很多企業(yè)都曾思考或者經(jīng)歷過:當其系統(tǒng)遭受針對性分布式拒絕服務攻擊會發(fā)生什么。多年來����,我們看到很多看似靈活的企業(yè)由于分布式拒絕服務攻擊失去其核心網(wǎng)絡業(yè)務。
很多企業(yè)都曾思考或者經(jīng)歷過:當其系統(tǒng)遭受針對性分布式拒絕服務攻擊會發(fā)生什么���。多年來�����,我們看到很多看似靈活的企業(yè)由于分布式拒絕服務攻擊失去其核心網(wǎng)絡業(yè)務。
特定系統(tǒng)網(wǎng)絡中斷是一回事;但是���,你有沒有想過��,如果你企業(yè)整個域名系統(tǒng)功能都失效會發(fā)生什么?域名系統(tǒng)(DNS)基本是互聯(lián)網(wǎng)(以及你的企業(yè))的循環(huán)系統(tǒng)�����,我們很難想象企業(yè)沒有它可以存活��。
在最近的DDoS攻擊中��,托管DNS提供商NS1及其客戶遭遇了這種情況����。開始的批量密集攻擊很快變成直接的DNS查詢攻擊,這最終制造了持續(xù)的DNS問題�����。如果連DNS提供商都遭受攻擊�����,那么任何企業(yè)都可能遭受攻擊��。
在很大程度上�,處理DDoS攻擊的方法已經(jīng)演變成增加容量以在多個系統(tǒng)間有效分散負載,從而更好地減小影響��。在NS1的博客文章中提供了各種DDoS緩解策略���,其中最有效的策略包括如下:
DNS服務部署在兩個獨立網(wǎng)絡
與反分布式拒絕服務供應商合作
通過系統(tǒng)監(jiān)控和警報����,確保系統(tǒng)間最大可視性,最好是通過第三方托管安全服務提供商���。
經(jīng)驗只有在某次很需要它的行動之后你才能獲得�����。對于拒絕服務相關事件響應��,更聰明的做法是提前想好最壞的情況��,然后采取必要的措施以確保它不會發(fā)生����。這種方法被稱為“最小最大”遺憾分析;你最小化最大的遺憾��。
奇怪的是�����,仍然有很多企業(yè)(包括大型企業(yè))還沒有找到或解決相對基本的DDoS相關漏洞�����。在這些漏洞中�,有些漏洞非常明顯,就像漏洞掃描和滲透測試檢測出的漏洞����,例如DNS流量放大以及DNS遞歸查詢被啟用。這些漏洞存在于路由器����、防火墻以及暴露于互聯(lián)網(wǎng)的服務器。下面是最大程度減小側重DNS的DDoS攻擊影響的方法:
找尋“唾手可得”的漏洞��,例如上述DNS漏洞�����。
從網(wǎng)絡架構的觀點來看��,看看DNS服務在你的環(huán)境中如何運作�,并確定具體的瓶頸點以及單點故障,包括云服務及業(yè)務合作伙伴連接�。
與你的互聯(lián)網(wǎng)、托管���、云計算和DNS服務提供商進行討論��,并詢問他們?yōu)闇p小這種風險他們已經(jīng)部署了什么緩解策略����。
根據(jù)你收集的信息,確定還需要做什么�,例如增加額外的DNS提供商、使用反DDoS供應商的服務等����。
也許最重要的是,直接在事件響應計劃或業(yè)務連續(xù)性計劃中記錄你對這些DDoS緩解策略和技術的標準�����,以及處理這些事件的程序��。
執(zhí)行模擬桌面(或真實)演練以確定薄弱環(huán)節(jié)����。解決你發(fā)現(xiàn)的漏洞,然后對部分信息安全計劃進行拒絕服務和事件響應測試��。
對于最大限度減少安全風險���,最好的辦法還包括從他人的事件中吸取經(jīng)驗��,例如NS1和其他遭受攻擊的DNS提供商。最后,確保你部署了適當?shù)陌踩刂苼斫鉀Q此類事件����。請記住,你的總體目標不是完全消除這種風險����,而是盡量減少對你企業(yè)的影響。
