【IT168专稿】近年来,大多数公司都将拒绝服务攻击认为是可接受的威胁,因为成为这种攻击的受害者的可能性以及对企业造成的影响都相对比较小。然而,近日这种类型的攻击却越来越普遍,导致很多企业重新思考这种风险影响。首席执行官关心的是收入损失以及负面新闻;IT部门对崩溃的应用程序和长时间加班感到烦恼。
虽然你不能阻止所有的DDoS攻击,还是有办法可以限制它们的攻击效力,让你的企业更快修复。大多数攻击都是瞄准web应用程序,他们只需简单地向目标web应用程序发送比其可以处理的更多的请求,让它很难被访问者使用。
在这种攻击中,大多数攻击中并不关心系统和应用程序是否崩溃了,虽然他们会对崩溃感到高兴,他们的主要目标是防止目标公司提供的服务响应来自合法用户的请求,为受害公司制造问题。
如果你有适当的监控技术,那么就很容易发现这些攻击。你的网络操作中心(NOC)会显示系统状态:带宽、每秒请求以及系统资源,如果突然或者在短时间内,所有这些趋势都上升,那么监控系统就会发出警报。
在典型的企业中,这些事件将会促使NOC的升级,并且IT团队也会赶紧招募适当的人来处理。管理层也会收到通知说网站和应用程序不正常,所有人都会思考为什么突然请求出现激增。
第一步是分析这些请求的日志。你想要知道请求了什么以及请求的来源。对比新的请求和正常流量来判断这些是否是合法负载。
如果你的企业已经将日志记录集中化管理,那么事情就很好办。但如果日志服务器跟不上,也超负载了,那么可能无法响应你对日志的搜索。如果攻击了你的应用程序,被感染服务器的日志可能无法发送到日志系统。你将要从攻击的开始传输了哪些数据进行分析。
获取日志后,打开归类工具和解析工具,来解析这些日志以了解攻击。
首先,你需要确定攻击是如何进行的。攻击是否发送数据到远程系统没有打开的端口,从而消耗防火墙资源?是否反复请求特定的URL?或者是否只是简单地发送Get / HTTP/1.1请求到web服务器?
通过企业监控,可以确定负载应用的位置。如果你的防火墙的负载很大,而web服务器没有,则说明是第一种类型的攻击。如果web服务器在处理请求方面速度很慢,防火墙在处理负载,比平时更高的资源利用率,那么web应用程序应该被直接攻击了。
知道攻击媒介后,将需要配合日志信息以确定几个关键因素。
通过查看日志,你可以确定攻击工具做了什么。无论请求发送给web应用程序还是由防火墙处理,你寻找的数据是相同的。
违反常规的请求。查看日志可以很清楚的看出攻击的部分,因为会有很高数量的类似请求或者请求样式组合在一起。例如,可能会有1万个请求试图访问一个URL,或者可能有个端口失效。
在某些情况下,分布式工具可能会改变他们的要求。但是,一般情况下,你会看到对相同的资源的请求,来自相同的来源,组合在一起,例如对不存在的网址反复发送请求。确定攻击使用的请求。如果在所有攻击节点都是相同的,你将能够找到攻击者,区分合法流量。
你只要弄清楚了请求的样式,你就能确定攻击者。找到发送最高量和最快请求的攻击节点,这些都是比较大的攻击者。知道最常见的请求以及其来源后,你就可以开始行动了。
笔者经常听到重命名被感染资源(例如URL或者主机名)的建议,但这样只会导致攻击者重构他们的攻击,或者攻击新的资源。
这种策略只有当攻击者调用合法的web应用程序URL(执行一些资源密集型工作,例如大型数据库查询)才行得通。在这种情况下,修改应用程序,执行屏幕确认或者执行攻击者的工具无法理解的重定向(例如CAPTCHA或者具有用户确认和重定向的Flash应用程序)可以减小攻击的影响。不幸的是,在大多数情况下,攻击者只会改变他们的攻击。
在尝试过这些初始步骤后,下一步应该是来源过滤、连接和速率限制。如果我们可以阻止最大的攻击者并减慢其他攻击者,那么我们就可以大大减小攻击的影响。为了成功发动攻击,攻击者的节点必须超过我们的生产集群在给定时间内所能够处理的请求数量。如果我们能够阻止一些攻击节点,那么我们就可以减少系统的负载,让我们有时间阻止更多攻击,通知网络供应商,转移服务等。
为了保护大部分基础设施,最好尽可能的在靠近网络边缘的位置应用过滤器。如果你可以说服网络服务供应或者数据中心在他们的设备部署过滤器,将更便于阻止攻击。
如果你必须在你的设备上部署过滤器,或者你需要等待上游供应商的响应才能开始,那么则可以从边缘设备开始,逐渐向后蔓延。使用所有合适的工具来过滤请求,减小对系统的影响。路由器、负载平衡器、IPS、web应用程序防火墙,甚至系统本身都可以拒绝部分请求。
第一个过滤器应该过滤来自发送最多请求的攻击者的所有连接。向你的访问控制列表(ACL)应用此规则。当然,边缘设备不应该接受发送到其接口的流量,并且不应该响应数据包。如果它们这样做的话,将会成为攻击者额外的攻击目标。
接下来,根据来源来限制连接的速率。这能够阻止来自超过连接限制的主机的任何新连接请求。查看日志,将速度限制设置为低于每个间隔发送请求的平均数量。
如果你不确定那些日志条目是攻击者,哪些是合法的,则可以使用最大请求发送者的请求速率作为出发点。因为最大发送者发送请求的速率肯定大于平均值。
此外,你还可以调整主机和边缘设备以更快的速度来清除空闲会话以获取更多资源。但是不能太过头,以免花费太多资源来建立和拆除连接。
通过阻止来源和限制速率,已经能够大大缓解攻击的影响。如果攻击者仍然继续攻击,看不到尽头,IT团队则应该将重点转移到保护其他企业资源上。
通常情况下,攻击者会针对一个特定的主机,应用程序或网络。转移这些资源的流量到另一个位置,或者阻止流量,将可以保存后端系统的负载,但是也会影响你的服务,这也正是攻击者的目标。
将受到攻击的服务与其他服务进行分隔也是个好主意。如果能够分离感染的服务的话,至少企业不会完全崩溃。
如果你通过互联网提供服务,那么你就是一个潜在的DDoS攻击目标。这种攻击袭击你的企业的可能性取决于你的企业经营方式、攻击者的突发奇想或者企业的竞争对手。缓解攻击的非常好的方法是确保您有足够的能力,冗余站点,商业服务分离以及应对攻击的计划。