当前位置: 网站首页 > 新闻中心
新闻中心
一言不合就拿1T流量的DDoS攻击来勒索 怎么防?
时间:2020-01-03  来源:www.oaled.com

首先,事件背景

2017年6月15日,“无敌舰队”组织向国内多家证券金融公司和互联网金融公司发起了DDOS比特币敲诈。超过六家金融和证券公司受到了ddos攻击,其中四家被敲诈。遭受了大规模的DDOS攻击,攻击流量从2G到20G不等,对企业网络的影响非常严重。“无敌舰队”组织声称,如果公司不按邮件要求按时支付比特币,将持续进行大规模的流量攻击(组织声称攻击流量可以超过1吨),并逐步增加BLAC的数量。凯梅尔。

这实际上不是该组织第一次采取行动。早在2015年12月,“无敌舰队”就开始敲诈中国互联网公司受到同样的ddos攻击。

此次事件中收到的勒索软件内容如下:

第二,DDOS防护应急手段

对于此次DDOS攻击事件,以下是根据市场上主流的DDOS防护应急措施的差异和适用场景进行的简要比较。

传统的分布式拒绝服务(DDOS)防护应急模式由于所选择的排水技术不同,在实施上也有不同,主要分为以下三类:

1。本地DDOS保护设备;

2。操作员清洁服务;

三。云清洗服务。

三种DDOS防护应急排水方式的原则:

在了解排水技术的原理后,简要说明各种方法在DDOS紧急情况下的优缺点:

本地DDOS保护设备:

本地化保护设备增强了用户监控DDoS监控的能力,同时确保了业务安全和控制,并且该设备具有高度可定制的策略和服务。它更适合分析攻击数据包和定制策略,以响应各种有针对性的技术。 DDoS攻击类型;但是,当流量攻击的攻击流量超过互联网链路的带宽时,需要运营商清理服务或云端清洗服务才能完成攻击流量的清理。

承运人清洁服务:

运营商购买安全制造商的DDoS保护设备并将其部署在城域网上。流量通过路由模式转移。与Cname排水模式相比,载体生效更快。运营商通过清理服务帮助企业解决带宽消耗拒绝服务。但是,运营商清理服务主要基于Flow模式来检测DDoS攻击,策略的粒度相对粗糙。因此,针对低流量特性的DDoS攻击类型检测效果通常不理想。此外,一些攻击类型受到保护算法的限制。有透明的攻击包。此时,企业用户需要使用本地DDoS保护设备来实现二次清理。

云端清洁服务:

云清理服务的使用范围很窄。当云清理服务用于DDoS紧急情况时,问题是攻击者直接攻击站点的真实IP地址并绕过云清理中心。通常,企业用户需要与服务合作。可能不允许执行诸如地址替换和Cname排放之类的操作配置,尤其是在由服务地址替换引起的实际更改过程中。

另一方面,对于HTTPS泛洪防御,当前的云清理服务要求用户上传HTTPS服务私钥证书,这不是可操作性。此外,业务流量被导入云平台,这也对业务数据的安全性提出了挑战。

比较三种不同的方法和适用场景,我们会发现单一解决方案无法完成所有DDoS攻击清除。建议企业用户在实际情况下可以结合本地DDoS保护设备+运营商清洗服务或本地DDoS防护设备+云端清洗。服务达到分层清洁的效果。对于金融行业,更推荐的组合是本地DDoS保护设备+运营商清洁服务。对于选择云清理服务的用户,如果您只在DDoS攻击发生时选择将流量导入云清理平台,则需要替换备用服务地址的预配置。新服务地址不能泄露。否则,将通知攻击者。失去意义)。

三,DDOS保护实践总结

借鉴DDoS攻防工程师的经验,企业客户在DDoS防护系统建设中通常需要开展的工作是:

在应用程序开发过程中不断消除性能瓶颈并提高性能

通过各种优化技术降低应用程序类型DDOS攻击类型的可能性,以改进应用程序系统的并发,新和数据库查询功能;

定期扫描和硬化您的商业设备

定期扫描现有网络主节点和主机,检查可能的安全漏洞和非标准安全配置,清理新发现的漏洞,并强化需要增强的参数。 [PP。

确保资源冗余并提高抵御攻击力

建立多节点负载均衡,多线路高带宽和强大的计算能力,以“吸收”DDoS攻击;

最小化服务,关闭不必要的服务和端口

关闭不必要的服务和端口以最小化服务。例如,WWW服务器仅打开80并关闭所有其他端口或阻止防火墙。可以显着降低受到与服务无关的攻击影响的可能性;

选择专业的产品和服务

三点产品技术,七点设计服务,除了保护产品本身的功能,性能,稳定性,易用性外,还需要考虑技术实力,服务和支持能力,应急经验等保护产品制造商;

多层监控,深度防御

从骨干网,BPS,PPS,IDC入口网络的协议分布,负载均衡层中的新连接数,并发连接数,BPS,PPS到主机层的CPU状态, TCP新连接的数量,以及TCP并发连接的数量。监控系统部署在多个点,例如服务层的服务处理能力和服务连接。即使一个监测点发生故障,其他监测点也可以及时发出报警信息。结合多点信息,准确确定目标和攻击方法;

完整的防御组织

它包括一个足够全面的人员,至少包括监控部门,运营和维护部门,网络部门,安全部门,客户服务部门,业务部门等。所有人员需要2-3个备份

确定并实施紧急流程

在钻井之前,紧急过程开始后,除了人工处理外,还应包括一定的自动处理和半自动处理能力。例如,自动攻击分析,确定攻击类型,自动化,半自动防御策略,在安全人员到位之前,首次发现攻击的部门可以采取一些缓解措施。

总结

对于DDoS防御,主要工作是幕后积累。如果没有足够的资源准备,不充分的应急演练和没有丰富的处理经验,DDoS攻击将带来灾难性的后果。