DDoS攻擊勒索事件頻發,挑戰者企業的數據安全。今年,“無敵艦隊”組織從六月中旬開始用DDoS攻擊向國內證券金融公司、互聯網公司發起比特幣勒索,攻擊流量從2G到20G不等,對企業的利益和數據安全都造成了嚴重的影響。
面對頻發的DDoS攻擊事件,IDC服務商和企業都可以如何來抵御流量攻擊或者減輕企業影響?
常規的DDoS防護應急方式因其選擇的引流技術不同而在實現上有不同的差異性,主要有三種類型的DDoS防護應急手段引流方式的原理:
本地DDoS防護設備:
企業側部署設備,串聯到網絡中或者通過路由進行牽引流量。
運營商清洗服務:
部署在城域網,多通過路由方式進行引流,多基于FLOW方式檢測攻擊。
云清洗服務:
利用Cname,將源站解析到新的域名,從而實現其引流。
那么這些引流方式在DDoS應急上有何優劣:
本地DDoS防護設備:
本地化防護設備,增強了用戶監控DDoS監控能力的同時做到了業務安全可控,且設備具備高度可定制化的策略和服務,更加適合通過分析攻擊報文,定制策略應對多樣化的、針對性的DDoS攻擊類型;但當流量型攻擊的攻擊流量超出互聯網鏈路帶寬時,需要借助運營商清洗服務或者云清洗服務來完成攻擊流量的清洗。
運營商清洗服務:
運營商采購安全廠家的DDoS防護設備并部署在城域網,通過路由方式引流,和Cname引流方式相比其生效時間更快,運營商通過提清洗服務方式幫助企業用戶解決帶寬消耗性的拒絕服務攻擊;但是運營商清洗服務多是基于Flow方式檢測DDoS攻擊,且策略的顆粒度較粗,因此針對低流量特征的DDoS攻擊類型檢測效果往往不夠理想,此外部分攻擊類型受限于防護算法往往會有透傳的攻擊報文,此時對于企業用戶還需要借助本地DDoS防護設備,實現二級清洗。
云清洗服務:
云清洗服務使用場景較窄,當使用云清洗服務做DDoS應急時,為了解決攻擊者直接向站點真實IP地址發起攻擊而繞過了云清洗中心的問題,通常情況下還需要企業用戶配合做業務地址更換、Cname引流等操作配置,尤其是業務地址更換導致的實際變更過程可能會出現不能落地的情況。另一方面對于HTTPS Flood防御,當前云清洗服務需要用戶上傳HTTPS業務私鑰證書,可操作性不強。此外業務流量導入到云平臺,對業務數據安全性也提出了挑戰。
對比了三種方式的不同和適用場景,我們會發現單一解決方案不能完成所有DDoS攻擊清洗,推薦企業用戶在實際情況下可以組合本地DDoS防護設備+運營商清洗服務或者本地DDoS防護設備+云清洗服務,實現分層清洗的效果。針對金融行業,更推薦的組合方案是本地DDoS防護設備+運營商清洗服務。對于選擇云清洗服務的用戶,如果只是在DDoS攻擊發生時才選擇將流量導入到云清洗平臺,需要做好備用業務地址的更換預配置(新業務地址不可泄露,否則一旦被攻擊者獲悉將會失去其意義)。
企業客戶在DDoS防護體系建設上通常需要開展的工作有:
1.應用系統開發過程中持續消除性能瓶頸,提升性能。通過各類優化技術,提升應用系統的并發、新建以及數據庫查詢等能力,減少應用型DDOS攻擊類型的潛在危害;
2.定期掃描和加固自身業務設備,定期掃描現有的網絡主節點及主機,清查可能存在的安全漏洞和不規范的安全配置,對新出現的漏洞及時進行清理,對于需要加強安全配置的參數進行加固;
3.確保資源冗余,提升耐打能力。建立多節點負載均衡,配備多線路高帶寬,配備強大的運算能力,借此“吸收”DDoS攻擊;
4.服務最小化,關停不必要的服務和端口,實現服務最小化,例如WWW服務器只開放80而將其它所有端口關閉或在防火墻上做阻止策略。可大大減少被與服務不相關的攻擊所影響的概率;
5.選擇專業的產品和服務。三分產品技術,七分設計服務,除了防護產品本身的功能、性能、穩定性,易用性等方面,還需要考慮防護產品廠家的技術實力,服務和支持能力,應急經驗等;企業在選擇服務器時,乍眼一看,各路服務商沒有什么區別,選擇資歷過硬的服務商,往往能夠在服務器出現攻擊威脅的時候進行告警、流量防御和牽引處理,保障企業的業務連續性。
6.多層監控、縱深防御。從骨干網絡、IDC入口網絡的BPS、PPS、協議分布,負載均衡層的新建連接數、并發連接數、BPS、PPS到主機層的CPU狀態、TCP新建連接數狀態、TCP并發連接數狀態,到業務層的業務處理量、業務連通性等多個點部署監控系統。即使一個監控點失效,其他監控點也能夠及時給出報警信息。多個點信息結合,準確判斷被攻擊目標和攻擊手法;
7.完備的防御組織。囊括到足夠全面的人員,至少包含監控部門、運維部門、網絡部門、安全部門、客服部門、業務部門等,所有人員都需要2- 3個備份。一般的中心企業,配備一個這樣規模的防御組織不太實際且成本過高,如果通過租用有實力的機房里的防御能力來實現企業數據保護對于企業來說更專業省心。
8.明確并執行應急流程。提前演練,應急流程啟動后,除了人工處理,還應該包含一定的自動處理、半自動處理能力。例如自動化的攻擊分析,確定攻擊類型,自動化、半自動化的防御策略,在安全人員到位之前,最先發現攻擊的部門可以做一些緩解措施。
總結
對于數據中心來說,針對DDoS防御,主要的工作是幕后積累,在沒有充分的資源準備,沒有足夠的應急演練,沒有豐富的處理經驗,DDoS攻擊將會造成災難性的后果。通過在數據中心租用服務器或者進行托管服務,利用機房豐富的帶寬資源和嚴密的DDoS防御部署,經驗豐富的運維工程師,讓企業在應對攻擊勒索的時候有更多的底氣來應對勒索行為。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:DDoS攻擊勒索頻繁,數據中心如何設防
相關文章
