在實施DDoS攻擊防護服務(wù)之前,有幾件事是企業(yè)應(yīng)該考慮的。專家Ed Moyle討論了提高安全性要采取的幾個步驟。
一些MSSP中有這樣一種說法,有兩種客戶:那些使用DDoS攻擊防護服務(wù)的客戶和那些自己從未遇到過DDoS攻擊的客戶。之所以不難理解的原因是:站在那些經(jīng)歷過的人的出發(fā)點,即便是一次DDoS攻擊事件也會對業(yè)務(wù)運營造成重創(chuàng),以至于只經(jīng)歷過一次就足以將DDoS攻擊防護服務(wù)從一個有很好變?yōu)楸仨毦邆涞姆?wù)。
2015年,比利時魯汶大學(xué)和紐約州立大學(xué)石溪分校發(fā)表了一篇論文,Maneuvering Around Clouds: Bypassing Cloud-based Security Providers,描述了與一些流行的基于云的DDoS攻擊防護技術(shù)相關(guān)的問題。該論文,同CloudPiercer(論文中描述的一個 自動暴露源地址的工具 )一起,演示了攻擊者可能通過向量收集規(guī)避某些類型的DDoS攻擊防護服務(wù)所需的信息。具體來說,許多基于云的DDoS攻擊防護服務(wù)主要依賴更改DNS(即DNS重路由)這種機制來預(yù)過濾DDoS的流量。
以此種方式進行操作的服務(wù)會調(diào)整客戶的DNS記錄來指向他們的站點 - 有時被稱為 流量凈化中心 。他們過濾掉非法的流量,只將合法流量轉(zhuǎn)到受保護的客戶網(wǎng)站。該研究描述的是對受保護站點的原始IP(比如,受保護站點的外部IP)的意外暴露,CloudPiercer工具也對此進行了演示。這樣的暴露會導(dǎo)致攻擊繞過防護;意思就是,如果壞人能找出未受保護的IP,仍然可以進行DDoS攻擊仿佛防護措施不到位一樣。
人們對該研究表現(xiàn)出了一波最初的興趣但之后又平息了下來,但這個問題仍然很重要。DDoS攻擊依舊存在,并且當發(fā)生的時候還是會造成很大的問題;同樣,源地址發(fā)現(xiàn)在那些利用DNS作為矢量化流量方法的工具和服務(wù)方面仍然是一個關(guān)鍵問題。因此,許多實施人員可能想知道在云里如何使用DNS重路由具體實施DDoS攻擊防護的方法,或者根據(jù)該研究一個云防護服務(wù)究竟有沒有意義。這不是一個容易回答的問題,但我們可以系統(tǒng)地解決它;總之在實施過程中牢記一些事能在最壞的情況發(fā)生的時候,當你的組織受到一次DDoS攻擊的時候產(chǎn)生截然不同的結(jié)果。
實施注意事項
首先,實施者在評估和實施基于云的DDoS攻擊防護服務(wù)時對源地址發(fā)現(xiàn)的了解是至關(guān)重要的。具體來說,實施人員需要了解源地址發(fā)現(xiàn)到底是什么,以及為什么很重要。大客戶可能會在某些情況下在BGP和DNS之間選擇一種作為流量重定向到凈化中心的方法(比如,當他們可以靈活部署硬件并且至少有一個/24地址前綴 - C類地址)。盡管使用BGP比DNS會引入額外的相關(guān)復(fù)雜性,但以源地址發(fā)現(xiàn)的問題來說是值得的。獲得這種認識一部分可能會為企業(yè)正在評估的服務(wù)提供商帶來一些關(guān)于源地址發(fā)現(xiàn)的尖銳問題,該提供商提供哪些對此有幫助的服務(wù),關(guān)于客戶如何讓信息得到保護等方面有哪些期望和設(shè)想。
其次,建立一個流程來定期的檢查源地址暴露是非常重要的。源地址可能會以幾種方式暴露,而CloudPiercer工具可以檢查其中的一些方式,但請記住,任何對外公開信息的途徑,如一個web開發(fā)者不小心把地址包含一段網(wǎng)站的注釋里,或者固定的MX記錄,以及X.509證書的引用信息, 都可能泄露源地址信息。因此,任何你可以利用的查詢該信息的方法都是有益的。其中包括漏洞掃描工具,應(yīng)用程序測試工具,DLP工具,或任何可以調(diào)整或編寫的幫助查找和標記源地址泄漏的規(guī)則在這里都是有用的。定期的運行這些工具,或進行自我檢查尤其有價值,因為每次評估都是一個 時間點 練習(xí),可以更改配置,快速發(fā)布內(nèi)容的更新。
然后,對DDoS攻擊服務(wù)本身進行測試是有益的。這里要小心不要將DDoS攻擊防護服務(wù)當作保險來看待:認為在當你需要的時候一定會出現(xiàn),用不到的時候則是無形的。更好的方法是測試DDoS攻擊防護,就像測試DR或其他應(yīng)急措施。有信譽的廠商將不會拒絕這一請求;它反而會主動這么做并且將這作為一個展示其能力的機會,它甚至還會幫助你推動這一測試。這不是建議讓某人作為誘餌讓匿名者發(fā)起DDoS攻擊,即使是不對帶寬使用造成影響的小規(guī)模測試都可以確保該服務(wù)是按照預(yù)期工作的,而企業(yè)的花費物有所值。
最后,評估實現(xiàn)一些過濾器或者檢測規(guī)則,對不是來自流量凈化中心的流量進行過濾或檢測。一些服務(wù)提供商也許會建議過濾掉所有不從他們發(fā)起的流量;這在可行的情況下是個不錯的方法,但要注意,也會有一些情況不允許這么做。例如,這種嚴格過濾對于一有巨大安裝基數(shù)的硬編碼的或難以改變IP的遺留應(yīng)用來說很難生效。即便過濾所有除了凈化中心以外的流量是不可能的或者不可行的狀況下,仍然有一些其它的選擇。例如,可以利用一個IDS或其他檢測控制來提醒安全小組不是從服務(wù)提供商發(fā)起的意料之外的連接;雖然這并不會阻止DDoS攻擊,但至少會提醒組織有可疑的事情發(fā)生,比如一個來自攻擊者的偵查探測,該探測將有可能導(dǎo)致后續(xù)更險惡的事情發(fā)生。
盡管如何處理基于DNS的DDoS攻擊防護是一件充滿挑戰(zhàn)的事,但從實現(xiàn)的角度看,企業(yè)可以采取一些非?,F(xiàn)實的步驟,以確保得到他們想要和期望的防護。通過了解源地址發(fā)現(xiàn)是什么,對源地址發(fā)現(xiàn)以及DDoS攻擊防護服務(wù)本身都進行測試,并評估過濾與/或檢測的機制,企業(yè)可以在這一塊保持領(lǐng)先的地位。
文章編輯:CobiNet(寧波)
本公司專注于電訊配件,銅纜綜合布線系列領(lǐng)域產(chǎn)品研發(fā)生產(chǎn)超五類,六類,七類屏蔽網(wǎng)線/屏蔽模塊及相關(guān)模塊配件, 我們是萬兆屏蔽模塊,10G屏蔽模塊,屏蔽線生產(chǎn)廠家。
歡迎來電咨詢0574 88168918,郵箱sales@cobinet.cn,網(wǎng)址www.idouxiong.cn
?2016-2019寧波科博通信技術(shù)有限公司版權(quán)所有浙ICP備16026074號