DDoS 攻击比以往任何时候都更大、更凶猛,可以随时攻击任何人。根据Verizon 最新的 DDoS 趋势报告,与去年相比,2018 年上半年的攻击峰值规模增长了 111%。赛门铁克赛门铁克安全响应中心的威胁研究员 Candid Wueest 说:“攻击者掌握了越来越多的机器,他们可能会滥用这些机器进行 DDoS 攻击。”
即使最近国际僵尸网络运营商备受瞩目,但在其他僵尸网络接管之前的几个月内,活动可能会略有减少。“在赛门铁克,我们与执法部门合作并帮助他们取缔僵尸网络,”他说。“不幸的是,利用新的物联网——路由器、闭路电视摄像机和所有这些设备,摆脱所有这些设备并不真正可行。大多数人甚至不知道他们的物联网设备是否被用于攻击。”
2 月份,GitHub 遭受了每秒 1.35 TB 的攻击,这是有史以来最大的一次攻击。十分钟内,其 DDoS 缓解供应商 Akamai Prolexic 就开始工作。八分钟后,攻击者放弃了。该记录在下个月被打破,Netscout Arbor 报告了针对一家美国公司的 1.7 Tbps 攻击,但由于部署了缓解防御措施,因此没有报告中断。Wueest 说,此类攻击规模太大,任何公司都无法独自应对。
据 Verizon 称,攻击变得越来越复杂,现在有 52% 的攻击采用了多种攻击媒介。“他们可能从一种攻击方法开始,然后当你缓解它时,切换到另一种,”Wueest 说。“他们可以多次这样做,因为他们可以使用很多不同的攻击方法。”
一旦有人想出新的攻击方法,犯罪分子就会立即寻找将其货币化的方法,或者将其包含在他们的僵尸网络工具包中。“DDoS 市场的运作方式与我们看到的其他犯罪市场类似,”Sophos Ltd. 的首席研究科学家 Chet Wisniewski 说,“没有什么坏主意是没有回报的。”
考虑到这一点,我们收集了一些必要的建议,以防止 DDoS 攻击。
1. 准备好 DDoS 缓解计划
组织必须尝试预测应用程序和网络服务对手将针对的应用程序和网络服务,并起草应急响应计划以减轻这些攻击。“企业更加关注这些攻击并计划他们将如何响应。而且他们越来越擅长收集自己的内部攻击信息以及他们的供应商为帮助对抗这些攻击而提供的信息,”Chip Tsantes 说,安永会计师事务所信息安全咨询服务负责人。
IBM 金融部门安全策略师 Lynn Price 对此表示赞同。“组织在响应方面变得越来越好。他们正在整合他们的内部应用程序和网络团队,他们知道什么时候需要升级攻击响应,这样他们就不会措手不及。所以随着攻击者变得越来越老练,所以是金融机构,”她说。
“如果确实发生了影响业务的 DDoS 攻击,包括良好的公共消息传递,还应该制定灾难恢复计划和经过测试的程序。数据中心服务提供商 Cyxtera 的首席网络安全官 Chris Day 表示,基础设施在类型和地域方面的多样性也有助于缓解 DDoS 以及与公共和私有云的适当混合。
“任何大型企业都应该从具有多个 WAN 入口点的网络级保护开始,并与大型流量清理提供商(例如 Akamai 或 F5)达成协议,以在攻击到达您的边缘之前减轻和重新路由攻击。没有任何物理 DDoS 设备可以跟上 WAN 速度攻击,因此必须首先在云中清理它们。BeyondTrust 的技术研究员 Scott Carlson 说:“确保您的运营人员制定了适当的程序,可以轻松地重新路由流量以进行清理,并对饱和的网络设备进行故障转移。”
2. 实时调整
虽然企业需要能够实时调整以应对 DDoS 攻击一直是事实,但当 2012 年和 2013 年金融服务和银行业遭受一波攻击浪潮时,这种情况变得越来越多,其中包括 Bank of美国、第一资本、大通银行、花旗银行、PNC 银行和富国银行。这些攻击既无情又复杂。Arbor Networks 美洲解决方案架构师 Gary Sockrider 说:“这些攻击不仅是多向攻击,而且策略会实时改变。” 攻击者会观察网站如何响应,当网站重新上线时,黑客会调整新的攻击方法。
“他们很坚决,他们会在一些不同的端口、协议或新来源上攻击你。总是改变策略,”他说。“企业必须准备好像他们的对手一样快速和灵活。”