每个网站都会面对网络攻击。唯一的区别在于,如何建设防御,以及如何进行警报和响应。
在网络上很难找到关于防御黑客攻击的真实案例。一方面,信息披露可能会引发官司,另一方面,披露这些信息往往会导致不良的财务后果,因此各公司往往不情愿分享相关细节。然而,如果我们完全不披露这些故事,会使其它人在不知情的情况下犯相同的错误。如果我们为建立威胁情报共享体系做出贡献,分享网络安全战场上的真实经验,可以让事情变得更好。
乙方是一家SaaS(软件即服务)公司,为大中型企业提供网页内容管理服务。其服务的客户A公司专注于帮助医疗供应商提高运营和财务绩效,A公司为数千家医院和医疗保健机构客户提供服务,管理数十亿美元的开支。
要分析的这次DDoS攻击的规模极大:在攻击高峰时,8600万个用户同时从世界各地的超过10万台主机上访问网站(当事方联系了FBI)。当攻击结束39小时后,防护方艰难的取得防御性胜利。下面是事件过程:
疯狂攻击
A公司的年度会议即将召开,会议将有15000人参加。会议的前一天晚上,乙方收到了警报消息。A公司的网站 服务器 正承载着难以置信的网络流量。需要说明的是,A公司也是一家SaaS提供商,为客户提供数据内容和分析,因此这种程度的访问量会极大地影响该公司的服务质量和信誉。没有多少时间,必需快速做出响应。
一开始,防御方使用AWS(Amazon Web Service)Route 53,重新配置了一些文件,然后立即切断了与这些IP地址的通信。在成功抵御了最初的几波攻击后,网络似乎恢复了正常,但事实证明,这只是第一波,而接下来的才是更疯狂的攻击。
当天傍晚,攻击再次发起并直接指向DNS域名,这意味着之前的IP拦截策略不再奏效,眼看着数据流量急剧上升。
放弃还是抵抗
乙方和A公司的首席信息官进行了讨论,最后达成一致意见:决定抵抗到底。作为一家SaaS公司,提供持续、可靠的服务,维持公司信誉是重中之重。双方同意分担预计为数万美元的防御成本,为正义而战。
经过仔细审视第二波攻击,防御方意识到可以立即采取一些缓解措施:
1. A公司的业务只面向美国客户,不过也有少部分流量来自国外。因此防御方迅速地建立了一些防火墙规则,这些规则只允许来自美国的流量通过。于是,40%的攻击流量被拒之门外。
2. 在AWS(Amazon Web Service)Route 53后面加了一道网络应用防火墙,配置了一些HA代理,这可以为FBI收集大量的登录信息,便于他们进行事后分析工作。
3. 调整流量自动缩放的配置。自动缩放会根据接入流量规模大小调整自己的上下阈值。将下阈值调整得比上阈值大得多,这意味着系统在流量变大时会做出合适的反应,但永远不会达到流量下阈值。结果,每个运行的实例都会在服务列表中永续存在,记录完整无损的登录信息,以备FBI分析。兵来将挡,水来土淹
攻击者放大攻击强度,AWS就放大防御强度。攻击者进一步放大攻击强度,AWS就进一步放大防御强度,这样的情景在第二天反复上演。与此同时,乙方每小时就向A公司的董事会负责人汇报一次情况。
在DDoS攻击的最高峰,共部署了18台大型、计算机能力加强版的HA代理服务器,40台大型网页服务器。网页服务器群特别大,因为尽管阻隔了美国本土外的流量,降低了总数据流量的40%,但剩下的60%来源于美国本土的连接中也包括合法的URL。大多数连接都在访问动态服务,这部分访问记录不太容易抓取。
攻击者的目标是一个非常大型的全球化机构。防御方通过非常稳定的HA代理防火墙和负载均衡配置,部署了高度延展的网页服务器群。然后就是云防护(CloudFront),这是AWS的全球内容分发网络。再然后是Route 53,Route 53是AWS的全球冗余DNS平台。这些设备共同组成了关键基础设施,提供了在每一层上的可扩展性和安全性。
在第二天晚上7点左右,事情开始发生转变。在加强了防御强度后,攻击者并没有进一步增加攻击强度。此时此刻,服务器正承载着来自全球10万台主机的8600万个攻击连接,通过AWS基础设施的流量达到每秒20GB。
攻击者无计可施,只能反复地发动攻击,最后直到完全放弃。事后A公司的首席执行官告诉我们,如果他们的网站托管在自己的数据中心,防御的选择就会非常少,而且可能在攻击开始仅仅八个小时之内就会完全无力应对。#p#
最后核算一下防御成本,本次通过亚马逊网络服务成功进行的这次长达36个小时的防御,费用不超过1500美元。双方平摊的话,各方还不到750美元。
下面是这次在大规模DDoS攻击中存活下来的经验,以及一些可以用来加强数据中心,并保护公司网站的策略:
1. 针对DDoS攻击设计、配置、测试你的设备。借助你的托管服务商的经验来进行这些测试,善用他们的援助。
2. 确认你的网络环境中的“正常”是什么样子。这样在网络状态进入“不正常”状态时可以即时设置报警。
3. 将你面向公共的域名别名化(alias)到内部域名。这可以让你在幕后进行快速响应,并实时做出DNS修正,而不需要依赖第三方服务供应商。
4. 学会如何有效地在可能受到威胁的情况下进行DNS修正。经常进行练习。
5. DDoS攻击会用到数百个攻击向量,试图耗尽服务器的资源。流量测试会启动许多并行线程,这可能使DDoS攻击更加凶猛。每个测试都至少应当运行三小时,以维持响应时间,但在两次测试之间应留出足够的响应区间。在进行显著性测试、风险悬浮以及取消服务之前应当授予明确的许可。
6. 在进行自动放大配置时,不要将CPU负载作为量度。DDoS攻击的最好证据就是接入HTTP请求的数量上升,因此最好将接入连接数作为触发警报的量度。
7. 防御规模应当增加得迅速,但下降得缓慢。增加和下降的速度比应当设置为4:1或2:1。这会使系统在应对第一波攻击时响应快速,之后也不需要反复增加规模。特别是在攻击者采取放风筝战术,即撤退后又杀回来的情况下。
8. 如果使用AWS弹性负载均衡(AWS Elastic Load Balancing),激活“交叉地带负载均衡”选项。这对于均衡后端服务器群的流量而言是最好选择,会显著地减轻DNS设施上的负载。
安全行业需要集体合作,更好地了解敌人的战术、技术和攻击流程,以在和恶意黑客的战斗中取得先机。
用了安全防护服务器还是被ddos打死了怎么办
其实ddos是比较难防,你可以做如下操作:1,隐秘你的ip,尽量用域名绑定。2,服务器集群,这样的好处是一个服务器坏了,数据还能转移到其他服务器上3,用反向代理模式进一步保护你的服务器4,禁用ping命令,这样会以为你的服务器没有联网
服务器被恶意ddos攻击怎么办
因为企业之间的恶意竞争,服务器被ddos是难免的事情,下面分享几点防御ddos的方法:一.网络设备设施网络架构、设施设备是整个系统得以顺畅运作的硬件基础,用足够的机器、容量去承受攻击,充分利用网络设备保护网络资源是一种较为理想的应对策略,说到底攻防也是双方资源的比拼,在它不断访问用户、夺取用户资源之时,自己的能量也在逐渐耗失。 相应地,投入资金也不小,但网络设施是一切防御的基础,需要根据自身情况做出平衡的选择。 二、有效的抗D思想及方案硬碰硬的防御偏于“鲁莽”,通过架构布局、整合资源等方式提高网络的负载能力、分摊局部过载的流量,通过接入第三方服务识别并拦截恶意流量等等行为就显得更加“理智”,而且对抗效果良好。 三.预防为主保安全DDoS的发生可能永远都无法预知,而一来就凶猛如洪水决堤,因此网站的预防措施和应急预案就显得尤为重要。 通过日常惯性的运维操作让系统健壮稳固,没有漏洞可钻,降低脆弱服务被攻陷的可能,将攻击带来的损失降低到最小。 面对攻击大家需要具备安全意识,完善自身的安全防护体系才是正解。 随着互联网业务的越发丰富,可以预见DDoS攻击还会大幅度增长,攻击手段也会越来越复杂多样。 安全是一项长期持续性的工作,需要时刻保持一种警觉,更需要全社会的共同努力。
服务器被ddos攻击应该怎么办?
ddoS的攻击方式有很多种,最基本的ddoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。 单一的ddoS攻击一般是采用一对一方式的,当攻击目标CPU速度低、内存小或者网络带宽小等等各项指标不高的性能,它的效果是明显的。 随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得DoS攻击的困难程度加大了-目标对恶意攻击包的消化能力加强了不少。 这时候分布式的拒绝服务攻击手段(DDoS)就应运而生了。 DDoS就是利用更多的傀儡机(肉鸡)来发起进攻,以比从前更大的规模来进攻受害者。 当受到DDoS攻击时,可以选择用一些防火墙来进行防御,或者选择机房进行流量迁移和清洗,这种两种方法对于小流量攻击的确有效,而且价格也便宜。 但是当攻击者使用大流量DDoS攻击时,这两种方法就完全防御不住了,这种情况就必须考虑更换更高防护的高防服务器了,高防的优势还是很明显的,配置简单,接入方便见效快,对于大流量攻击也完全不在话下。
发表评论