DDoS保護，緩解和防禦：8個基本技巧

DDoS攻擊比以往任何時候都更來勢兇猛，可以隨時對任何個體或者企業發起攻擊。如果企業想使得自己的網路免受DDoS攻擊，需要從規劃您的響應體系開始。 專家建議如下：

1. 準備好您的ddos緩解計劃

組織必須嘗試預測對手會將哪些應用程序和網路服務作為攻擊對象並制定應急響應計劃，以減輕這些攻擊。

「企業正在越來越多地關注這些攻擊，並規劃如何應對這些攻擊，而且他們在收集自己的內部攻擊信息以及供應商為他們提供幫助打擊這些攻擊的信息方面做的更好。」Tsantes如是說。

IBM的Price女士贊同以上觀點，她說道： 「組織的響應越來越好，他們正在整合企業內部的應用和網路團隊，他們知道什麼時候攻擊響應需要升級，以防被打個措手不及。隨著攻擊者變得越來越老練，金融機構也越來越成熟。」

Day表示：「如果發生對業務產生影響的DDoS攻擊時，災難恢復計劃和測試程序也應該到位，包括制定良好的對外溝通機制。基礎設施在類型和地理位置上的多樣性以及適當的公有雲和私有雲的混合使用也有助於緩解DDoS攻擊的影響。」

BeyondTrust的技術研究員Scott Carlson表示：「任何大型企業都應從網路層面開始保護，具備多WAN接入點以及與大型流量清理提供商（如Akamai或F5）達成協議，以便使攻擊流量到企業邊界之前減輕和重新規劃路徑。沒有物理的DDoS設備能夠跟上WAN速度的攻擊，所以必須先在雲中將其清洗掉。確保您的操作人員具有適當的程序，以便輕鬆重新路由流量以進行清洗，並且還會使飽和的網路設備進行故障切換。

2. 進行實時調整

企業需要對DDoS攻擊作出實時調整，雖然這一直是事實，但2012年和2013年，當一波攻擊襲擊了金融服務業和銀行業的時候，其中包括美國銀行，Capital One，Chase，花旗銀行，國民銀行和富國銀行，這一事實變得愈加明顯。 這些攻擊既無情又複雜。 Arbor Networks美洲公司解決方案架構師Gary Sockrider說：「這些攻擊不僅是多向量的，而且戰術也實時改變。 攻擊者將會觀察網站的回應，當網站重新上線時，黑客會使用新的攻擊方式。

他說：「他們是堅定的，他們將會在一些不同的埠，協議或新的源頭上攻擊你，總是改變戰術。企業必須做好與對手一樣快速靈活的準備。」

3. 獲得DDoS保護和緩解服務

CynergisTek網路安全戰略副總裁John Nye解釋說，在這些攻擊發生時企業可以自己做很多事情來做好準備或者作出調整，但是獲得第三方的DDoS保護服務可能是最經濟的路徑。 「監視可以在企業內進行，通常在SOC或NOC中，以監視過多的流量，如果它與合法的流量有足夠的區別，那麼它就可以在web應用程序防火牆(WAF)或其他技術解決方案中被阻擋。雖然可以構建更強大的基礎設施來處理較大的流量負載，但該解決方案比使用第三方服務的成本更高，」Nye說。

數據中心服務提供商Cyxtera首席網路安全官Chris Day贊同Nye的觀點，企業應考慮獲得專業的幫助。企業應該與DDoS緩解公司和/或其網路服務提供商合作，以便在發生攻擊的情況下具備緩解能力或至少準備快速部署。

Nye補充說：「企業可以做的最有用的一件事 - 如果他們的Web存在對他們的業務至關重要 - 就是獲取第三方的DDoS保護服務。我不會在這種情況下推薦任何特定的供應商，因為最好的選擇是視情況而定的，如果企業正在考慮使用這樣的服務，他們應該徹底地調查這些可選項。」

4. 不要僅依靠周邊防禦

在幾年前針對金融服務公司的DDoS攻擊報告中，我們採訪的每個人都發現，他們傳統的內部部署安全設備——防火牆，入侵防禦系統，負載均衡——都 無法阻止攻擊。

Sockrider在談到幾年前對銀行和金融服務的襲擊時說「我們看到這些設備無法應對，這個教訓真的很簡單：你必須有能力在DDoS攻擊到達這些設備之前緩解DDoS攻擊。他們很容易受到攻擊，它們與您嘗試保護的伺服器一樣脆弱。」部分緩解措施將不得不依賴上游網路提供商或託管的安全服務提供商，這些提供商可能會中斷遠離網路周邊的攻擊。

當面臨大量攻擊時，尤其重要的是要在上游對攻擊進行緩解。

Sockrider說：「如果你的互聯網連接是10GB，你受到一個100GB的攻擊，那麼試圖打破10GB的標準是沒有希望的，你已經在上游就被消滅了。

5. 對抗應用層攻擊

對具體應用的攻擊通常是隱形的，體積更小，更有針對性。

Sockrider說：「它們被設計為在雷達下飛行，因此您需要在內部或數據中心進行保護，以便您可以執行深度包檢測並查看應用層中的所有內容，這是減輕這些類型攻擊的最佳方法。」

Signal Sciences公司的戰略，營銷和合作夥伴關係副總裁Tyler Shields補充說：「組織將需要一個能夠處理應用層DoS攻擊的Web保護工具。 具體來說就是那些允許您配置它以滿足您的業務邏輯的工具。網路化的緩解方式已經不能夠滿足需求了。」

一家名為Aqua Security容器安全公司的聯合創始人兼首席技術官Amir Jerbi，解釋了為防止DDoS攻擊而採取的其中一個步驟是通過在多個公共雲提供商上部署來為應用程序增加冗餘。 「這將確保如果您的應用程序或基礎架構提供商遭到攻擊，那麼您可以輕鬆地擴展到下一個雲部署，」他說。

6. 合作

銀行業在這些攻擊中正在進行一些合作。他們揭示的一切在他們中間都得到了嚴格的保護和分享，但是在有限的方式中，銀行正在比大多數行業合作得更好。

IBM金融部門的安全戰略師Lynn Price表示：「他們彼此合作，並與電信運營商合作。他們直接與服務提供商合作。他們不得不如此。他們不能只工作，也不能孤立地取得成功。」

例如，當金融服務行業成為目標時，他們轉而向金融服務信息共享和分析中心提供支持，並分享有關威脅的信息。 Akamai Technologies金融服務首席戰略師Rich Bolstridge說：「在其中一些信息共享會議中，銀行在談論正在進行的攻擊類型及其實施的被證明是有效的解決方案方面非常開放，這樣一來，大銀行至少已經在互相合作交談了。

金融部門的戰略是可以而且應該在其他地方採取的，無論行業如何。

7. 注意二次攻擊

儘管DDoS攻擊代價高昂，但有時它們可能只是分散注意力，為更邪惡的攻擊提供掩護。

Price說：「DDoS可以成為從另一個方向來的更嚴重的攻擊的轉移策略。銀行需要意識到，他們不僅要監視和捍衛DDoS攻擊，而且還要注意DDoS可能只是多面攻擊的一個方面，可能是竊取帳戶或其他敏感信息。」

8. 保持警惕

儘管很多時候DDoS攻擊似乎只針對高調的行業和公司，但研究表明這並不準確。如今，相互關聯的數字供應鏈(每一個企業都依賴於數十個甚至數百個在線供應商)，通過網路攻擊、國家發起的針對其他國家的行業的攻擊，以及啟動DDoS攻擊的易用性，每個組織都必須考慮自己就是一個被攻擊的目標。

所以做好準備，並用本文中的建議作為建立組織自身抗DDoS策略的啟動點。

參考來源：CSOonline

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！