您現在的位置: 网站首頁 / 網站建設 / 正文

如何減小DDoS攻擊的發生率和破壞力?

作者: admin 发布: 2015-2-5 18:0:2 分类: 網站建設 閱讀: 次 查看評論

  毫無疑問,近期策劃重大DDoS攻擊的那些人對互聯網的內部運作原理有著深入了解。由于攻擊者對這些專業知識的掌握了解,以及一些重要互聯網協議缺少基本安全保障,導致當談到保護企業自身安全和防範這種類型的攻擊時,許多的企業處于劣勢。

  這就是爲什麽許多企業、政策和行業組織一直致力于制定廣泛的行業計劃,減小危害巨大的DDoS攻擊的發生率。在大多數國家,已通過了宣布DDoS攻擊爲非法的法律,比如美國的《計算機欺詐和濫用法案》以及英國的《計算機濫用法案》,但是立法對網絡犯罪起不了多大的威脅效果。

  本文將主要探討如何減小DDoS攻擊的發生率和破壞力,以及如何結合使用內部和基于雲的DDoS緩解控制措施,盡量減小日益複雜的DDoS攻擊對企業業務造成的幹擾和破壞。

  評估DDoS攻擊的威脅

  DDoS攻擊的破壞力很大,足以威脅到整個國家的關鍵基礎設施,這個事實可以解釋爲何諸多政府部門在開始要求:必須制定DDoS緩解方案。比如說,受聯邦金融機構檢查委員會監管的金融機構現在必須監控無無遭到DDoS攻擊,要有隨時就能激活的事件響應方案,並確保在攻擊持續期間有足夠的人手,包括求助事先簽好的第三方服務,如果有的話。還鼓勵金融機構將攻擊方面的詳情上報金融服務信息共享和分析中心以及執法部門,幫助其他機構識別和緩解新的威脅及手法。

  針對DDoS攻擊等網絡威脅的全球合作在加強。由于僵屍網絡是一大威脅及常見的DDoS武器,聯邦調查局(FBI)和國土安全部與另外100多個國家共享了他們認爲被感染了DDoS惡意軟件的成千上萬台計算機的IP地址。白宮網絡安全辦公室、商務部、國土安全部以及行業僵屍網絡組織也在緊密地合作,共同對付和打擊僵屍網絡。打掉僵屍網絡無疑有助于改善安全形勢,但這是一項永遠不會結束的任務。

  實施DDoS緩解控制措施,對DDoS攻擊說不!

  針對分布式拒絕服務的緩解方案不可忽視,因爲這種攻擊的頻率和複雜性給更多的企業組織構成了威脅。如今的DDoS攻擊結合了大強度的蠻力攻擊和應用程序層攻擊,盡量造成最大程度的破壞,並躲避檢測機制。有些DDoS攻擊利用了成千上萬中招的系統或Web服務,會給企業在成本和聲譽方面極其重大的破壞,拒絕服務日益成爲高級針對性攻擊的一部分。好消息是,你可以使用好多工具,盡量減小這種類型的攻擊給客戶和收入造成的影響。

  想緩解DDoS,首先就要確保你已定義了事件響應流程,並且明確了責任,這就需要多個小組通力合作。DDoS防範規劃需要安全團隊與網絡操作人員、服務器管理員和桌面支持人員以及法律顧問和公關經理攜起手來。

  一旦DDoS事件響應方案落實到位,你就可以關注四大方面的DDoS緩解控制措施,盡量減小DDoS攻擊給業務造成的幹擾和破壞。在此按重要性順序排列:

  ?互联网服务提供商(ISP)。大多数ISP都有“洁净的网络管道”(Clean Pipe)或DDoS缓解服务,收费通常要比标准的带宽成本高一些。基于ISP的服务对许多中小企业来说很管用,也符合预算方面的要求。别忘了一点:云服务提供商和主机托管商也是ISP。

  ?DDoS缓解即服务提供商。如果你有多家ISP,第三方DDoS缓解即服务提供商也许是一种更明智的选择,不过基于云的服务通常成本更高。如果改变DNS或BGP路由,让攻击流量通过DDoS SaaS提供商来发送,你就能过滤掉攻击流量,无论哪家ISP来为你处理。

  ?專用的DDoS緩解設備。你可以在互聯網接入點部署DDoS緩解設備,以此保護服務器和網絡。不過,蠻力攻擊可能仍會耗盡你的所有帶寬――即使服務器沒有崩潰,客戶們仍無法正常訪問。

  ?基礎設施部件:比如負載均衡系統、路由器、交換機和防火牆。依賴貴企業的操作基礎設施來緩解DDoS攻擊是注定失敗的策略,只能對付最軟弱無力的攻擊。然而,這些部件在協同緩解DDoS方面卻能夠發揮作用。

  大多數企業需要外部服務和內部DDoS緩解能力結合起來。對你員工的技能水平作一個切合實際的評估――要是你手下有IT安全人員能檢測並分析威脅,先從內部DDoS緩解開始入手,然後逐漸完善策略,加入外部服務。要是你沒有足夠的人手或者所需的技能組合,不妨從外部服務開始入手,考慮將來添加托管CPE(用戶端設備)緩解能力。

  無論你最後選擇了哪種架構,每年都要至少測試兩次DDoS緩解控制措施。如果你借助外部服務提供商,就要核對路由和DNS方面的變化,確保流量會傳送到外部服務,不會有重大幹擾――另外還要確保能順利切回到直接路由。網絡配置和DNS路由在正常操作期間常常變動――你要在實際的DDoS攻擊之前弄清楚這一點。

  防止DDoS攻擊

  想防止DDoS攻击,长期的解决办法就是加强攻击者用来发动攻击的互联网协议,并且要求升级系统,以便得益于最佳实践。比如说,许多DDoS攻击之所以能得逞,就是因为攻击者通常借助上当受骗的源IP地址来生成流量。IETF Best Common Practices文档BCP 38建议:网络操作人员应对从下游客户进入其网络的数据包进行过滤,丢弃源地址不在其地址范围内的任何数据包。这样可以让黑客无法发送声称来自另一个网络的数据包(即欺诈攻击)。不过,按BCP 38的要求来做需要一笔支出,却没有立竿见影的效果,因而尽管有益于更广泛的社区,却没有全面实施起来。

  网络管理员们可以确保自己遵守其他最佳实践,从而加强互联网的总体安全。比如说,他们应该熟悉国土安全部颁布的DDoS快速指南(DDoS Quick Guide),还应该落实开放解析器项目(Open Resolver Project)等项目给予的建议。开放解析器可以回复针对域外主机的递归查询,因而用于DNS放大DDoS攻击中。该项目已列出了2800万个构成重大威胁的解析器,并提供了详细指导,教人们如何配置DNS服务器,以减小DNS放大攻击的威胁。

  與往常一樣,若能確保已安裝了軟件的最新版本,系統不大容易受到黑客的攻擊,黑客經常企圖利用其資源作爲DDoS攻擊的一部分。

  虽然金融机构等大企业是某些攻击者眼里的明显目标,但它们至少有财力和资源来采用最新的安全技术和最佳实践。不过,资源有限的小企业仍然面临可能很强大的对手。这也是谷歌启动护盾项目(Project Shield)的原因之一:

  好讓那些運行新聞、人權或選舉方面網站的組織機構可以通過谷歌龐大的DDoS緩解基礎設施來發布其內容。這種類型的計劃主要旨在確保潛在的受害者有足夠的資源來抵禦攻擊,從而消除DDoS攻擊的影響。

  全面共享DDoS緩解資源、實施行業最佳實踐可能很費時間和資源,而且可能無法立即帶來回報,但是互聯網是個整體性的社區項目,打擊DDoS攻擊是大家共同的責任。除非人人都出一份力,否則再多的計劃也無法讓我們擺脫該死的DDoS攻擊。

  --51CTO

  來源:SEO搜尋引擎優化 - SEO自學網 轉載注明出處!

? 上一篇下一篇 ?   本文關鍵詞:

評論列表:

站長SEO學院
第一節:百度搜索引擎工作原理
第二節:建設對搜索引擎友好的站點
第三節:如何進行網站內容建設
第四節:整體優化、結構優化、網頁優化
第五節:移動搜索-明確移動搜索優化標准
百度SEO資料文檔
百度搜索引擎優化指南2.0
百度移動搜索優化指南2.0
網站分析白皮書(站長版)
移動站點該如何優化
建設對百度友好的站點
百度搜索引擎網頁質量白皮書
石榴算法-綠蘿算法-冰桶算法
新搜索時代下的優化策略
更多百度SEO資料文檔
站長推薦
DIV+CSS布局實例教程-Web標准
网站SEO優化常见问题汇总
SEO優化推广方案该如何写
SEO優化方案步骤
影響網站關鍵詞排名因素總結
影響谷歌搜索引擎排名的因素調查
手機移動端站點適配優化
最近發表