分布式拒绝服务 (DDoS) 攻击是一种网络攻击,其中恶意行为者用大量数据淹没目标系统或网络,从而压倒预期目标,使合法用户无法使用。
当遭受DDoS攻击时,系统会陷入瘫痪,并且经常完全没有响应。防御者必须迅速采取行动阻止攻击,这可能需要外部援助,甚至暂时关闭资源;使用日志、警报和其他资源确定DDoS攻击的类型;最后,通过更改安全架构并投资工具来防止未来的攻击,从而从攻击中恢复过来。
第一阶段:遏制
一旦遭受DDoS 攻击,资源运行就会变得迟缓,甚至保护资源的更改也难以执行。虽然如果不识别攻击就无法完全阻止攻击,但如果系统因恶意流量泛滥而无法访问,则无法识别攻击。
必须停止攻击(即使是暂时的),以恢复内部资源,例如 CPU 容量和内存。将日志发送到其他资源(独立存储、SIEM 解决方案等)的组织可能能够同时阻止攻击并确定 DDoS 攻击的类型。
初始DDoS响应策略
简单的 DDoS 攻击通常可以通过熟练的内部资源进行阻止。但是,请记住,即使是基本的 DDoS 攻击也可能需要借助主机互联网服务提供商 (ISP) 的帮助在上游进行阻止,否则被阻止的 DDoS 攻击流量仍可能威胁连接带宽和 ISP 基础设施。
您可以选择的初始 DDoS 响应选项包括致电您的服务提供商(如互联网和网络托管)、联系网络安全专家、更改您的网络以阻止攻击并加强 DDoS 防护、关闭您的服务以在重新上线之前进行更改,和/或实施新技术以获得更好的保护。
联系服务提供商
在某些情况下,只需联系互联网或网络托管提供商并通知他们有关情况,就可以阻止 DDoS 攻击。他们可能已经知道并正在努力阻止流量。服务提供商可以确认攻击的存在并实施一些更改以阻止恶意流量进入网络。其中一些包括:
- 增加带宽:增加带宽可以帮助您抵御 DDoS 攻击或完全缓解攻击,但可能不具成本效益。
- 更改 IP 地址/范围:更改您的 IP 地址和 DNS 信息可以暂时阻止攻击,直到攻击者瞄准新的 IP 地址。此外,需要更改多个内部系统以反映新的 IP 地址。
虽然联系服务提供商很有帮助,但这可能还不够。典型的互联网机器人 DDoS 攻击规模可达100 到 500 Gbps,一些更大规模的攻击每秒可达到1 亿次以上请求。如果没有专业帮助,即使是最大的企业也难以阻止这种规模的攻击。
聘请网络安全专家
利用熟练的专业人员和高端工具和服务的组合是防御 DDoS 攻击以及保护自己免受未来攻击的最有效方法之一。这些方法包括:
- 网络安全专家:应联系安全顾问、托管检测和响应(MDR) 专家和其他专业人员,以帮助阻止攻击、改进针对未来攻击的系统,并推荐其他事件响应工具和服务。
- 云服务:基于云的DDoS 防护服务通常提供阻止 DDoS 攻击的最全面的选项,因此组织通常会将其部分或全部基础设施迁移到 AWS、Microsoft Azure 或 Google Cloud 等云提供商。
请务必更新您的访问控制列表,以允许服务与受保护系统之间的连接并阻止其他连接,这样就不会有任何东西绕过 DDoS 服务。但是,也请记住,即使是云提供商也无法阻止源自组织网络内的 DDoS 攻击。
虽然拥有专业工具和服务值得投资,但它仍然是一项昂贵的投资,超过任何内部解决方案,可能不是公司愿意承担的费用。此外,在您受到攻击时寻找合格的专业人员可能会很困难且压力很大。
此外,安全专家通常会记录僵尸网络和攻击媒介,以便他们能够迅速采取行动,甚至在攻击发起之前就阻止攻击。
过滤目标IP地址和位置
查看日志文件通常会揭示有关您的网络的宝贵信息,包括产生大部分 DDoS 流量的 IP 地址和位置。然后,您可以使用这些信息在您的网络上启用快速且廉价的防御措施。一些选项包括:
- IP 过滤: IP 过滤将允许您阻止特定的 IP 地址。
- 地理封锁:地理封锁允许您阻止来自某个地理位置的连接。
这些可以为团队提供急需的时间来开发和部署其他策略,但很少是永久性的解决方案,因为攻击者可以欺骗他们的 IP 地址或利用未封锁地区的僵尸网络,导致安全打地鼠游戏,防御者不断试图跟上攻击者。
此外,来自被阻断区域的任何合法流量都将无法访问您的资源,这可能会导致该地区的财务损失和声誉受损。最后,通常建议在 ISP 级别也应用这些过滤器,以避免被阻断的流量所消耗。
启用或加强DDoS保护选项
组织应检查其现有资源(服务器软件、路由器固件等),以查找可能尚未激活的 DDoS 保护选项。检查您的网络设备是否有以下安全选项:
- 路由器上的 DDoS 保护:启用此功能可通过监控进入网络的流量数据包数量来帮助保护您的网络免受 DDoS 攻击。
- 速率限制:速率限制是一种安全功能,它限制了特定时间范围内可以发出的请求数量。
由于这些功能已内置于多个网络设备中,因此在攻击发生之前在网络上设置和运行这些功能应该相对容易且成本低廉。它们在攻击期间可能无效,您可能直到攻击之后才能部署这些功能。
关闭服务
有时,关闭受到攻击的系统是最佳选择。在恢复在线状态之前,可以隔离服务或资源并加强其防御能力,防止进一步受到攻击。以下是一些示例:
- 停止特定请求:如果您注意到自己正受到特定网络请求(即 SYN 洪泛)的轰炸,则可以对传入的连接请求进行速率限制。
- 阻止下载:如果特定服务试图下载非常大的文件,则防御措施可能是暂时禁用下载而不影响网站的其余部分。
这是一种快速、廉价且有效的阻止 DDoS 攻击的方法。但停机时间也可能对组织造成破坏和成本高昂。尤其是在系统完全关闭的情况下。
实施新技术
此步骤需要最深入的规划和配置,理想情况下应尽早实施,而不是在攻击发生后实施,因为在攻击发生后,决策可能会仓促做出,考虑事项可能会被忽视。需要考虑的一些工具包括:
- 防火墙:防火墙是一种监控网络流量并实施安全策略以阻止可疑网络活动或恶意攻击的工具。
- 安全网关:此工具类似于防火墙,但主要用于阻止可疑的网络流量。
- DDoS 防护设备: DDoS 防护设备是一种专用于分析网络流量以检测和阻止 DDoS 攻击的设备。
这些工具的缺点是部署起来成本高昂且耗时,并且需要大量资源进行维护。此外,它们无法防御外部攻击,并且可能无法快速扩展以防御更大规模的攻击。
任何受到攻击的组织都应探索所有选择,并根据其当前情况实施他们认为最有可能成功的措施。
非技术性DDoS响应
即使事件响应团队可能正在努力应对 DDoS 攻击,组织仍必须与其他利益相关者打交道。攻击发生后,请遵循以下非技术响应:
- 通知高管和利益相关者:需要根据组织的事件响应计划通知所有高管和利益相关者并不断更新。
- 建立内部沟通:告知员工可用的内部资源或完成其职责的替代方法。
- 协调公共关系:根据事件响应计划联系客户了解系统状态。
- 联系您的保险提供商:必须通知网络安全保险公司、监管机构(证券交易委员会等)和执法部门。
管理层应将非技术援助纳入事件响应团队,以协调、管理和执行与利益相关者的书面、口头和电话沟通。高管甚至可能希望在团队中嵌入某人,该人有权批准费用或协调从 DDoS 攻击中恢复所需的快速采购授权。
内部攻击与外部攻击
上述初始 DDoS 技术适用于所有攻击。但是,根据 DDoS 攻击的类型和受影响的架构,某些技术会比其他技术更有用。您需要了解保护内部网络和外部资源(如视频游戏系统)免受 DDoS 攻击之间的区别。
阻止内部和外部路由器、服务器和网站DDoS攻击
暴露在互联网上的实用程序、应用程序和网站资产通常会成为 DDoS 攻击者的目标,因为它们最容易受到影响。托管或支持这些资源的服务器通常会遭受 CPU、内存和带宽过载。
这些攻击与针对服务器和路由器的内部 DDoS 攻击截然不同,后者针对的是内部网络协议和资源。不过,一旦攻击开始,保护这些不同资源的步骤将非常相似。
1. 阻止初始攻击
检查日志文件并开始阻止与攻击(内部或外部)相关的 IP 地址,使用地理围栏来阻止特定区域,或者对于内部攻击,甚至关闭产生流量的受损本地设备。
然而,有些情况不允许DDoS攻击者关闭设备。例如,如果攻击者将医院的呼吸机变成僵尸网络,医院就无法简单地关闭呼吸机,否则会严重影响患者的健康。
此外,许多攻击者一旦意识到攻击已被阻止,就会改变策略和攻击源。尽管阻止可能只是暂时有效,但它有助于争取时间实施更有效的保护措施。
2. 避开攻击
如果阻止无效,请尝试更改服务器 IP 地址、路由器 IP 地址或网站 URL,以将服务器移出 DDoS 攻击路径。与阻止攻击一样,这可能只是暂时的缓解,但它可以为实施需要更多时间才能执行的其他策略赢得时间。
3.停止服务
如果阻止或避开攻击不起作用,组织可能需要停止受到攻击的服务(例如 PDF 下载、购物车、内部路由器等)。
部分或全部停止网站、应用程序或内部网络将造成严重破坏,因此不应轻视这一步骤。只有在步骤 1 和 2 无法提供足够的时间来执行下面的其他步骤时,才应执行此步骤。
4. 启用额外保护
当部分事件响应团队试图阻止现有攻击时,其他成员应致力于通过以下方式启用针对 DDoS 攻击的其他保护措施:
- 致电 ISP: ISP 可以帮助为受到攻击的网站、应用程序和公开暴露的设备(防火墙、服务器、路由器等)设置外部 DDoS 防护服务。
- 评估防火墙保护:安装WAF 服务或调整当前的 WAF 设置和策略可以增强您的网络防御以阻止攻击,或者您可以通过下一代防火墙 (NGFW) 重新路由您的内部流量。
- 调整速率限制:在网络设备上配置速率限制可以改变现有防火墙、服务器和其他相关资源的请求阈值,以限制进入网络的流量。
- 添加工具:添加或升级网络和网站的保护、网络安全产品、网络入侵检测系统 (IDS) 和入侵防御系统 (IPS)以及FWaaS等云防火墙解决方案可以保护您免受未来的攻击。
- 获取帮助:聘请事件响应或托管 IT 安全服务(MSSP) 供应商可以帮助定位并删除驱动 DDoS 攻击的恶意软件。
但请注意,额外的保护措施可能会影响现有的架构或性能。例如,负载均衡器可能会被 DDoS 工具绕过,或者 DDoS 保护设备的数据包检查可能会导致流量延迟。
还请记住,取证或安全调查将成为恢复过程的一部分,特别是对于可能引发网络安全保险索赔的任何攻击。需要找到并删除攻击者引入的初始感染、接入点、恶意软件和系统更改,以防止未来的 DDoS 攻击或其他类型的攻击(勒索软件、数据盗窃等)。
阻止外部路由器或视频游戏系统DDoS攻击
小型企业、游戏服务器和主播通常将路由器直接连接到互联网,攻击者可以找到他们的 IP 地址来攻击他们。由于没有 IT 专业人员支持环境,对这些暴露系统的攻击可能会导致互联网访问完全中断。阻止这些攻击的一些方法是更改您的 IP 地址、在您的设备中启用防御功能以及添加额外的安全层。
1.重置IP地址
避免 DDoS 攻击的最快方法是重置 IP 地址。有几种方法可以实现此目的:
- 最快捷的方法 — 拔掉电源:拔掉路由器、游戏系统,有时还要拔掉调制解调器。路由器 IP 地址重置最短只需 5 分钟即可分配新 IP 地址,最长则需要 24 小时,具体取决于 ISP。
- 最佳方法——联系 ISP:联系互联网服务提供商 (ISP);一些 ISP 限制 IP 地址的更改,需要直接联系,但 ISP 也可以实施额外的安全措施或提供额外的服务来阻止 DDoS 攻击。
- 管理控制台 IP 重置:通过 Web 浏览器以管理员身份登录路由器控制台并更改 IP 地址;请查看路由器手册以获取说明。
- 命令提示符 IP 地址重置:使用命令行提示符(如 ipconfig(Windows、MacOS)或 ip(Linux))释放和更新 IP 地址;MacOS 用户还可以使用高级系统偏好设置来选择 TCP/IP 和“更新 DHCP 租约”。
当然,这种技术会导致互联网或网络不可用,直到路由器重新启动,攻击者仍然可以搜索新的IP地址来攻击路由器。
2. 激活 DDoS 防御选项
您还可以探索所用装备的防御选项。一些防御选项包括:
- 路由器保护:检查路由器管理控制台和手册,了解可以启用或加强的其他 DDoS 保护选项。这些可以快速激活,但可能会影响性能。
- 升级设备:较旧的路由器或消费级路由器可能缺乏防御现代 DDoS 攻击和其他常见网络威胁的功能。考虑升级到具有更多安全功能或容量的设备。
- 启用隐私模式:某些游戏机在菜单中提供隐私和在线安全选项,可用于最大限度地减少公开信息。例如,Xbox 具有“私人模式”功能,可在“更多选项”>“Xbox 设置”>“隐私和在线安全”下找到。
3. 添加保护层
为了阻止未来针对路由器的攻击,请考虑添加额外的保护层:
- 添加设备:在路由器和互联网之间添加网络保护设备,如防火墙、安全网关和 DDoS 保护。
- 升级或添加专业级设备:考虑购买提供更多安全性的新型路由器和下一代防火墙。
- 基于云的保护:添加来自 Cloudflare 或 Sucuri 等供应商的云解决方案,例如 FWaaS 或 DDoS 保护服务。
- VPN 网络服务:使用虚拟专用网络 (VPN)来隐藏 IP 地址;但是,由于额外的网络跳数,它会增加 ping。游戏玩家和流媒体可以寻找具有低延迟连接和安全 IP 地址的 VPN 服务。
最佳选择取决于组织或个人的预算和技术能力以及解决方案需要多快实施。
第二阶段:分析
有些攻击会变得明显,因为一切都会停止,但通常会有一段时间,资源在应对 DDoS 攻击的早期阶段时会“表现得很奇怪”。无论哪种情况,除非识别出攻击,否则无法完全阻止攻击,查看日志以确定 DDoS 攻击的类型,并可能追踪攻击的来源。
识别 DDoS 攻击的迹象
DDoS 攻击的最初迹象是延迟。应用程序运行缓慢、网站加载缓慢、服务器响应请求缓慢等。
受到攻击的互联网连接的用户可能会发现自己无法与互联网连接,或无法使用本地资源。网络运营中心、防火墙监控工具、云使用工具和其他监控解决方案可能会捕捉到网络或互联网流量的峰值。
在攻击进行到一定阶段时,资源将变得不可用 — 甚至无法运行诊断工具或访问日志文件和其他报告。团队应尽快做出响应,或确保资源优先发送日志以供分析。
检查并分析日志、警报和记录
理想情况下,第一个故障指标将以日志和警报的形式出现,这些警报来自监控工具和软件,用于检查带宽、应用程序性能、内存或 CPU 问题。警报可以帮助响应团队立即采取行动,并在 DDoS 攻击耗尽资源之前阻止它。
提示:记录所有内容。这些来自 DDoS 攻击的记录为多个团队和利益相关者提供了宝贵的信息,其中包括:
- 事件响应团队:数字取证和事件响应团队将使用日志来帮助他们分析攻击,以便更好地了解发生了什么以及如何防止未来的攻击。
- 网络安全保险:大多数网络安全保险公司在审查索赔以计算损失时都会要求提供报告的日志副本。
如果没有警报,组织可能不得不依赖客户或内部投诉,而这些投诉可能会因资源拥塞(应用程序、服务器等)而延迟,或者直到整个网络因 DDoS 攻击而瘫痪。
攻击特征
攻击特征分析有助于区分攻击流量与合法流量,并确定攻击类型。例如,使用协议禁用基础设施的攻击与针对应用程序中特定功能的应用程序级攻击需要不同的响应。
由于 DDoS 攻击类型众多,因此很难确定具体是哪一种攻击。不过,响应团队会分析日志,查找有关攻击和潜在防御措施的信息。
DDoS 攻击可能需要进行数字取证调查,以确定恶意软件如何进入网络并发起 DDoS。调查人员将收集证据并确保攻击者和恶意软件已从网络中清除。
攻击追溯
DDoS 攻击追溯旨在识别 DDoS 攻击的来源。例如,如果攻击可以追溯到一系列 IP 地址,则可以通过 IP 阻止来阻止攻击。但是,追踪可能极具挑战性,并且可能无法找到实际的攻击者。
第三阶段:恢复
能够快速消除 DDoS 攻击的组织可能只会遭受不便。不那么幸运的组织将需要评估损失,根据 DDoS 补救措施做出必要的调整,确定采取哪些紧急措施来防止 DDoS 攻击再次发生,并考虑其他预防措施。
DDoS攻击损害
DDoS 攻击造成的损失因组织而异,取决于受影响的资源。然而,Corero最近的一项调查估计,DDoS 攻击每小时可使组织损失数十万美元,大型组织可损失高达 100 万美元,平均每分钟略高于 6,000 美元。然而,这些报告均未考虑其他成本或业务和声誉损失。
遭受 DDoS 攻击后,组织需要记录其保险成本和损失,并制定预算,用于购买工具和服务以防止未来的 DDoS 攻击。
DDoS 补救措施调整
为了阻止攻击,组织可能会对架构或软件进行更改,而这无意中会导致其他问题。恢复过程的一部分需要检查基础设施以检测和修复那些损坏的组件或链接。例如,将网站移至 DDoS 过滤服务提供商之后可能只会移动主域。子域可能需要手动迁移。
同样,与其他第三方工具的集成可能需要额外的配置。例如,发布网站可能会发现他们的 Web 内容管理系统不再正确连接到受 DDoS 提供商保护的发布内容,并且可能需要进行更改才能重新连接到它。
对于在网络内发起的 DDoS 攻击,可能需要对单个计算机系统进行清理,以消除恶意软件或攻击者访问设备进行未来攻击的能力。有时这还可能触发数据和系统恢复需求。
DDoS 攻击经验教训
生成一份经验教训报告,解释所发生的一切,并清楚地说明如何防范类似的攻击。应立即实施缓解措施,但如果不切实际,则应尽快规划缓解措施并提出预算建议。
补救 DDoS 攻击的成本以及停机造成的任何业务损失将提供一个粗略目标,以便与缓解预算进行比较。
如果攻击规模或影响巨大,请向执法机构或CERT 等行业组织报告事件。报告攻击可以建立主要攻击者的档案,并有助于摧毁911 S5和Raptor Train等主要僵尸网络。
了解三个阶段
事件响应团队经常会同时执行这些阶段。此外,当攻击者观察防御者的行为时,他们通常会改变策略,并要求防御团队在这些阶段及其内部步骤之间进行迭代。
当然,每个阶段的具体内容都将高度定制,并取决于许多因素,首先是 DDoS 攻击的类型、 受到攻击的资源(路由器、网站、应用程序、服务器等)以及已经实施的DDoS 保护或缓解措施。
此外,IT 架构、防御者的资源以及攻击者的奉献精神也将在如何进行各个阶段和技术方面发挥重要作用。
幸运的是,ISP 和供应商可以为有需要的人提供专业的DDoS 防护服务。但是,他们执行的几项任务与我们介绍的类似,不同之处在于他们可能拥有更多的经验和更复杂的工具。
OSI 模型和 DDoS 攻击
网络上的所有通信都以网络数据包的形式发送。当每台计算机或防火墙收到数据包时,设备将检查内容并根据标头中的说明处理数据包。DDoS 攻击会滥用这些数据包并试图利用潜在的弱点来使系统过载。OSI 模型的不同层可用于确定DDoS 攻击的类型:
# | 层名称 | 流量类型 | DDoS 攻击类型 |
1 | 物理层 | 跨越硬件的比特 | 此等级无攻击 |
2 | 数据链路层 | 寻址框架 | 此等级无攻击 |
3 | 网络层 | 待配送包裹 | UDP反射攻击、Ping of Death等 |
4 | 传输层 | 可靠通信部分 | ACK 洪水、SYN 洪水等等。 |
5 | 会话层 | 主机间通信的数据 | Telnet 漏洞(应该已经过时了) |
6 | 表示层 | 数据表示和加密 | SSL 滥用 |
7 | 应用层 | 应用程序使用的数据 | DNS 查询洪水、HTTP 洪水 |
然而,知道哪一层受到攻击对于阻止或阻止攻击几乎没有帮助。从本质上讲,所有攻击通常分为两类:
- 基础设施层攻击(第 3、4 层):这些 DDoS 攻击会通过大容量或畸形数据包攻击影响防火墙、服务器和路由器。如果这些攻击来自外部,ISP 和托管合作伙伴通常可以帮助应对这些攻击。
- 应用层攻击(第 6、7 层):这些攻击通过超载信息请求来针对网站和应用程序。它们可以通过Web 应用程序防火墙阻止,但可能需要添加验证码等附加功能来阻止自动请求。
在执行阻止 DDoS 攻击的三个关键阶段后,组织将发现自己处于更有利的位置。但是,仅靠恢复无法阻止未来的 DDoS 攻击,因为它们只能解决最后的攻击。阻止 DDoS 攻击的最佳方法始终是组织采取主动并在受到攻击之前采取防御措施。
预防未来 DDoS 攻击的 5 个步骤
IT 和安全团队可以部署多种方案来应对 DDoS 攻击,这将有助于控制和管理攻击发生时的未来影响。其中包括:
- 加强防御攻击:更新、修补和更改设置以保护资源免受攻击。
- 部署反 DDoS 架构:配置资源并实施策略,保护资源免受潜在攻击并最大限度地减少成功攻击的影响。
- 使用反 DDoS 工具:启用功能并添加工具来检测和防范或减轻 DDoS 攻击的影响。
- 设计 DDoS 响应手册:制定安全、运营和管理团队如何应对 DDoS 攻击的计划。
- 安装 DDoS 监控:安装监控来监视并提醒工作人员注意攻击的迹象。
底线:现在做好准备,否则以后会遭殃
随着攻击者的技术和能力不断提高,防御者必须保持警惕。阻止 DDoS 攻击不仅会变得更加困难,而且攻击者还会继续加快利用机会窗口的速度。组织现在应该为未来的 DDoS 攻击做好准备,并利用可用的强大工具和服务来帮助他们。
