成功减轻DDoS攻击的基础包括:知道监视什么、全天候地监视这些征兆、有技术和能力来确认和减轻DDoS攻击,同时又允许合法的通信到达目的地,并拥有实时的正确解决问题的技能和经验。下面讨论的最佳方法就反映了这些原则。
最佳方法一:实现数据收集集中化,并理解其趋势
1、集中化监视
运用集中化监视功能,实现在一个位置就可以监视整个网络及通信模式;将通信的监管限制由一个小团队负责,以保持监管的连续性。
2、理解正常网络的通信模式
为建立进入企业的正常通信的基准,企业应当定期收集来自交换机、路由器及其它设备的样本数据包和其它有关信息。需要知道进入了哪些类型的通信(例如, SMTP、HTTP和HTTPS等)、何时进入(是每个星期三,还是每个月的第一天等)、从何处进入、进入了多少等。建立一个包含超过一年的正常通信模式的监视地图,并将此信息整合到一个用于威胁检测、警告和报告的相关引擎中。
3、跟踪全世界的DDoS历史趋势和威胁情报
对全球的攻击模式进行持续的跟踪和分析,快速验证潜在的攻击和新出现的攻击,并将吸取的教训纳入到适当的事件响应中。使用现有的情报查找预定义的反常问题(即分析签名)。使内部的情报收集与第三方情报供应商的情报相互补充,参与到业界的安全团体和论坛中,其中的信息共享有助于揭示异常活动。
4、实施专门的DDoS警告、日志、报告系统
确保所发出的警告能够告知安全管理员DDoS攻击的迹象,其中包括未必是基于攻击数量的攻击。实施一种日志和相关系统,收集可用于预防未来攻击的详细攻击数据。实施一种明确的过程,用于收集并评估事务、通信的总体状况、应用程序、协议、事件的报告。记住,事务报告与通信报告一样重要。例如,如果所预计的事务数量发生锐减,这比通信量的增加能更有力地表明可疑活动的存在。
5、与经验丰富的安全研究人员协同工作
如果企业并不知道怎样处理数据,即使最好的监视、检测、警告、日志和报告设备也是无用的。安全研究人员应当亲身实践,能够区分可疑通信与合法通信,并随着形势的变化而改变应对策略。
最佳方法二:定义一个明确的不断升级的发展路线
系统化的程序和方法对于有效减轻DDoS攻击是必不可少的。下面给出四大步骤:
1、定义一套标准的事件响应操作程序
在制定操作程序时,要考虑内部的基础架构、服务、应用程序以及可能受到影响的客户和合伙人资源。如果有必要,制定个别的标准化操作程序,以解决特定类型的攻击或受到攻击的特定资源。定期审查标准作业程序,并进行定期的“演习”,确保标准操作程序保持最新,并能正确发挥功能。
2、组建事件响应团队
不要等到发生攻击事件的凌晨才开始决定应当联系哪些人。应当准备、发布、经常更新逐步升级的联系人清单,其中包括用于内部团队、相关客户、厂商、合伙人、上游供应商(如应用程序服务供应商(ASP))的信息。如果你依赖一个互联网供应商(ISP)来减轻DDoS攻击,除非贵公司是一家大型公司,否则,你的服务请求有可能与其它公司的请求一起在排队等候。
3、解决不同职能部门的范围问题
由于DDoS攻击的防护与业务的连续***息相关,因而它是一个全局性的目标。要确认职能部门和职责重叠的具体领域。必须打破不同部门(如网络团队和信息安全团队)之间的壁垒,澄清事件响应的角色和职责,并强化责任。
4、为“宕机时间(因故障而造成的停机时间)”做好准备
要理解哪些系统对于企业是生死攸关的,并且为网络或服务的故障而制定和测试三个计划:短期、中期、长期的连续性计划。
最佳方法三:使用分层过滤
减轻DDoS攻击的目标,是用最小的延迟排除恶意的非法通信,仅允许合法的通信进入网络。实现此目标最有效方法是,使用一种可以利用前文所述的所有方法的多层过滤验证过程。
1、分层过滤通信
使用签名分析、动态分析(根据对正常行为的监视和分析)、反欺骗算法等技术来主动过滤网络上游的有害通信。
2、在OSI堆栈的多层上都应用过滤器
虽然通过在网络层上实施过滤器就可以减少某些攻击,但是当代的攻击更复杂和深入,我们需要在包括应用层的多层上都进行分析和过滤。
3、必要时可限制通信速率
为防止“低容忍”的资源发生瘫痪,根据带宽的并发连接数量,可在必要时运用限制通信速率的能力。
4、能够快速改变和定制过滤器
在必要时,能够快速应用和清除标准过滤器(即签名),也可以根据网络遭受的攻击变化来生成定制的过滤器。
5、随着时间的推移而强化规则集
分析境内外的多种情报、监视、警告和报告日志,然后使用这些信息来不断地更新规则集。
最佳方法四:构建可扩展性和灵活性
为确保在遭受攻击的条件下,系统能够正常发挥功能,企业必须拥有一个高扩展性的、灵活性的基础架构。
1、按需定制的能力
这种能力包括带宽以及硬件处理能力,以及需要处理通信负载的可扩展性。充足的能力至关重要,但要想在一个企业内部维持充足的能力却非常困难,并且常常是不现实的。例如,提供过度的带宽来吸收海量攻击需要花费大量的金钱去购买额外的带宽,甚至有可能还需要购买服务器。此外,在当今的环境中,过度配置带宽也往往是不够的,因为DDoS攻击的规模正以惊人的速度增长,而企业网络到互联网连接的速率一般是1Gbps及其以下。
2、找到临界点
要了解你的基础在遭受攻击的情况下是如何动作的。确定通信的特征,并确认哪些组件在面临沉重负载时会首先垮掉。例如,知道在哪个时点上防火墙或Web服务器会发生故障,知道哪些数据包或查询在某系统上所造成的后果比其它系统更严重。要在镜像生产环境中测试各种情况,而不仅仅是预报,并在改变了基础架构的任何部分后重新进行测试。
3、对基础架构建立负载平衡
一旦确认了临界点,下一步就应当对基础架构建立负载平衡,其目标是优化正常负载和峰值负载情况下的通信流。
4、考虑监视工具的可扩展性
必须保证在高负载的情况下,监视工具仍能继续工作。在有些消耗带宽的DDoS攻击中,监视往往名存实亡,甚至还会报告错误数据。例如,有些监视工具只能报告相同的值,因为它无法报告更高级的东西。
5、增强硬件和软件的多样性
并不是要构建多么复杂的IT环境,而是为了防御某些DDoS攻击针对特定厂商硬件和软件,因而不妨从多个厂商购买硬件和软件工具。
6、利用分布式模式
如果可能,利用一种分布式模式来为高价值的应用和服务构建和维持冗余性。