DDoS攻擊勒索事件頻發(fā),挑戰(zhàn)者企業(yè)的數(shù)據(jù)安全。今年,“無(wú)敵艦隊(duì)”組織從六月中旬開(kāi)始用DDoS攻擊向國(guó)內(nèi)證券金融公司、互聯(lián)網(wǎng)公司發(fā)起比特幣勒索,攻擊流量從2G到20G不等,對(duì)企業(yè)的利益和數(shù)據(jù)安全都造成了嚴(yán)重的影響。
面對(duì)頻發(fā)的DDoS攻擊事件,IDC服務(wù)商和企業(yè)都可以如何來(lái)抵御流量攻擊或者減輕企業(yè)影響?
常規(guī)的DDoS防護(hù)應(yīng)急方式因其選擇的引流技術(shù)不同而在實(shí)現(xiàn)上有不同的差異性,主要有三種類(lèi)型的DDoS防護(hù)應(yīng)急手段引流方式的原理:
本地DDoS防護(hù)設(shè)備:
企業(yè)側(cè)部署設(shè)備,串聯(lián)到網(wǎng)絡(luò)中或者通過(guò)路由進(jìn)行牽引流量。
運(yùn)營(yíng)商清洗服務(wù):
部署在城域網(wǎng),多通過(guò)路由方式進(jìn)行引流,多基于FLOW方式檢測(cè)攻擊。
云清洗服務(wù):
利用Cname,將源站解析到新的域名,從而實(shí)現(xiàn)其引流。
那么這些引流方式在DDoS應(yīng)急上有何優(yōu)劣:
本地DDoS防護(hù)設(shè)備:
本地化防護(hù)設(shè)備,增強(qiáng)了用戶監(jiān)控DDoS監(jiān)控能力的同時(shí)做到了業(yè)務(wù)安全可控,且設(shè)備具備高度可定制化的策略和服務(wù),更加適合通過(guò)分析攻擊報(bào)文,定制策略應(yīng)對(duì)多樣化的、針對(duì)性的DDoS攻擊類(lèi)型;但當(dāng)流量型攻擊的攻擊流量超出互聯(lián)網(wǎng)鏈路帶寬時(shí),需要借助運(yùn)營(yíng)商清洗服務(wù)或者云清洗服務(wù)來(lái)完成攻擊流量的清洗。
運(yùn)營(yíng)商清洗服務(wù):
運(yùn)營(yíng)商采購(gòu)安全廠家的DDoS防護(hù)設(shè)備并部署在城域網(wǎng),通過(guò)路由方式引流,和Cname引流方式相比其生效時(shí)間更快,運(yùn)營(yíng)商通過(guò)提清洗服務(wù)方式幫助企業(yè)用戶解決帶寬消耗性的拒絕服務(wù)攻擊;但是運(yùn)營(yíng)商清洗服務(wù)多是基于Flow方式檢測(cè)DDoS攻擊,且策略的顆粒度較粗,因此針對(duì)低流量特征的DDoS攻擊類(lèi)型檢測(cè)效果往往不夠理想,此外部分攻擊類(lèi)型受限于防護(hù)算法往往會(huì)有透?jìng)鞯墓魣?bào)文,此時(shí)對(duì)于企業(yè)用戶還需要借助本地DDoS防護(hù)設(shè)備,實(shí)現(xiàn)二級(jí)清洗。
云清洗服務(wù):
云清洗服務(wù)使用場(chǎng)景較窄,當(dāng)使用云清洗服務(wù)做DDoS應(yīng)急時(shí),為了解決攻擊者直接向站點(diǎn)真實(shí)IP地址發(fā)起攻擊而繞過(guò)了云清洗中心的問(wèn)題,通常情況下還需要企業(yè)用戶配合做業(yè)務(wù)地址更換、Cname引流等操作配置,尤其是業(yè)務(wù)地址更換導(dǎo)致的實(shí)際變更過(guò)程可能會(huì)出現(xiàn)不能落地的情況。另一方面對(duì)于HTTPS Flood防御,當(dāng)前云清洗服務(wù)需要用戶上傳HTTPS業(yè)務(wù)私鑰證書(shū),可操作性不強(qiáng)。此外業(yè)務(wù)流量導(dǎo)入到云平臺(tái),對(duì)業(yè)務(wù)數(shù)據(jù)安全性也提出了挑戰(zhàn)。
對(duì)比了三種方式的不同和適用場(chǎng)景,我們會(huì)發(fā)現(xiàn)單一解決方案不能完成所有DDoS攻擊清洗,推薦企業(yè)用戶在實(shí)際情況下可以組合本地DDoS防護(hù)設(shè)備+運(yùn)營(yíng)商清洗服務(wù)或者本地DDoS防護(hù)設(shè)備+云清洗服務(wù),實(shí)現(xiàn)分層清洗的效果。針對(duì)金融行業(yè),更推薦的組合方案是本地DDoS防護(hù)設(shè)備+運(yùn)營(yíng)商清洗服務(wù)。對(duì)于選擇云清洗服務(wù)的用戶,如果只是在DDoS攻擊發(fā)生時(shí)才選擇將流量導(dǎo)入到云清洗平臺(tái),需要做好備用業(yè)務(wù)地址的更換預(yù)配置(新業(yè)務(wù)地址不可泄露,否則一旦被攻擊者獲悉將會(huì)失去其意義)。
企業(yè)客戶在DDoS防護(hù)體系建設(shè)上通常需要開(kāi)展的工作有:
1.應(yīng)用系統(tǒng)開(kāi)發(fā)過(guò)程中持續(xù)消除性能瓶頸,提升性能。通過(guò)各類(lèi)優(yōu)化技術(shù),提升應(yīng)用系統(tǒng)的并發(fā)、新建以及數(shù)據(jù)庫(kù)查詢等能力,減少應(yīng)用型DDOS攻擊類(lèi)型的潛在危害;
2.定期掃描和加固自身業(yè)務(wù)設(shè)備,定期掃描現(xiàn)有的網(wǎng)絡(luò)主節(jié)點(diǎn)及主機(jī),清查可能存在的安全漏洞和不規(guī)范的安全配置,對(duì)新出現(xiàn)的漏洞及時(shí)進(jìn)行清理,對(duì)于需要加強(qiáng)安全配置的參數(shù)進(jìn)行加固;
3.確保資源冗余,提升耐打能力。建立多節(jié)點(diǎn)負(fù)載均衡,配備多線路高帶寬,配備強(qiáng)大的運(yùn)算能力,借此“吸收”DDoS攻擊;
4.服務(wù)最小化,關(guān)停不必要的服務(wù)和端口,實(shí)現(xiàn)服務(wù)最小化,例如WWW服務(wù)器只開(kāi)放80而將其它所有端口關(guān)閉或在防火墻上做阻止策略。可大大減少被與服務(wù)不相關(guān)的攻擊所影響的概率;
5.選擇專(zhuān)業(yè)的產(chǎn)品和服務(wù)。三分產(chǎn)品技術(shù),七分設(shè)計(jì)服務(wù),除了防護(hù)產(chǎn)品本身的功能、性能、穩(wěn)定性,易用性等方面,還需要考慮防護(hù)產(chǎn)品廠家的技術(shù)實(shí)力,服務(wù)和支持能力,應(yīng)急經(jīng)驗(yàn)等;企業(yè)在選擇服務(wù)器時(shí),乍眼一看,各路服務(wù)商沒(méi)有什么區(qū)別,選擇資歷過(guò)硬的服務(wù)商,往往能夠在服務(wù)器出現(xiàn)攻擊威脅的時(shí)候進(jìn)行告警、流量防御和牽引處理,保障企業(yè)的業(yè)務(wù)連續(xù)性。
6.多層監(jiān)控、縱深防御。從骨干網(wǎng)絡(luò)、IDC入口網(wǎng)絡(luò)的BPS、PPS、協(xié)議分布,負(fù)載均衡層的新建連接數(shù)、并發(fā)連接數(shù)、BPS、PPS到主機(jī)層的CPU狀態(tài)、TCP新建連接數(shù)狀態(tài)、TCP并發(fā)連接數(shù)狀態(tài),到業(yè)務(wù)層的業(yè)務(wù)處理量、業(yè)務(wù)連通性等多個(gè)點(diǎn)部署監(jiān)控系統(tǒng)。即使一個(gè)監(jiān)控點(diǎn)失效,其他監(jiān)控點(diǎn)也能夠及時(shí)給出報(bào)警信息。多個(gè)點(diǎn)信息結(jié)合,準(zhǔn)確判斷被攻擊目標(biāo)和攻擊手法;
7.完備的防御組織。囊括到足夠全面的人員,至少包含監(jiān)控部門(mén)、運(yùn)維部門(mén)、網(wǎng)絡(luò)部門(mén)、安全部門(mén)、客服部門(mén)、業(yè)務(wù)部門(mén)等,所有人員都需要2- 3個(gè)備份。一般的中心企業(yè),配備一個(gè)這樣規(guī)模的防御組織不太實(shí)際且成本過(guò)高,如果通過(guò)租用有實(shí)力的機(jī)房里的防御能力來(lái)實(shí)現(xiàn)企業(yè)數(shù)據(jù)保護(hù)對(duì)于企業(yè)來(lái)說(shuō)更專(zhuān)業(yè)省心。
8.明確并執(zhí)行應(yīng)急流程。提前演練,應(yīng)急流程啟動(dòng)后,除了人工處理,還應(yīng)該包含一定的自動(dòng)處理、半自動(dòng)處理能力。例如自動(dòng)化的攻擊分析,確定攻擊類(lèi)型,自動(dòng)化、半自動(dòng)化的防御策略,在安全人員到位之前,最先發(fā)現(xiàn)攻擊的部門(mén)可以做一些緩解措施。
總結(jié)
對(duì)于數(shù)據(jù)中心來(lái)說(shuō),針對(duì)DDoS防御,主要的工作是幕后積累,在沒(méi)有充分的資源準(zhǔn)備,沒(méi)有足夠的應(yīng)急演練,沒(méi)有豐富的處理經(jīng)驗(yàn),DDoS攻擊將會(huì)造成災(zāi)難性的后果。通過(guò)在數(shù)據(jù)中心租用服務(wù)器或者進(jìn)行托管服務(wù),利用機(jī)房豐富的帶寬資源和嚴(yán)密的DDoS防御部署,經(jīng)驗(yàn)豐富的運(yùn)維工程師,讓企業(yè)在應(yīng)對(duì)攻擊勒索的時(shí)候有更多的底氣來(lái)應(yīng)對(duì)勒索行為。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:DDoS攻擊勒索頻繁,數(shù)據(jù)中心如何設(shè)防
本文網(wǎng)址:http://www.ezxoed.cn/html/support/11121521061.html