注:本文来自绿色联盟科技创始人周亚,原标题为《关于黑客组织DDoS勒索事件应急处置的思考》。
1.恶性事件
自2017年6月15日起,“无敌舰队”组织向国内多家证券金融企业和网络金融企业勒索DDoS比特币。超过6家金融基金公司被DDoS攻击勒索,其中4家已经遭受大规模DDoS攻击。攻击总流量从2G到20G不等,对企业网络造成了非常严重的危害。但“Armada”组织宣称,如果该公司不按照电子邮件规定按时向BTC付款,将发动持续的大规模总流量攻击(该组织声称攻击的总流量可超过1T),并大幅提高敲诈BTC的金额。
事实上,这不是该组织第一次采取行动。早在2015年12月,“无敌舰队(ArmadaCollective)”刚刚开始用DDoS攻击的相同技术勒索中国的互联网公司。
这起恶性事件中收到的勒索邮件内容如下:
2.DDOS安全保护紧急模式
对于DDoS攻击的恶性事件,下面根据其差异和可用场景,对目前销售市场上流行的DDoS安全防护应急方法进行简单对比。
由于选择的引流技术不同,基本的DDoS安全防护应急方法在完成度上也不同。要点如下:
1.本地DDoS保护设备;
2.经营者的清洁服务;
3.云清洗服务。
三种DDoS安全防护应急模式和引流模式的基本原理:
掌握引流技术的基本原理后,简单讨论DDoS应急中各种方法的优缺点:
本地DDoS保护设备:
本地化的防护设备,提高了客户对DDoS的监管能力,保证了业务的安全性和可控性,机器设备有可定制的对策和服务项目。更适合根据攻击报文格式的分析,定制解决多样化、目的性DDoS攻击的对策;但是,当总流量攻击的总流量超过互联网技术链路网络的带宽时,就需要依靠运营商清理服务或云清理服务来清理攻击的总流量。
*** 作员清洁服务:
运营商从安全厂商处购买DDoS防护设备,部署在城域网中。相比Cname引流法,按路由器引流法见效更快。运营商按照清洗服务方式,帮助公司客户应对网络带宽低、易消耗的拒绝服务攻击。而运营商的清洗服务大多是按照流量的方式检查DDoS攻击,对策的粒度较粗。因此,检查低总流量的DDoS攻击类型的实际效果通常并不理想。此外,一些攻击类型受到安全保护优化算法的约束,并且通常出现透明的攻击消息格式。此时,公司客户必须依靠本地DDoS防护设备来完成二级清洗。
云清洗服务:
云清洗服务的应用场景较窄。在使用云清洗服务进行DDoS应急时,为了更好地应对攻击者立即攻击网站真实IP地址的问题,绕过了云清洗管理中心。一般情况下,公司客户必须相互配合,做业务详细地址移除、Cname引流方法等实际 *** 作。,特别是业务详细地址的移除和替换所引起的特定变化很可能出现在整个过程中。另一方面,鉴于HTTPS 洪水的防御,如今的云清洗服务要求客户提交HTTPS业务公钥资质证书,因此可执行性不强。此外,总的业务流程通向云服务平台,这显然对业务数据信息的安全系数提出了挑战。
通过比较三种方法的区别和可用场景,你会发现单一的解决方案无法清理所有的DDoS攻击。强烈建议公司客户在特定情况下可以组建本地DDoS防护设备运营商清洗服务或本地DDoS防护设备云清洗服务,完成分级清洗的实际效果。对于金融行业,更强烈推荐的组件计划是本地DDoS防护设备运营商的清洁服务。对于选择云清洗服务的客户,如果在发生DDoS攻击时,只选择将总流量定向到云清洗服务平台,一定要做好拆除和替换预留业务详细地址的工作(新的业务详细地址不能泄露,否则一旦被攻击者知道,可能就失去了实际意义)。
3.3的实践经验。DDOS安全防护
根据DDoS防御技术工程师总结的工作经验,客户的需求一般包括:
在软件开发和设计的整个过程中,功能的缺点不断被消除,功能不断被改进。
根据各种开发技术,提高软件系统高并发、新创建和数据库的能力,降低应用DDOS攻击的潜在危害;
扫描仪和结构按时加强他们自己的商业机器和设备。
根据目前扫描仪的互联网主要连接点和服务器,排查可能存在的网络安全问题和不规范的安全设备,立即清除新的系统漏洞,对必须完善安全设备的主要参数进行结构加固;
保证资源过剩,提高抗打击能力。
打造多节点三层交换机,配置多路带宽测试,配置强大的计算能力,以此为契机“消化吸收”DDoS攻击;
尽量减少服务项目,暂停业务,整改多余的服务项目和端口号。
纠正多余的服务项目和端口号,尽量减少服务项目。比如WWW网络服务器只对外开放80%而关闭其他所有端口或者在服务器防火墙上采取阻断措施。可以大大降低被与服务项目无关的攻击伤害的概率;
选择专业的商品和服务。
分为三个部分:商品技术和七个部分:设计服务。除了安全防护商品的功能、特点、可靠性、方便性等方面外,还必须考虑安全防护商品生产厂家的技术水平、服务项目、适用性、应急工作经验等。
双层监管,深度防御
从骨干网和IDC通道互联网的BPS、PPS和协议,三层交换机层的新创建线程数、高并发线程数、BPS和PPS到服务器层的CPU,TCP的新创建线程数、TCP的高并发线程数,到业务层的业务输出和业务连接,部署视频监控系统。即使一台监控设备失效,其他监控设备也能立即获得报警信息内容。融合几个点的信息内容,准确区分攻击的整体目标和攻击技巧;
完善的防御机制
照顾全方位的人员,至少包括监管部门、运维管理部门、互联网部门、安全部门、客户服务部门、业务部门等。所有员工必须有2-3个备份数据。
建立并实施紧急措施。
前期演练和应急步骤启动后,除了人力解算外,还应包括一定的全自动解算和全自动解算能力。比如自动化技术的攻击分析,定义攻击的类型,自动化技术和自动化流水线的防御对策,最先发现攻击的单位可以在安全人员及时之前做一些缓解对策。
总结
对于DDoS防御,关键的工作是背后的积累。如果没有足够的资源提前准备、充足的应急演练和丰富的解决问题的经验,DDoS攻击可能会导致毁灭性的不利影响。
注:阅读相关网站基本建设方法的文章,请移至网站建设教程频道栏目。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)