當前位置:網際電腦 > 文章中心 > 設備技術 > 服務器技術 >減緩DDoS攻擊危害的六大最佳辦法 投稿指南

減緩DDoS攻擊危害的六大最佳辦法

成功減輕DDoS攻擊的基礎包括:知道監視什么、全天候地監視這些征兆、有技術和能力來確認和減輕DDoS攻擊,同時又允許合法的通信到達目的地,并擁有實時的正確解決問題的技能和經驗。下面討論的最佳方法就反映了這些原則。

最佳方法一:實現數據收集集中化,并理解其趨勢

1、集中化監視

運用集中化監視功能,實現在一個位置就可以監視整個網絡及通信模式;將通信的監管限制由一個小團隊負責,以保持監管的連續性。

2、理解正常網絡的通信模式

為建立進入企業的正常通信的基準,企業應當定期收集來自交換機、路由器及其它設備的樣本數據包和其它有關信息。需要知道進入了哪些類型的通信(例如, SMTP、HTTP和HTTPS等)、何時進入(是每個星期三,還是每個月的第一天等)、從何處進入、進入了多少等。建立一個包含超過一年的正常通信模式的監視地圖,并將此信息整合到一個用于威脅檢測、警告和報告的相關引擎中。

3、跟蹤全世界的DDoS歷史趨勢和威脅情報

對全球的攻擊模式進行持續的跟蹤和分析,快速驗證潛在的攻擊和新出現的攻擊,并將吸取的教訓納入到適當的事件響應中。使用現有的情報查找預定義的反常問題(即分析簽名)。使內部的情報收集與第三方情報供應商的情報相互補充,參與到業界的安全團體和論壇中,其中的信息共享有助于揭示異常活動。

4、實施專門的DDoS警告、日志、報告系統

確保所發出的警告能夠告知安全管理員DDoS攻擊的跡象,其中包括未必是基于攻擊數量的攻擊。實施一種日志和相關系統,收集可用于預防未來攻擊的詳細攻擊數據。實施一種明確的過程,用于收集并評估事務、通信的總體狀況、應用程序、協議、事件的報告。記住,事務報告與通信報告一樣重要。例如,如果所預計的事務數量發生銳減,這比通信量的增加能更有力地表明可疑活動的存在。

5、與經驗豐富的安全研究人員協同工作

如果企業并不知道怎樣處理數據,即使最好的監視、檢測、警告、日志和報告設備也是無用的。安全研究人員應當親身實踐,能夠區分可疑通信與合法通信,并隨著形勢的變化而改變應對策略。

最佳方法二:定義一個明確的不斷升級的發展路線

系統化的程序和方法對于有效減輕DDoS攻擊是必不可少的。下面給出四大步驟:

1、定義一套標準的事件響應操作程序

在制定操作程序時,要考慮內部的基礎架構、服務、應用程序以及可能受到影響的客戶和合伙人資源。如果有必要,制定個別的標準化操作程序,以解決特定類型的攻擊或受到攻擊的特定資源。定期審查標準作業程序,并進行定期的“演習”,確保標準操作程序保持最新,并能正確發揮功能。

2、組建事件響應團隊

不要等到發生攻擊事件的凌晨才開始決定應當聯系哪些人。應當準備、發布、經常更新逐步升級的聯系人清單,其中包括用于內部團隊、相關客戶、廠商、合伙人、上游供應商(如應用程序服務供應商(ASP))的信息。如果你依賴一個互聯網供應商(ISP)來減輕DDoS攻擊,除非貴公司是一家大型公司,否則,你的服務請求有可能與其它公司的請求一起在排隊等候。

3、解決不同職能部門的范圍問題

由于DDoS攻擊的防護與業務的連續性,息息相關,因而它是一個全局性的目標。要確認職能部門和職責重疊的具體領域。必須打破不同部門(如網絡團隊和信息安全團隊)之間的壁壘,澄清事件響應的角色和職責,并強化責任。

4、為“宕機時間(因故障而造成的停機時間)”做好準備

要理解哪些系統對于企業是生死攸關的,并且為網絡或服務的故障而制定和測試三個計劃:短期、中期、長期的連續性計劃。

最佳方法三:使用分層過濾

減輕DDoS攻擊的目標,是用最小的延遲排除惡意的非法通信,僅允許合法的通信進入網絡。實現此目標最有效方法是,使用一種可以利用前文所述的所有方法的多層過濾驗證過程。

1、分層過濾通信

使用簽名分析、動態分析(根據對正常行為的監視和分析)、反欺騙算法等技術來主動過濾網絡上游的有害通信。

2、在OSI堆棧的多層上都應用過濾器

雖然通過在網絡層上實施過濾器就可以減少某些攻擊,但是當代的攻擊更復雜和深入,我們需要在包括應用層的多層上都進行分析和過濾。

3、必要時可限制通信速率

為防止“低容忍”的資源發生癱瘓,根據帶寬的并發連接數量,可在必要時運用限制通信速率的能力。

4、能夠快速改變和定制過濾器

在必要時,能夠快速應用和清除標準過濾器(即簽名),也可以根據網絡遭受的攻擊變化來生成定制的過濾器。

5、隨著時間的推移而強化規則集

分析境內外的多種情報、監視、警告和報告日志,然后使用這些信息來不斷地更新規則集。

最佳方法四:構建可擴展性和靈活性

為確保在遭受攻擊的條件下,系統能夠正常發揮功能,企業必須擁有一個高擴展性的、靈活性的基礎架構。

1、按需定制的能力

這種能力包括帶寬以及硬件處理能力,以及需要處理通信負載的可擴展性。充足的能力至關重要,但要想在一個企業內部維持充足的能力卻非常困難,并且常常是不現實的。例如,提供過度的帶寬來吸收海量攻擊需要花費大量的金錢去購買額外的帶寬,甚至有可能還需要購買服務器。此外,在當今的環境中,過度配置帶寬也往往是不夠的,因為DDoS攻擊的規模正以驚人的速度增長,而企業網絡到互聯網連接的速率一般是1Gbps及其以下。

2、找到臨界點

要了解你的基礎在遭受攻擊的情況下是如何動作的。確定通信的特征,并確認哪些組件在面臨沉重負載時會首先垮掉。例如,知道在哪個時點上防火墻或Web服務器會發生故障,知道哪些數據包或查詢在某系統上所造成的后果比其它系統更嚴重。要在鏡像生產環境中測試各種情況,而不僅僅是預報,并在改變了基礎架構的任何部分后重新進行測試。

3、對基礎架構建立負載平衡

一旦確認了臨界點,下一步就應當對基礎架構建立負載平衡,其目標是優化正常負載和峰值負載情況下的通信流。

4、考慮監視工具的可擴展性

必須保證在高負載的情況下,監視工具仍能繼續工作。在有些消耗帶寬的DDoS攻擊中,監視往往名存實亡,甚至還會報告錯誤數據。例如,有些監視工具只能報告相同的值,因為它無法報告更高級的東西。

5、增強硬件和軟件的多樣性

并不是要構建多么復雜的IT環境,而是為了防御某些DDoS攻擊針對特定廠商硬件和軟件,因而不妨從多個廠商購買硬件和軟件工具。

6、利用分布式模式

如果可能,利用一種分布式模式來為高價值的應用和服務構建和維持冗余性。

責任編輯:5d5ucom
上一篇:學別人網站SEO優化反被懲罰的原因 下一篇:怎么樣測試網速,怎么樣進行網速測試
内蒙古十一选五遗漏号