2016 年底迎來了大規模 DDoS 攻擊的新紀元。去年秋天,我們看到了 Mirai 的發布,它已成為影響 Twitter、Netflix、Reddit 和 CNN 等網站的眾多攻擊的原型。一個月后,Mirai 類型的 DDoS 攻擊繼續針對多家電子郵件提供商和其他目標(包括 Comcast)。
雖然網絡攻擊可能對公司造成嚴重破壞,但反思從過去災難中吸取的教訓有助于防止未來的攻擊并有助于修補現有漏洞。這五個最佳實踐可以幫助您增強整體網絡安全,并幫助保護您免受潛在的 DDoS 和其他惡意攻擊。
DDoS 攻擊的基礎知識
分布式拒絕服務 (DDoS) 攻擊是一類網絡攻擊,通過大量連接的設備反復攻擊服務器。有時 DDoS 可能是由一些自愿參與者無意中引起的,例如人們試圖購買令人垂涎的物品,如音樂會門票或黑色星期五優惠。但是,DDoS 攻擊通常由一組不知情的惡意參與者組成,他們的設備已被惡意軟件入侵。這被稱為僵尸網絡。雖然前者只是一種可以通過工程手段消除的日益增長的痛苦,但后者是對工業或國家贊助的破壞的惡意嘗試,可能對企業有害,甚至是致命的。
在基于僵尸網絡的 DDoS 攻擊中,受惡意軟件感染的設備網絡(在攻擊者的控制下)將同時向目標服務器發送請求,導致資源不堪重負。任何支持網絡的設備都可能被感染并添加到僵尸網絡中,包括計算機、智能手機、媒體播放器和家用電器。雖然存在三種類型的 DDoS 攻擊(基于容量、基于協議和應用層攻擊),但它們都使用(大部分)相同的資源消耗策略。
5步DDoS防護計劃
雖然惡意行為者一直在尋找新的攻擊目標,但您可以采取幾個步驟來限制您對這些攻擊的暴露。一旦攻擊開始,實施大多數這些策略就為時已晚。但是,這些步驟將減少攻擊將造成的損害。
1. 監控您的流量
為了了解您的網站是否受到攻擊,您需要熟悉典型的流量模式。網絡流量高峰可能是正常業務過程的一部分。廣告、促銷和活動都可以增加您網站的訪問者。了解這些事件何時發生將有助于深入了解對您的流量的影響。這將允許您識別何時將異常流量發送到您的服務器。DDoS 攻擊者通常會在他們的主要進攻之前發動小規模入侵。
不管他們的動機如何,攻擊者通常會瞄準他們可以造成最大傷害的時間。感恩節或圣誕節等產生大量流量的日子是黑客攻擊的理想時間。攻擊者可以混入有機流量以超載并隨后使您的服務器崩潰。深入了解您的正常流量可以幫助您識別正在發生的任何異常峰值,并提醒您的團隊注意潛在的攻擊。
2. 過度配置網絡資源
為您的站點提供充足的網絡容量是您的站點為潛在 DDoS 攻擊做好準備的另一個重要組成部分。過度分配帶寬可以為您的站點提供一個小而有用的緩沖區,以防發生攻擊。通過確保有足夠的網絡容量以適應大量流量激增,可以獲得寶貴的時間。我們建議您的網絡能夠容納正常流量的 2-6 倍。
但是,無論您的網絡配置有多好,如果您的上游提供商沒有能力,DDoS 攻擊仍然會對您的產品或服務產生重大影響。在現實世界的高速公路交通中可以看到一個很好的例子。如果主要高速公路建設不良或容量過剩,即使是設計最復雜的匝道和交通管理系統也無法防止交通擁堵。確保您的上游提供商也擁有應對大規模 DDoS 攻擊所需的資源,這將確保您的預防措施在發生大規模攻擊時不會被浪費。
3. 保持警惕
對于一些網絡團隊來說,幾年的時間可以在安全事件最少的情況下過去。這種類型的成功通常會滋生自滿情緒,導致公司在安全措施方面失效。這使他們極易受到攻擊。雖然團隊很容易全神貫注于小漏洞,但檢查您最強大的網絡組件是否存在弱點至關重要。在您最成功的領域進行故障分析可能看起來違反直覺,但它對于加強您的網絡和為攻擊的可能性做準備是必不可少的。
4. 利用專用服務器或混合云服務器
在專用服務器或混合云服務器上托管您的產品或服務是保護您的產品免受 DDoS 攻擊的關鍵因素。確保您的站點是服務器上的唯一租戶將允許您完全訪問所有安全設置和資源。共享主機、VPS 和半專用主機客戶具有由主機設置的有限安全選項,以保護服務器上的其他租戶。這些有限的安全選項與與其他租戶共享服務器的固有風險相結合,使您的站點更容易受到惡意流量的攻擊。
從針對共享服務器的 DDoS 攻擊中恢復要復雜得多且耗時。因此,對于不使用專用或混合云托管的企業而言,法律、技術和聲譽成本將顯著提高。專用和混合云托管還可以與 24/7 服務器管理配對,例如提供額外保護的Adaptive Support 。
5. 安裝可用的更新
保持應用程序更新是網絡安全的一個重要組成部分,但經常被忽視。DDoS攻擊通常針對最近發現的安全漏洞。在 WordPress 等開源平臺上安裝更新,在它們可用后立即為您提供最新、安全的可用版本。盡管更新經常被忽略,但選擇最新版本可以修補和消除任何先前暴露的安全漏洞。將更新設置為自動安裝將確保您始終配備最安全的應用程序。
我受到攻擊了!怎么辦?
雖然您無法完全緩解來自 DDoS 攻擊的所有惡意服務器請求,但您可以采取以下一些步驟來幫助減輕服務器將承受的壓力。
- 實施進出邊緣路由器的速率限制。這將限制每個單獨的 IP 可以造成的損害。
- 如果可能,請利用上游路由協議(例如 BGP 社區)來指示您的 ISP 在 IP 到達您的邊緣之前阻止它們。
- 實施區域封鎖——按區域查找您最大的合法客戶群,并封鎖所有其他區域。
- 在 Web 服務器級別和操作系統級別減少打開連接的超時限制。此外,如果您的 Web 服務器支持,請實施智能保活(例如 NGINX)。
- 部署代理或 CDN 以卸載站點的大型資源密集型部分。
- 如果使用 Linux,請降低 sysctl.conf 中 SYN、ICMP 和 UDP 請求的丟棄閾值。
- 增加 Max Clients (Apache) 或同等數量,以處理您的應用程序或網站將收到的額外合法和非法流量。
- 利用 CloudFlare 等服務或其他第 7 層 DoS 緩解提供程序。CloudFlare 和其他大型 DDoS 緩解服務擁有豐富的經驗和機器學習的優勢,可以讓他們的網絡更好地檢測惡意流量。
這些步驟是時間關鍵的。大多數都需要提前準備,以及特定的基礎設施到位。因此,建議讓一個人負責持續監控服務器的性能并能夠識別攻擊的跡象。
在攻擊期間以及在您的服務器上進行這些更改的同時,您應該聯系您的托管服務提供商或上游 ISP,讓他們了解情況。他們很可能已經意識到了攻擊,但他們將能夠為您提供下一步要采取的措施。
結論
雖然 DDoS 攻擊的可能性應該是每個網絡團隊最關心的問題,但實施這些安全措施將為您的網站提供適當的保護層,讓您的團隊高枕無憂。您的托管服務提供商必須擁有強大的產品和可靠的支持,以便在發生攻擊時保護您。我們經過認證的 IT 專業人員擁有廣泛的托管、網絡和咨詢經驗。我們的使命是為您提供最好的服務和資源,以滿足并超越您的需求。
