也许很多人还没有注意到据 Arbor Network 统计, 2008 年僵尸网络的拒绝服务攻击超越了每秒 40GB 限度。 这也就是说, 当前的僵尸网络的攻击规模已经达到一个僵尸网络有 190 万台僵尸电脑的水平, 而僵尸网络的拒绝服务攻击是最难防御的攻击之一。 因此, 这也是拒绝服务攻击成为勒索者试图把在线商家作为人质获取赎金的常用手段的原因。 这对于犯罪分子来说是一笔大买卖, 而且这个生意很兴隆。
下面这种情况就很常见:犯罪分子利用一个僵尸网络大军渗透和消除对于你有价值的服务。 攻击目标的范围包括仅用一个拒绝服务攻击使你一台重要服务器达到饱和或者使你互联网连接达到饱和, 有效地中断你全部互联网服务。 某些情况下, 这些坏蛋首先发起攻击, 中断网络服务, 然后要求支付赎金。 有时候, 这些坏蛋仅仅发出赎金的要求, 并且威胁说如果不在某日之前满足他要求, 将中断攻击目标的网站。
当然, 这些可能对我来说已经不是什么新鲜事了但是如果你遭到过僵尸网络的拒绝服务攻击或者遭到过多次这种攻击, 否想过你和你公司应该采取什么措施吗 ? 如何准备应对这种类型的攻击 ? 许多公司 ( 包括大企业和小企业 ) 都这样对待这个问题, 解释说 “ 没有黑客要的东西 ” 或者 “ 小目标, 不值得这样麻烦 ” 某些情况下, 这种事情是非常真实的就是拒绝服务攻击的风险不值得平安投资。 但是许多情况下, 这种想法是一种危险的错误。 这种风险实际上比想象的要大。 如果我从一个坏蛋的角度考虑这个问题, 追求一二样东西, 金钱或者名誉。 如果你能够提供其中任何一样东西, 就有机会成为攻击目标。
因此, 现在就来解决这个问题。 如何能够打败一个僵尸网络的拒绝服务攻击 ? 这个答案取决于你遇到拒绝服务攻击的类型、网络基础设施、拥有的平安工具和其它变量。 尽管在独特的环境中你如何防御拒绝服务攻击有许多变量, 但是强调一些最流行的战略是有价值的
下面是打败拒绝服务攻击的一些技巧。 其中有些方法过去在防御拒绝服务攻击中取得了胜利。 有些方法是全新的但是提供了一种非常令人心动的解决方案。
由 ISP 提供的拒绝服务攻击防御产品或者拒绝服务攻击服务
这种防御战略是通常是最有效的当然也是最昂贵的许多 ISP 互联网服务提供商 ) 为你互联网链路提供某种方式的云计算拒绝服务攻击维护。 这个想法是 ISP 允许通讯进入你互联网线路之前先清理你通讯。 由于这种防御是云计算中完成的互联网链路不会被拒绝服务攻击阻塞。 不被阻塞至少是这个防御的目标。 再说一次, 没有一劳永逸的高明方法。 这种服务也可以由第三方在云计算拒绝服务攻击防御服务中提供。 发生拒绝服务攻击时, 把你通讯转移到那里。 清理你通讯然后再把这些通讯发回给你这一切都是云计算中发生的因此, 互联网线路不会被阻塞。 ISP 提供的拒绝服务攻击服务的例子包括 AT&T 互联网维护服务和 Verizon Busi 提供的拒绝服务攻击防御减轻服务。
RFC3704 过滤
基本的访问控制列表 ( ACL 过滤器。 RFC3704 主要前提是数据包应该来自于合法的分配的地址段、与结构和空间分配一致。 要达到这个目的有一个全部没有使用的或者保存的 IP 地址的列表。 这些地址是从互联网中永远看不到如果你确实看到这些地址, 那么, 肯定是一个欺骗的源 IP 地址, 应该丢弃。 这个列表的名称是 Bogon 列表, 应该咨询一下你 ISP 看他否能在这个欺骗的通讯进入你互联网链路之前在云计算中为你管理这种过滤。 Bogon 列表大约每个月修改一次。 因此, 如果 ISP 没有为你做这个事情, 那么, 必需自己管理你 Bogon 访问控制列表规则 ( 或者找另一家 ISP
黑洞过滤
这是一个非常有效的罕见的技术。 一般来说, 这需要与你 ISP 一起做。 RTBH 远程触发黑洞 ) 过滤是一种能够提供在不理想的通讯进入一个保护的网络之前放弃这种通讯的能力的技术。 这种技术使用 BGP 边境网关协议 ) 主机路由把发往受害者服务器的通讯转接到下一跳的一个 null0 接口。 RTBH 有许多变体, 但是其中一个变态值得特别关注。 与你 ISP 一起试试 RTBH 过滤, 让他为你云计算中放弃那种通讯, 从而防止拒绝服务攻击进入你通讯线路。
思科 IPS 7.0 源 IP 声誉过滤
思科最近发布了 IPS 7.0 代码更新。 这个升级包括一个名为全球关联的功能。 简言之, 全球关联功能检查它看到每一个源 IP 地址的声誉得分。 如果这个来源的声誉不好, 入侵防御系统 ( IPS 传感器就可以放弃这个通讯或者提高一个点击的风险级别值。 下面是思科对全球关联功能的解释:
IPS 7.0 包括一个名为 “ 思科全球关联 ” 新的平安功能。 这个功能利用了过去的许多年里收集的大量的平安情报。 思科 IPS 将定期从思科 SensorBas 网络接收威胁更新信息。 这个更新的信息包括互联网上已知的威胁的详细信息, 包括连续攻击者、僵尸网络收获者、恶意迸发和黑网 ( dark net 等。 IPS 使用这个信息在恶意攻击者有机会攻击重要资产之前过滤掉这些攻击者。 IPS 然后把全球威胁数据结合到自己的系统中以便更早地检测和防御恶意活动。
当然, 可以设置全球关联, 这样的话, 传感器就能够知道有恶意活动声誉的网络设备, 并且能够对这种设备采取行动。
思科调整 SensorBas 方法之一是接收来自思科 7.0 IPS 传感器的信息。 企业可以选择使用这个顺序, 也可以选择不适用这个程序。 思科 IPS 使用的 SensorBas 有不同的威胁种类。 其中两种是僵尸网络收获者和以前的拒绝服务攻击实施者。 因此, 当你遭到僵尸网络拒绝服务攻击的时候, 这个传感器将放弃所有的来至声誉不良的来源的通讯。 这个过程在使用这种特征之前就开始了对于传感器资源 ( 处置器、背板等 ) 来说是非常廉价的这使它成为在拒绝服务攻击期间使用的一个理想的方法。 这也是思科 IPS 处置 IPS 特征之前检查 SensorBas 原因。
许多僵尸网络拒绝服务攻击使用通向你网络服务器的 SSL 平安套接字层 ) 这有助于攻击者隐藏其负载, 防止你可能拥有的检测引擎的检查。 然而, 考虑到全球关联仅使用源 IP 地址的声誉得分做出决定, 防御 SSL 分布式拒绝服务攻击是没有问题的没有任何其它厂商为自己的 IPS 解决方案增加基于声誉的检查功能, 因此, 不能防御任何形式的 SSL 分布式拒绝服务攻击。 一些 IPS 厂商确实能够能通过解密传输中的数据打开和查看 SSL 数据包内部。 然而, 这个过程在 IPS 资源 ( 处置器、背板、内存等 ) 方面太昂贵, 不能用于分布式拒绝服务攻击。 会迅速消除传感器自身的通讯瓶颈。
当然, 如果这个分布式拒绝服务攻击阻塞了链路, 这个战略可能就不起作用。 但是如果分布式拒绝服务攻击仅仅阻塞了局部服务器, 而没有阻塞整个网络, 那就标明这个防御措施的作用很好。 全球关联不是一个妙方, 而是工具箱中的另一个工具。
IP 源防护
这个问题不是五大主要问题的一部分, 不过, 这个问题仍然值得一提。 这个技巧是打开你交换机中的 IP 源防护功能。 这个功能可以阻止主机在变成僵尸电脑的时候发出欺骗性的数据包。 这不是一个防御工具, 而是一个守法公民工具, 尽管它能够阻止内部的欺骗性的分布式拒绝服务攻击。 如果每一家公司都打开 IP 源防护功能, 就能够协助减少我遇到欺骗性分布式拒绝服务攻击的数量。 启用 IP 源防护功能的一项增加的好处是能够协助你找到网络中已经成为僵尸网络一部分的主机。 当这个恶意软件发动欺骗性攻击的时候, 这个交换机端口能够自动锁死, 并且向你平安监视站点演讲这个事件。 或者你演讲这个事件并且坚持打开这个端口, 但是除了真正的 IP 地址源通讯之外, 放弃所有的通讯。
……