了解和应对分布式拒绝服务DDOS攻击

美国网络安全和基础设施安全局(CISA)、联邦调查局(FBI)和多州信息共享和分析中心(MS-ISAC)为联邦、州、地方、部落和地区政府发布联合分布式拒绝服务(DDoS)攻击指南,帮助解决政府机构解决DDoS攻击防御问题面临的需求和挑战。

DDoS攻击通常有多个来源,难以进行追踪并有效阻断对互联网协议(IP)地址的攻击。本篇指南概述了拒绝服务(DoS)和DDoS环境,攻击类型、动机和对政府运营的潜在影响,实施预防措施的实际步骤,以及针对每种定义的DDoS和DoS技术类型的事件响应。此外,还强调组织必须将规划工作重点放在新出现的DDoS趋势和技术上,更好地抵御恶意DDoS活动。

DoS和DDoS

DoS和DDoS攻击的相似之处在于其目的都是破坏目标系统或网络的可用性,但两者之间也存在重要的差别。

DoS攻击

来源单一,用于通过大量流量或消耗资源的请求淹没目标系统。恶意攻击者通常使用一台或几台计算机实施攻击。DoS攻击的目的是使用户无法使用目标系统,使系统拒绝对资源或服务的访问。

DDoS攻击

有多个来源。通常,大量僵尸网络计算机用于发起攻击。僵尸网络中的每台机器都会同时向目标系统发送大量流量或请求,扩大后续影响。由于DDoS攻击的分布式特点,与DoS攻击相比,目标网络针对DDoS攻击的防御难度更大。

 

与DoS攻击相比,DDoS攻击的主要优势在于生成的流量更多,在更大程度上占用目标系统的资源。还可以通过IP欺骗等各种技术实施DDoS攻击,即恶意攻击者通过控制源IP地址和僵尸网络掩盖攻击的来源,使其难以追踪。

 

就影响而言,DoS和DDoS攻击都会破坏目标系统或网络的可用性,导致服务中断、财产和声誉损失。

图1 DoS攻击和DDoS攻击

 

DoS和DDoS攻击分为三种技术类型

1. 洪水攻击

此类型攻击的目的是消耗目标的可用带宽或系统资源,通过大量流量将其淹没。目标是使网络饱和或耗尽目标资源,使其无法处理合法请求。

图2 洪水攻击
图3 洪水攻击示例

2. 协议攻击

此类攻击利用网络协议或服务中的漏洞破坏目标系统。通过关注弱协议实现,恶意攻击者可降低目标系统的性能或导致其发生故障。协议DDoS攻击通常针对的是开放系统互连(OSI)模型的第3层(网络层)和第4层(传输层)。

图4 协议攻击
图5 协议攻击示例

3. 应用程序层攻击

此类攻击针对的是目标系统上运行的特定应用程序或服务中的漏洞。应用程序层攻击不会占用网络或系统资源,而是利用目标程序中的漏洞消耗其处理能力或导致其发生故障。应用程序DDoS攻击针对OSI模型的第7层,即应用程序层。

图6 应用程序层攻击
图7 应用程序层攻击示例

注意:这几类攻击并不互斥,恶意攻击者可以结合利用多种技术,发起复杂的DoS和DDoS攻击。攻击者不断调整和发展策略、技术和程序(TTP),新的攻击方法和变体层出不穷。

 

组织如何针对DDoS攻击采取预防措施?

任何组织都无法预测DDoS攻击发生的时间。攻击者往往会寻找安全系统中的漏洞以此发起DDoS攻击。因此,网络防御者必须实施最佳实践,最大限度地降低DDoS攻击的潜在损害。以下应对措施可供参考:

1. 风险评估

主动实施全面风险评估,确定自己的组织是否存在受到DDoS攻击的风险。风险评估可以发现网络基础设施、系统和应用程序中潜在的漏洞,还能使组织了解DDoS攻击的潜在影响,帮助组织确定优先级并实施适当的安全措施。

2. 网络监控

采用强大的网络监控工具和入侵检测系统(IDS),发现异常或可疑的流量模式,提高组织针对DDoS攻击的检测和响应能力。

3. 流量分析

定期分析网络流量,建立正常流量模式的基线,发现攻击过程中的重大偏差。

4. 实施Captcha措施

将Captcha挑战集成到网站或在线服务中,区分人类用户和机器人,防止DDoS攻击。Captcha要求通过人工交互访问网站或与网站交互,从而起到防御DDoS攻击的预防屏障的作用。

5. 事件响应计划

制定全面的事件响应计划,列出发生DDoS攻击时应采取的步骤。计划应包括角色和责任、沟通渠道和预先定义的缓解策略。

6. DDoS缓解服务

建议应用DDoS缓解提供商的服务。他们拥有处理大规模攻击的专业知识和专门的基础设施,可以在恶意流量到达网络之前将其过滤。

7. 带宽容量规划

评估当前的带宽容量,可增加容量以应对攻击期间流量激增的情况,最大限度地减少对合法用户的影响。

8. 负载平衡

应用负载平衡解决方案,在多个服务器或数据中心之间分配流量。分散负载,防止攻击过程中出现的单点故障。

9. 防火墙配置

配置防火墙,过滤可疑流量模式,阻止来自已知恶意IP地址的流量。定期更新防火墙规则,考虑实施速率限制,防止流量过大。

10. 补丁和系统更新

定期更新并修复软件、操作系统和网络设备,修复已知漏洞。存在漏洞的系统可能会被利用扩大DDoS攻击的影响。

11. Web应用安全

实施安全编码实践,定期对Web应用程序进行安全评估。存在漏洞的应用程序可能会在攻击过程中耗尽服务器资源。

12. 冗余和故障转移

实施冗余网络基础架构,确保故障转移机制到位。快速将流量重定向到替代资源,在攻击期间保持服务不中断。

13. 员工意识和培训

针对DDoS攻击及其影响、发现和报告可疑活动等问题,对员工进行培训。将社会工程攻击受害者的风险降至最低,社会工程攻击通常会辅助DDoS攻击的实施。

14. 沟通计划

制定沟通计划,使利益相关者在遭受攻击时随时了解情况,包括内部团队、客户和第三方服务提供商。清晰的沟通有助于管理预期,协调应对工作。

15. 备份和恢复

定期备份关键数据,确保灾难恢复计划经过测试且已更新。帮助组织在遭受攻击后快速恢复,最大程度地缓解数据丢失的问题。

 

注意:以上方法有助于减轻DDoS攻击造成的危害,更重要的是,组织要对这些类型的攻击保持警惕,与其内部网络安全专业人员保持沟通,随时了解最新的安全实践,有效抵御不断演变的威胁。

 

组织如何获知是否正在遭受DDoS攻击?

受到DDoS攻击的特征可能因攻击类型和强度而异,所以了解自己的组织是否正面临攻击这一问题具有挑战性。以下是帮助网络防御者确定是否面临DDoS攻击的方法:

  • 网站或服务无法使用DDoS攻击最常见的特点是网站或在线服务无法使用。如果网站突然无法访问或访问速度明显减慢,说明可能发生了DDoS攻击。
  • 网络拥塞网络流量或拥塞突然增加,说明可能发生了DDoS攻击。网络监控工具或带宽使用报告可以发现流量的异常峰值。
  • 异常流量模式在网络日志或监控系统中查找异常流量情况。包括来自特定IP地址的请求明显增加,或者针对特定资源或URL的大量流量。
  • 服务器或应用程序死机DDoS攻击可能导致服务器或应用程序死机或无响应。如果网络在不明原因的情况下频繁发生服务器或应用程序故障,则说明可能发生了DDoS攻击。
  • 资源利用率高监控服务器和网络资源利用率指标,如CPU使用率、内存消耗率、带宽使用率。资源消耗的激增或持续增加说明可能发生了DDoS攻击。
  • 无法访问其他网络服务网站或服务可能不是DDoS攻击的唯一目标,其他关键网络基础设施组件(如:DNS服务器或防火墙)也可能面临风险。如果无法访问这些服务,说明可能发生了DDoS攻击。
  • 用户行为异常监控网站或服务上的用户行为。如果来自单个IP地址的请求数量显著增加或出现异常,则可能是DDoS攻击。
  • 垃圾邮件或恶意邮件激增DDoS攻击可以与其他类型的攻击一同发起,例如垃圾邮件攻击。如果来自组织网络的垃圾邮件或恶意邮件激增,则说明可能发生DDoS攻击。
  • DDoS防护服务通知如果启用了DDoS保护服务,服务会检测到网络受到的持续攻击,主动发出警报。
  • 通信中断DDoS攻击可能针对IP语音(VoIP)服务或消息平台等通信渠道。如果网络通信服务中断或质量下降,则说明可能发生了DDoS攻击。

 

组织如何应对DDoS攻击

建议受到DDoS攻击的组织启动事件响应计划,与DDoS保护服务提供商(如适用)进行沟通,与网络安全团队合作,减轻攻击的影响并恢复正常运营。可参考以下步骤:

1. 发现攻击

寻找DDoS攻击的迹象,例如,流量激增、网络延迟增加或服务不可用。使用网络监控工具和流量分析确认攻击。

2. 启用事件响应计划

立即执行组织已记录且经过批准的事件响应计划。该计划应包括关键人员的角色和责任、通信渠道以及DDoS攻击期间采取的步骤。

3. 通知服务提供商

与互联网服务提供商(ISP)或主机提供商沟通,告知攻击的相关信息。提供商可能已经采取了缓解措施,或者能够重新路由流量,减轻影响。

4. 收集证据

尽可能多地记录并收集攻击信息,包括时间戳、IP地址、数据包捕获以及网络基础设施生成的日志或警报。这些证据可用于向执法机构报告相关事件或用于未来的分析。

5. 实施流量过滤措施

配置网络基础设施、防火墙或入侵防御系统,过滤恶意流量。启用速率限制或访问控制列表,阻止来自可疑IP地址或DDoS攻击中常用的特定协议的流量。

6. 启用DDoS防御服务

启用ISP或专注于DDoS防御的第三方供应商提供的DDoS缓解服务。过滤和分流恶意流量,使合法流量到达网络。

7. 扩展带宽和资源

如果组织有能力,请考虑扩大网络带宽和资源,吸收攻击流量。这需要添加额外的服务器或临时增加网络容量。

8. 启用内容交付网络(CDN)

利用CDN服务在地理位置上跨多个服务器和数据中心分发内容。CDN可以通过吸收和分发流量缓解DDoS攻击,最大限度地减少攻击对基础设施的影响。

9. 内部和外部沟通

与关键利益相关者定期保持清晰的沟通,涉及的人员包括员工、客户、合作伙伴和供应商。提供最新情况、为缓解攻击而采取的措施以及预期的解决方案时间计划。

10. 从攻击事件中总结教训

在情况得到解决后,进行彻底的事件后分析,了解攻击媒介、暴露的漏洞,总结经验教训。相应地更新事件响应计划和安全措施,预防未来的攻击。

11. 使用《MS-ISAC DDoS攻击指南》中提到的缓解措施。

即时缓解措施包括:

  • 向ISP提供攻击IP地址。他们可以实施限制,阻拦其他流量。
  • 请注意,反射型DDoS攻击通常来自合法的公共服务器。
  • 请尝试使ISP实施端口和数据包大小过滤措施。
图8 DDoS攻击的潜在特征
图9 DDoS恶意攻击者避免检测的技术

注意:每一次DDoS攻击不尽相同,对攻击的响应可能会因攻击的性质和严重程度而异。建议组织咨询网络安全专业人员或事件响应专家,有效应对和减轻DDoS攻击。

 

如果组织遭受DDoS攻击,应采取哪些措施?

如果组织遭到了DDoS攻击,可以采取几个主要步骤,恢复和减轻潜在的损害。以下措施可供参考:

1. 影响评估

评估DDoS攻击对系统、网络和服务的影响。发现服务中断、数据丢失或系统受损的区域。帮助组织了解损失的程度,优先考虑恢复工作。

2. 恢复服务

将受影响的服务和系统恢复正常。根据攻击的性质和涉及的系统,重新启动服务器、配置网络设备或通过备份恢复数据。与组织内的IT团队密切合作,确保恢复过程顺利进行。

3. 事故后分析

对攻击进行彻底分析,了解其特征、利用的漏洞和使用的攻击媒介。帮助组织发现基础设施或安全措施中的弱点,指导未来的改进方向。

4. 实施补救措施

根据事故后分析,实施补救措施,解决发现的漏洞和问题。可能需要修复系统、更新安全配置、加强网络防御。

5. 检查安全控制

评估现有的安全控制措施,如防火墙、入侵检测系统和DDoS缓解服务。确保其配置正确,及时更新最新的威胁情报。进行必要的调整,增强对未来攻击的防御能力。

6. 更新事件响应计划

更新事件响应计划,吸取DDoS攻击的经验教训。修改角色和责任、沟通渠道和缓解策略,更有效地应对未来的攻击事件。

7. 员工培训

对员工进行培训,提高安全意识,让员工了解DDoS攻击、其影响以及如何发现和报告可疑活动。有助于防止社会工程攻击,提高整体网络安全水平。

8. 加强网络监控

增强网络监控能力,有效检测和应对未来的DDoS攻击。实施实时流量分析、入侵检测系统和异常检测机制,及时发现和缓解攻击。

9. 使用法律武器

如果DDoS攻击情况严重或涉及犯罪活动,请考虑与执法机关合作。向执法机关提供证据,配合调查,将网络犯罪者绳之以法。

10. 与利益相关者保持沟通

与关键利益相关者保持定期沟通,涉及的人员包括员工、客户、合作伙伴和供应商,向其公开有关攻击、为减轻攻击而采取的措施以及对服务或数据的潜在影响等信息。清晰的沟通有助于管理预期,保持彼此间的信任。

11. 备份和灾难恢复

检查备份和灾难恢复进程,确保其为最新版本且有效。定期备份关键数据,测试恢复过程,验证其是否有效,以备在未来发生攻击时进行快速恢复。

12. 持续改进

DDoS攻击不断演变,不断改善安全态势至关重要。随时了解最新的威胁情报,遵循行业最佳实践,定期评估和加强安全控制措施。

13. 注意

缓解DDoS攻击并进行恢复需要大家共同努力,持续保持警惕。让组织内的网络安全专业人员参与恢复过程,加强组织对未来DDoS攻击的防御,向相关当局报告DDoS攻击事件。

 

    ·  免责声明 ·

该文章原文版权归原作者所有。文章内容仅代表原作者个人观点。本译文仅以分享先进网络安全理念为目的,为业内人士提供参考,促进思考与交流,不作任何商用。如有侵权事宜沟通,请联系littlebee@nsfocus.com邮箱。

·   文章信息    ·

发布机构:CISA、FBI和多州信息共享和分析中心联合发布发布日期:2024年3月

原文链接:https://www.cisa.gov/sites/default/files/2024-03/understanding-and-responding-to-distributed-denial-of-service-attacks_508c.pdf

原创文章,作者:速盾高防cdn,如若转载,请注明出处:https://www.sudun.com/ask/91036.html

(0)
速盾高防cdn's avatar速盾高防cdn
上一篇 2024年6月15日 下午12:08
下一篇 2024年6月19日 下午2:36

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注