e-works数字化企业网  »  文章频道  »  基础信息化  »  数据中心

DDoS攻击勒索频繁,数据中心如何设防

2017/10/7    来源:简书    作者:佚名      
关键字:DDoS攻击  数据中心  
DDoS攻击勒索事件频发,挑战者企业的数据安全。今年,“无敌舰队”组织从六月中旬开始用DDoS攻击向国内证券金融公司、互联网公司发起比特币勒索,攻击流量从2G到20G不等,对企业的利益和数据安全都造成了严重的影响。
    DDoS攻击勒索事件频发,挑战者企业的数据安全。今年,“无敌舰队”组织从六月中旬开始用DDoS攻击向国内证券金融公司、互联网公司发起比特币勒索,攻击流量从2G到20G不等,对企业的利益和数据安全都造成了严重的影响。
 
    面对频发的DDoS攻击事件,IDC服务商和企业都可以如何来抵御流量攻击或者减轻企业影响?
 
    常规的DDoS防护应急方式因其选择的引流技术不同而在实现上有不同的差异性,主要有三种类型的DDoS防护应急手段引流方式的原理:
 
    本地DDoS防护设备:
 
    企业侧部署设备,串联到网络中或者通过路由进行牵引流量。
 
    运营商清洗服务:
 
    部署在城域网,多通过路由方式进行引流,多基于FLOW方式检测攻击。
 
    云清洗服务:
 
    利用Cname,将源站解析到新的域名,从而实现其引流。
 
    那么这些引流方式在DDoS应急上有何优劣:
 
    本地DDoS防护设备:
 
    本地化防护设备,增强了用户监控DDoS监控能力的同时做到了业务安全可控,且设备具备高度可定制化的策略和服务,更加适合通过分析攻击报文,定制策略应对多样化的、针对性的DDoS攻击类型;但当流量型攻击的攻击流量超出互联网链路带宽时,需要借助运营商清洗服务或者云清洗服务来完成攻击流量的清洗。
 
    运营商清洗服务:
 
    运营商采购安全厂家的DDoS防护设备并部署在城域网,通过路由方式引流,和Cname引流方式相比其生效时间更快,运营商通过提清洗服务方式帮助企业用户解决带宽消耗性的拒绝服务攻击;但是运营商清洗服务多是基于Flow方式检测DDoS攻击,且策略的颗粒度较粗,因此针对低流量特征的DDoS攻击类型检测效果往往不够理想,此外部分攻击类型受限于防护算法往往会有透传的攻击报文,此时对于企业用户还需要借助本地DDoS防护设备,实现二级清洗。
 
    云清洗服务:
 
    云清洗服务使用场景较窄,当使用云清洗服务做DDoS应急时,为了解决攻击者直接向站点真实IP地址发起攻击而绕过了云清洗中心的问题,通常情况下还需要企业用户配合做业务地址更换、Cname引流等操作配置,尤其是业务地址更换导致的实际变更过程可能会出现不能落地的情况。另一方面对于HTTPS Flood防御,当前云清洗服务需要用户上传HTTPS业务私钥证书,可操作性不强。此外业务流量导入到云平台,对业务数据安全性也提出了挑战。
 
    对比了三种方式的不同和适用场景,我们会发现单一解决方案不能完成所有DDoS攻击清洗,推荐企业用户在实际情况下可以组合本地DDoS防护设备+运营商清洗服务或者本地DDoS防护设备+云清洗服务,实现分层清洗的效果。针对金融行业,更推荐的组合方案是本地DDoS防护设备+运营商清洗服务。对于选择云清洗服务的用户,如果只是在DDoS攻击发生时才选择将流量导入到云清洗平台,需要做好备用业务地址的更换预配置(新业务地址不可泄露,否则一旦被攻击者获悉将会失去其意义)。
 
    企业客户在DDoS防护体系建设上通常需要开展的工作有:
 
    1.应用系统开发过程中持续消除性能瓶颈,提升性能。通过各类优化技术,提升应用系统的并发、新建以及数据库查询等能力,减少应用型DDOS攻击类型的潜在危害;
 
    2.定期扫描和加固自身业务设备,定期扫描现有的网络主节点及主机,清查可能存在的安全漏洞和不规范的安全配置,对新出现的漏洞及时进行清理,对于需要加强安全配置的参数进行加固;
 
    3.确保资源冗余,提升耐打能力。建立多节点负载均衡,配备多线路高带宽,配备强大的运算能力,借此“吸收”DDoS攻击;
 
    4.服务最小化,关停不必要的服务和端口,实现服务最小化,例如WWW服务器只开放80而将其它所有端口关闭或在防火墙上做阻止策略。可大大减少被与服务不相关的攻击所影响的概率;
 
    5.选择专业的产品和服务。三分产品技术,七分设计服务,除了防护产品本身的功能、性能、稳定性,易用性等方面,还需要考虑防护产品厂家的技术实力,服务和支持能力,应急经验等;企业在选择服务器时,乍眼一看,各路服务商没有什么区别,选择资历过硬的服务商,往往能够在服务器出现攻击威胁的时候进行告警、流量防御和牵引处理,保障企业的业务连续性。
 
    6.多层监控、纵深防御。从骨干网络、IDC入口网络的BPS、PPS、协议分布,负载均衡层的新建连接数、并发连接数、BPS、PPS到主机层的CPU状态、TCP新建连接数状态、TCP并发连接数状态,到业务层的业务处理量、业务连通性等多个点部署监控系统。即使一个监控点失效,其他监控点也能够及时给出报警信息。多个点信息结合,准确判断被攻击目标和攻击手法;
 
    7.完备的防御组织。囊括到足够全面的人员,至少包含监控部门、运维部门、网络部门、安全部门、客服部门、业务部门等,所有人员都需要2- 3个备份。一般的中心企业,配备一个这样规模的防御组织不太实际且成本过高,如果通过租用有实力的机房里的防御能力来实现企业数据保护对于企业来说更专业省心。
 
    8.明确并执行应急流程。提前演练,应急流程启动后,除了人工处理,还应该包含一定的自动处理、半自动处理能力。例如自动化的攻击分析,确定攻击类型,自动化、半自动化的防御策略,在安全人员到位之前,最先发现攻击的部门可以做一些缓解措施。
 
    总结
 
    对于数据中心来说,针对DDoS防御,主要的工作是幕后积累,在没有充分的资源准备,没有足够的应急演练,没有丰富的处理经验,DDoS攻击将会造成灾难性的后果。通过在数据中心租用服务器或者进行托管服务,利用机房丰富的带宽资源和严密的DDoS防御部署,经验丰富的运维工程师,让企业在应对攻击勒索的时候有更多的底气来应对勒索行为。
责任编辑:李欢
本文为授权转载文章,任何人未经原授权方同意,不得复制、转载、摘编等任何方式进行使用,e-works不承担由此而产生的任何法律责任! 如有异议请及时告之,以便进行及时处理。联系方式:editor@e-works.net.cn tel:027-87592219/20/21。
e-works
官方微信
掌上
信息化
编辑推荐
新闻推荐
博客推荐
视频推荐