Chinaunix首页 | 论坛 | 博客
  • 博客访问: 205260
  • 博文数量: 41
  • 博客积分: 1102
  • 博客等级: 少尉
  • 技术积分: 553
  • 用 户 组: 普通用户
  • 注册时间: 2011-09-23 10:06
文章分类
文章存档

2012年(1)

2011年(40)

分类: 网络与安全

2011-11-03 10:34:17

DDoS魔掌的六把利剑(三)

本文摘要 系列文章()()中,我们分别介绍了DDos攻击的变化和企业减轻DDos攻击面临的挑战,本文,我们将开始介绍减轻DDoS攻击危害的六大最佳方法。

  减轻DDoS攻击危害的六大最佳方法

  成功减轻DDoS攻击的基础包括:知道监视什么、全天候地监视这些征兆、有技术和能力来确认和减轻DDoS攻击,同时又允许合法的通信到达目的地,并拥有实时的正确解决问题的技能和经验。下面讨论的最佳方法就反映了这些原则。

  最佳方法一:实现数据收集集中化,并理解其趋势

  1、集中化监视

  运用集中化监视功能,实现在一个位置就可以监视整个网络及通信模式;将通信的监管限制由一个小团队负责,以保持监管的连续性。

  2、理解正常网络的通信模式

  为建立进入企业的正常通信的基准,企业应当定期收集来自交换机、路由器及其它设备的样本数据包和其它有关信息。需要知道进入了哪些类型的通信(例如, SMTPHTTPHTTPS)、何时进入(是每个星期三,还是每个月的第一天等)、从何处进入、进入了多少等。建立一个包含超过一年的正常通信模式的监视地图,并将此信息整合到一个用于威胁检测、警告和报告的相关引擎中。

  3、跟踪全世界的DDoS历史趋势和威胁情报

  对全球的攻击模式进行持续的跟踪和分析,快速验证潜在的攻击和新出现的攻击,并将吸取的教训纳入到适当的事件响应中。使用现有的情报查找预定义的反常问题(即分析签名)。使内部的情报收集与第三方情报供应商的情报相互补充,参与到业界的安全团体和论坛中,其中的信息共享有助于揭示异常活动。

  4、实施专门的DDoS警告、日志、报告系统

  确保所发出的警告能够告知安全管理员DDoS攻击的迹象,其中包括未必是基于攻击数量的攻击。实施一种日志和相关系统,收集可用于预防未来攻击的详细攻击数据。实施一种明确的过程,用于收集并评估事务、通信的总体状况、应用程序、协议、事件的报告。记住,事务报告与通信报告一样重要。例如,如果所预计的事务数量发生锐减,这比通信量的增加能更有力地表明可疑活动的存在。

  5、与经验丰富的安全研究人员协同工作

  如果企业并不知道怎样处理数据,即使最好的监视、检测、警告、日志和报告设备也是无用的。安全研究人员应当亲身实践,能够区分可疑通信与合法通信,并随着形势的变化而改变应对策略。

  最佳方法二:定义一个明确的不断升级的发展路线

  系统化的程序和方法对于有效减轻DDoS攻击是必不可少的。下面给出四大步骤:

  1、定义一套标准的事件响应操作程序

  在制定操作程序时,要考虑内部的基础架构、服务、应用程序以及可能受到影响的客户和合伙人资源。如果有必要,制定个别的标准化操作程序,以解决特定类型的攻击或受到攻击的特定资源。定期审查标准作业程序,并进行定期的演习,确保标准操作程序保持最新,并能正确发挥功能。

  2、组建事件响应团队

  不要等到发生攻击事件的凌晨才开始决定应当联系哪些人。应当准备、发布、经常更新逐步升级的联系人清单,其中包括用于内部团队、相关客户、厂商、合伙人、上游供应商(如应用程序服务供应商(ASP))的信息。如果你依赖一个互联网供应商(ISP)来减轻DDoS攻击,除非贵公司是一家大型公司,否则,你的服务请求有可能与其它公司的请求一起在排队等候。建议寻求一个专业做DDOS防御攻击的厂商来建立合作关系,这样能够在受到DDOS攻击后的第一时间内得到专业防护的响应。以减少甚至是免除自身的损失。


  3、解决不同职能部门的范围问题

  由于DDoS攻击的防护与业务的连续**息相关,因而它是一个全局性的目标。要确认职能部门和职责重叠的具体领域。必须打破不同部门(如网络团队和信息安全团队)之间的壁垒,澄清事件响应的角色和职责,并强化责任。

  4、为宕机时间(因故障而造成的停机时间)”做好准备

  要理解哪些系统对于企业是生死攸关的,并且为网络或服务的故障而制定和测试三个计划:短期、中期、长期的连续性计划。

 

阅读(3156) | 评论(11) | 转发(0) |
给主人留下些什么吧!~~

IT小虾2011-11-09 14:49:08

GFree_Wind: 这里的流量牵引是什么意思呢?
另外已经检查出哪些数据包有异常了,那么如何来防御呢?这些数据包可能来自不同的IP。总不能拒绝这些IP吧?.....
流量牵引就是把一堆数据从线路A通过分析器牵引至线路B。如果是流量型DDOS攻击的话,将攻击数据包丢弃就可以了,不用看源IP的,因为这类的攻击源地址基本都是伪造的,如果是连接型攻击,将攻击源IP屏蔽即可。

GFree_Wind2011-11-08 16:12:00

IT小虾: 在网络被正常访问的时候,它的流量,数据包、各项值的数据都是比较固定的(在一个范围之内。例如:每天10:00~11:00流量100M~110M,其中SYN报文数值:200000~205.....
这里的流量牵引是什么意思呢?
另外已经检查出哪些数据包有异常了,那么如何来防御呢?这些数据包可能来自不同的IP。总不能拒绝这些IP吧?

IT小虾2011-11-08 15:39:53

GFree_Wind: 我的意思是,这些硬件怎么防御?防御的方法是什么.....
在网络被正常访问的时候,它的流量,数据包、各项值的数据都是比较固定的(在一个范围之内。例如:每天10:00~11:00流量100M~110M,其中SYN报文数值:200000~205000)。但某天突然大于这个值。并且接入的IP数量猛然增加。于是就会激活防攻击产品对流量进行监控。然后再进行流量牵引,逐一查看哪些数据包有异常。

GFree_Wind2011-11-04 12:36:08

IT小虾: 还有就是 现有的硬件设备对于DDOS攻击已经可以做到完美的防御了,我所说的不能彻底防御是指如果被防御对象本身存在新的漏洞,那设备在安装前是无法预知这种漏洞.....
我的意思是,这些硬件怎么防御?防御的方法是什么

IT小虾2011-11-04 10:48:41

GFree_Wind: 比如当攻击来自不同的IP,硬件设备应该如何处理呢?.....
还有就是 现有的硬件设备对于DDOS攻击已经可以做到完美的防御了,我所说的不能彻底防御是指如果被防御对象本身存在新的漏洞,那设备在安装前是无法预知这种漏洞的,当然也就做不到彻底防御。