Как пережить анонимную DDOS-атаку?
Каждый раз, когда анонимная группа нацеливается на веб-сайт, они могут убрать его... даже для крупных корпораций / правительств с профессионалами.
Я прочитал (базовую теорию) о том, как справиться с обычной атакой DDOS, с методами защиты DDOS.
Но почему эти методы терпят неудачу в случае анонимных групповых атак?
Есть ли истории успеха о выживании благодаря действительно хорошо организованной атаке DDOS?
6 ответов
Большинство механизмов выявления и смягчения атак, таких как анонимные атаки, хорошо известны, и большинство продуктов и услуг Anti-DoS могут справиться с ними с высокой частотой успеха. Однако иногда организации и предприятия не имеют настроенных или обновленных политик защиты. Кроме того, я был поражен, обнаружив, что многие из них не имеют защиты от DoS вообще ни по продукту, ни по услугам.
Аноним обычно использует хорошо известные инструменты. Нет никаких причин, по которым местный SOC/NOC или SOC/NOC поставщика услуг не смогут блокировать свои атаки. Вопрос в том, являются ли обнаружение и блокировка достаточно точными без ложных срабатываний блокирования также и легитимного трафика. Как следствие этого является успешной DoS/DDoS...
В целом, существует три способа борьбы с DDoS/DoS-атаками:
- Наличие достаточных ресурсов (пропускной способности, серверов и т. Д.) - нереальный вариант, поскольку объем атаки может превышать имеющуюся у вас пропускную способность, а стоимость неограниченной вычислительной мощности огромна.
- "Аренда" услуг поставщика услуг безопасности - хорошее решение, зависит от возможностей конкретного поставщика. Однако следует помнить, что большинство MSSP работают с чистящими центрами в режиме Out-of-Path. Это означает, что во многих случаях они используют протоколы анализа трафика, такие как NetFlow, для выявления атак. Хотя эта опция отлично работает с DDoS-атаками или атаками с большими объемами, она не может идентифицировать атаки с низкой и медленной скоростью. Вы можете преодолеть это ограничение, если будете готовы самостоятельно позвонить в MSSP, как только обнаружите проблемы с трафиком самостоятельно. Еще одним ограничением подхода "чистящих центров" является то, что обычно проверяется только одно направление движения.
- Наличие встроенного решения Anti-DoS Хотя этот вариант иногда более дорогой, он обеспечивает вам наилучшую безопасность, поскольку попытки сканирования являются попытками перебора, и многие другие угрозы безопасности могут быть обработаны встроенным устройством. Встроенное устройство эффективно, если объем атаки не превышает пропускную способность канала. Работа в линейном режиме гарантирует обнаружение слабой и медленной атаки, и даже вторжения, зависит от оборудования, которое вы хотите использовать.
Как видите, однозначного ответа на этот вопрос нет, так как он зависит от многих параметров, бюджет - только один из них. Качество услуги или продукта также является важным аспектом - - Может ли он генерировать подписи в режиме реального времени для точного смягчения, не влияя на законный трафик? уменьшение ложноотрицательного отношения? - Включает ли он модули поведенческого обучения и обнаружения? или он использует только пороговые значения? - Включает ли он параметры аутентификации (для HTTP/DNS и других протоколов)? снова для уменьшения шансов ложного отрицания. - Включает ли он механизм эскалации действий, опцию закрытой обратной связи, которая может автоматически использовать более агрессивные действия по смягчению последствий, основанные на успехе текущего предпринятого действия по смягчению последствий? - Какова степень смягчения, которую может предложить услуга / продукт, независимо от законных скоростей трафика. - Имеет ли продукт круглосуточную службу экстренной помощи? (у большинства MSSP есть это, не все продукты)
Ура,
Это не правда, что аноним всегда успешен. И в анонимности нет ничего уникального - просто умные и массовые атаки.
(Надеюсь, аноним не нацелится на меня за это:)
Из статьи BBC: Активисты Pro-Wikileaks отказываются от кибератаки Amazon:
Группа Anonymous пообещала атаковать сайт (Amazon) в 1600 по Гринвичу, но с тех пор изменила свои планы, заявив, что у них нет "сил".
Проблема в том, что не существует техники, которая могла бы гарантировать, что вы справитесь с DDOS. Единственный способ - иметь серверы и пропускную способность, способные справиться с любой возможной нагрузкой, и это явно дорого.
Сервисы очистки трафика от таких компаний, как Verisign, Prolexic и другие, являются наиболее эффективным способом защиты, если у вас нет денег, чтобы потратить их на аппаратное решение, такое как Arbor или Rio Rey.
Это в значительной степени зависит от типа трафика, который вы обслуживаете, но есть несколько способов смягчения. (Я собираюсь предположить веб-сайты.) Относительно простой и недорогой способ решить эту проблему - поместить Varnish (или другой http-кеш) перед вашими веб-серверами. Это значительно сократит количество попаданий трафика на ваши веб-серверы и серверы приложений. Кроме того, использование такого продукта, как HAProxy, в качестве балансировщика нагрузки может несколько помочь, управляя распределением вашего http-трафика на ваши серверы.
Существуют меры по предотвращению DDOS, но они будут дорогостоящими. Я знаю, что если вы используете Rackspace для хостинга, у них есть продукт под названием Preventier (который, как я знаю, дорогой).
Также может быть стоит потратить время на использование Akamai (или аналогичного CDN) для размещения вашего контента, что также решит эту проблему, но обычно имеет высокую долларовую стоимость.
Как и во всех других случаях, анализ риска и вознаграждения должен быть выполнен, но вы должны помнить, что помимо доступности услуг вы также платите за репутацию своего бренда.
ПРИМЕЧАНИЕ: я говорю недорогой для Varnish и HAProxy, потому что, хотя они бесплатны / открыты, у них есть затраты на инженерные часы для внедрения и поддержки. Обратите внимание, что это справедливо для любого решения, но оно имеет стоимость лицензирования, равную нулю.
Ну, это очень сложно. В этом весь смысл DDOS. У вас есть миллион компьютеров, одновременно отправляющих запрос на ваш сайт. Что должен делать брандмауэр?
Самое главное, чтобы трафик не попадал в вашу систему. Не знаю, где у вас есть ваши серверы, но если вы храните свои серверы в своем офисе, вы должны получить ограничивающий межсетевой экран у своего провайдера. это будет держать трафик подальше от вашего ограниченного входящего кабеля.
Если ограничивающим фактором является веб-сервер, вы можете настроить компьютер Linux перед тем, как веб-сервер будет выполнять фильтрацию по IP-адресу источника. Разрешить только определенное количество IP-адресов для доступа к веб-серверу одновременно, и как только передача закончится, заблокируйте IP-адрес и передайте слот следующему запрашивающему. Таким образом, ваш сервер никогда не превышает его емкость.
Использование ускорителя Squid здесь очень поможет. Это сокращает количество одновременных подключений и процессов и быстрее освобождает ресурсы веб-сервера в дополнение к кешированию статического содержимого.
Вы не можете ограничить себя одной группой атакующих. Большинство групп, включая анонимную группу, будут использовать BotNet. Это может быть связано с большим количеством IP-адресов, поэтому вы не можете просто запретить этот диапазон.
Единственный способ свести к минимуму (НЕ ОСТАНОВИТЬ, так как это практически невозможно) - поддерживать безопасность. Таким образом, обновления поддерживаются, ваш брандмауэр проверяется на наличие уязвимостей. Безопасность - это очень специализированная тема, и ее нельзя сбрасывать со счетов. Вы должны начать с вашего брандмауэра и убедиться, что каждое устройство / соединение в безопасности. А также, что пользователи осведомлены о безопасности, а не о том, чтобы получать вредоносные программы и т. Д. На своих ПК (их можно использовать для DDOS кого-то еще)