有低延遲連接和安全 IP 地址的 VPN 服務。
最佳選擇取決于組織或個人的預算和技術能力以及解決方案需要多快實施。
第二階段:分析
有些攻擊會變得明顯,因為一切都會停止,但通常會有一段時間,資源在應對 DDoS 攻擊的早期階段時會“表現得很奇怪”。無論哪種情況,除非識別出攻擊,否則無法完全阻止攻擊,查看日志以確定 DDoS 攻擊的類型,并可能追蹤攻擊的來源。
識別 DDoS 攻擊的跡象
DDoS 攻擊的最初跡象是延遲。應用程序運行緩慢、網站加載緩慢、服務器響應請求緩慢等。
受到攻擊的互聯網連接的用戶可能會發現自己無法與互聯網連接,或無法使用本地資源。網絡運營中心、防火墻監控工具、云使用工具和其他監控解決方案可能會捕捉到網絡或互聯網流量的峰值。
在攻擊進行到一定階段時,資源將變得不可用 — 甚至無法運行診斷工具或訪問日志文件和其他報告。團隊應盡快做出響應,或確保資源優先發送日志以供分析。
檢查并分析日志、警報和記錄
理想情況下,第一個故障指標將以日志和警報的形式出現,這些警報來自監控工具和軟件,用于檢查帶寬、應用程序性能、內存或 CPU 問題。警報可以幫助響應團隊立即采取行動,并在 DDoS 攻擊耗盡資源之前阻止它。
提示:記錄所有內容。這些來自 DDoS 攻擊的記錄為多個團隊和利益相關者提供了寶貴的信息,其中包括:
- 事件響應團隊:數字取證和事件響應團隊將使用日志來幫助他們分析攻擊,以便更好地了解發生了什么以及如何防止未來的攻擊。
- 網絡安全保險:大多數網絡安全保險公司在審查索賠以計算損失時都會要求提供報告的日志副本。
如果沒有警報,組織可能不得不依賴客戶或內部投訴,而這些投訴可能會因資源擁塞(應用程序、服務器等)而延遲,或者直到整個網絡因 DDoS 攻擊而癱瘓。
攻擊特征
攻擊特征分析有助于區分攻擊流量與合法流量,并確定攻擊類型。例如,使用協議禁用基礎設施的攻擊與針對應用程序中特定功能的應用程序級攻擊需要不同的響應。
由于 DDoS 攻擊類型眾多,因此很難確定具體是哪一種攻擊。不過,響應團隊會分析日志,查找有關攻擊和潛在防御措施的信息。
DDoS 攻擊可能需要進行數字取證調查,以確定惡意軟件如何進入網絡并發起 DDoS。調查人員將收集證據并確保攻擊者和惡意軟件已從網絡中清除。
攻擊追溯
DDoS 攻擊追溯旨在識別 DDoS 攻擊的來源。例如,如果攻擊可以追溯到一系列 IP 地址,則可以通過 IP 阻止來阻止攻擊。但是,追蹤可能極具挑戰性,并且可能無法找到實際的攻擊者。
第三階段:恢復
能夠快速消除 DDoS 攻擊的組織可能只會遭受不便。不那么幸運的組織將需要評估損失,根據 DDoS 補救措施做出必要的調整,確定采取哪些緊急措施來防止 DDoS 攻擊再次發生,并考慮其他預防措施。
DDoS攻擊損害
DDoS 攻擊造成的損失因組織而異,取決于受影響的資源。然而,Corero最近的一項調查估計,DDoS 攻擊每小時可使組織損失數十萬美元,大型組織可損失高達 100 萬美元,平均每分鐘略高于 6,000 美元。然而,這些報告均未考慮其他成本或業務和聲譽損失。
遭受 DDoS 攻擊后,組織需要記錄其保險成本和損失,并制定預算,用于購買工具和服務以防止未來的 DDoS 攻擊。
DDoS 補救措施調整
為了阻止攻擊,組織可能會對架構或軟件進行更改,而這無意中會導致其他問題。恢復過程的一部分需要檢查基礎設施以檢測和修復那些損壞的組件或鏈接。例如,將網站移至 DDoS 過濾服務提供商之后可能只會移動主域。子域可能需要手動遷移。
同樣,與其他第三方工具的集成可能需要額外的配置。例如,發布網站可能會發現他們的 Web 內容管理系統不再正確連接到受 DDoS 提供商保護的發布內容,并且可能需要進行更改才能重新連接到它。
對于在網絡內發起的 DDoS 攻擊,可能需要對單個計算機系統進行清理,以消除惡意軟件或攻擊者訪問設備進行未來攻擊的能力。有時這還可能觸發數據和系統恢復需求。
DDoS 攻擊經驗教訓
生成一份經驗教訓報告,解釋所發生的一切,并清楚地說明如何防范類似的攻擊。應立即實施緩解措施,但如果不切實際,則應盡快規劃緩解措施并提出預算建議。
補救 DDoS 攻擊的成本以及停機造成的任何業務損失將提供一個粗略目標,以便與緩解預算進行比較。
如果攻擊規模或影響巨大,請向執法機構或CERT 等行業組織報告事件。報告攻擊可以建立主要攻擊者的檔案,并有助于摧毀911 S5和Raptor Train等主要僵尸網絡。
了解三個階段
事件響應團隊經常會同時執行這些階段。此外,當攻擊者觀察防御者的行為時,他們通常會改變策略,并要求防御團隊在這些階段及其內部步驟之間進行迭代。
當然,每個階段的具體內容都將高度定制,并取決于許多因素,首先是 DDoS 攻擊的類型、 受到攻擊的資源(路由器、網站、應用程序、服務器等)以及已經實施的DDoS 保護或緩解措施。
此外,IT 架構、防御者的資源以及攻擊者的奉獻精神也將在如何進行各個階段和技術方面發揮重要作用。
幸運的是,ISP 和供應商可以為有需要的人提供專業的DDoS 防護服務。但是,他們執行的幾項任務與我們介紹的類似,不同之處在于他們可能擁有更多的經驗和更復雜的工具。
OSI 模型和 DDoS 攻擊
網絡上的所有通信都以網絡數據包的形式發送。當每臺計算機或防火墻收到數據包時,設備將檢查內容并根據標頭中的說明處理數據包。DDoS 攻擊會濫用這些數據包并試圖利用潛在的弱點來使系統過載。OSI 模型的不同層可用于確定DDoS 攻擊的類型:
# | 層名稱 | 流量類型 | DDoS 攻擊類型 |
1 | 物理層 | 跨越硬件的比特 | 此等級無攻擊 |
2 | 數據鏈路層 | 尋址框架 | 此等級無攻擊 |
3 | 網絡層 | 待配送包裹 | UDP反射攻擊、Ping of Death等 |
4 | 傳輸層 | 可靠通信部分 | ACK 洪水、SYN 洪水等等。 |
5 | 會話層 | 主機間通信的數據 | Telnet 漏洞(應該已經過時了) |
6 | 表示層 | 數據表示和加密 | SSL 濫用 |
7 | 應用層 | 應用程序使用的數據 | DNS 查詢洪水、HTTP 洪水 |
然而,知道哪一層受到攻擊對于阻止或阻止攻擊幾乎沒有幫助。從本質上講,所有攻擊通常分為兩類:
- 基礎設施層攻擊(第 3、4 層):這些 DDoS 攻擊會通過大容量或畸形數據包攻擊影響防火墻、服務器和路由器。如果這些攻擊來自外部,ISP 和托管合作伙伴通常可以幫助應對這些攻擊。
- 應用層攻擊(第 6、7 層):這些攻擊通過超載信息請求來針對網站和應用程序。它們可以通過Web 應用程序防火墻阻止,但可能需要添加驗證碼等附加功能來阻止自動請求。
在執行阻止 DDoS 攻擊的三個關鍵階段后,組織將發現自己處于更有利的位置。但是,僅靠恢復無法阻止未來的 DDoS 攻擊,因為它們只能解決最后的攻擊。阻止 DDoS 攻擊的最佳方法始終是組織采取主動并在受到攻擊之前采取防御措施。
預防未來 DDoS 攻擊的 5 個步驟
IT 和安全團隊可以部署多種方案來應對 DDoS 攻擊,這將有助于控制和管理攻擊發生時的未來影響。其中包括:
- 加強防御攻擊:更新、修補和更改設置以保護資源免受攻擊。
- 部署反 DDoS 架構:配置資源并實施策略,保護資源免受潛在攻擊并最大限度地減少成功攻擊的影響。
- 使用反 DDoS 工具:啟用功能并添加工具來檢測和防范或減輕 DDoS 攻擊的影響。
- 設計 DDoS 響應手冊:制定安全、運營和管理團隊如何應對 DDoS 攻擊的計劃。
- 安裝 DDoS 監控:安裝監控來監視并提醒工作人員注意攻擊的跡象。
底線:現在做好準備,否則以后會遭殃
隨著攻擊者的技術和能力不斷提高,防御者必須保持警惕。阻止 DDoS 攻擊不僅會變得更加困難,而且攻擊者還會繼續加快利用機會窗口的速度。組織現在應該為未來的 DDoS 攻擊做好準備,并利用可用的強大工具和服務來幫助他們。
