博客

处于危险中的应用: DDoS 攻击的持久威力

F5 缩略图
F5
2020 年 9 月 10 日发布

applications是您公司的门面。 如今,赢得或失去客户的善意转瞬即逝,因此任何类型的停机都是不可能的。 您停止工作的每一秒都可能是财务和/或声誉损失的潜在前兆。

虽然有许多新奇的网络攻击能够造成破坏和伤害,但这种明显的“老派”威胁仍然是最突出(和破坏性最强)的威胁之一。

分布式拒绝服务 (DDoS) 攻击并不是什么新鲜事。 事实上,据报道,第一起类似于拒绝服务攻击的已知事件发生在 1974 年,当时伊利诺伊大学一名 13 岁的孩子破坏了一间房间,里面装满了连接到学习管理系统的终端。

时代已经发生了变化,但 DDoS 攻击却不断演变、不断增强并造成严重破坏。 在新冠疫情爆发之后尤其如此,过去两个季度的许多行业报告都强调了全球范围内的显著增长。

然而,甚至在疫情爆发之前,DDoS 威胁就已经呈上升趋势。 例如, F5 安全事件响应团队最近对数据的分析指出,2019 年针对服务提供商的所有攻击中有 77% 与 DDoS 有关。 2017年这一比例约为30%。

有哪些风险?

DDoS 攻击通常有三种形式。 高带宽攻击(也称为容量泛洪攻击)是最常见的。 大量流量被发送到目标受害者的网络,目的是消耗大量带宽,导致用户无法访问。

然后是协议攻击(有时称为“计算”或“网络”攻击),它通过利用协议的弱点或正常行为来拒绝服务。 这些通常是 OSI 第 3 层和第 4 层协议,例如 ICMP(互联网控制消息协议)、TCP(传输控制协议)、UDP(用户数据报协议)等。 其目标是耗尽网络或中间资源(如防火墙)的计算能力并实现拒绝服务。

最后,可以说是最难攻克的,是应用层攻击(也称为 OSI 第 7 层攻击),其目标是 Web 服务器、Web应用平台和特定的基于 Web 的应用,而不是网络本身。 这是当攻击者试图破坏服务器并使网站或应用无法访问时。 这些攻击可能针对已知的应用漏洞、其底层业务逻辑,或滥用更高层协议,如 HTTP/HTTPS(超文本传输​​协议/安全)和 SNMP(简单网络管理协议)。 此类攻击通常使用较少的带宽,并且并不总是会导致流量突然增加,这使得它们更难以检测和缓解,并且不会出现误报。 应用层攻击以每秒请求数来衡量。

安全团队面临的最大挑战之一是发起 DDoS 攻击的难度;大量的在线资源意味着几乎任何人只要单击按钮就可以成为网络犯罪分子。 您还可以付费服务来攻击您选择的目标。 每个人都在这么做,无论是黑客活动分子、心怀不满的前雇员、利用现成代码的“脚本小子”还是民族国家行为者。

不幸的是,没有办法完全避免成为目标,但你可以采取一些措施来更好地保护您的组织。

保持安全

首先,制定 DDoS 应对计划至关重要。 这应该是一份剧本,概述了事件响应的每个步骤(人员、流程、角色、程序等)。

为了有效缓解基于应用程序的 DDoS 攻击,所有组织都需要:

  • 了解典型的交通行为并利用见解消除异常。
  • 要准确。 能够将合法的活动激增与攻击区分开来意味着您可以保持所需的用户体验而不会增加风险。 了解受到损害的系统的性能非常重要。
  • 找出作恶者。 application层攻击涉及建立连接。 这意味着有机会找到攻击的源头。
  • 生成攻击特征。 如果涉及大型代理服务器,阻止攻击源可能会切断合法用户的访问。 利用针对攻击的独特签名,您可以在细粒度级别上进行阻止。 您可以找到攻击中的弱点并利用它对付威胁行为者。

在实施特定的 DDoS 保护解决方案时,您应该始终以您的组织遭受攻击的频率(或遭受攻击的可能性)、您内部防御攻击的技能、可用预算以及您的网络的容量和限制为基础。 部署选项包括:

  • 本地。 如果您的网络容量可以处理中等程度的攻击(在 10 到 50 Gbps 的范围内)、经常受到攻击且您拥有熟练的内部 DDoS 缓解人员,那么内部部署 DDoS 解决方案就可以发挥作用。
  • 外包解决方案。 如果您的网络电路无法处理大于 10 Gbps 的攻击,则攻击风险较低,并且您没有内部专业知识来管理内部解决方案,那么建议使用 DDoS 清洗中心(外包服务)。
  • 混合 DDoS。 如果您容易遭受频繁或大规模的 DDoS 攻击,且攻击规模超出您的网络容量,并且内部缓解专业知识有限,则可以选择混合模型并将托管服务与本地 DDoS 解决方案结合使用。

除了这些建议之外,您还应确保您的网络基础设施受到防火墙和入侵检测系统的保护,以监控和分析网络流量。 此外,建议使用防病毒解决方案来抑制恶意软件感染,以及使用负载均衡和冗余来帮助维持可用性。

同时,重要的是不要忽视技术和管理控制,例如将远程管理限制在管理网络(而不是整个互联网),以及频繁扫描面向互联网的网络端口和服务。

每个人都应该认真对待 DDoS,预计在某些时候会受到攻击,并制定与业务目标紧密结合的计划和缓解措施。

要了解有关 DDoS 缓解的更多信息,并直接听取 Sven 和其他 F5 专家的意见,请注册参加 9 月 29 日的 BrighTALK 虚拟峰会“为您的应用程序做好未来准备并保证其安全”。