Ddos
如何在匿名 DDOS 攻擊中倖存?
每次匿名團體針對一個網站時,他們都可以將其刪除……即使對於擁有專業人士的大型企業/政府也是如此。
我閱讀了有關使用 DDOS 保護技術處理正常 DDOS 攻擊的(基本理論)。
但是為什麼這些技術在匿名群體攻擊的情況下會失敗呢?
是否有任何關於在非常好的有組織的 DDOS 攻擊中倖存下來的成功案例?
大多數辨識和緩解攻擊(如匿名攻擊)的機制都是眾所周知的,並且大多數 Anti-DoS 產品和服務都能以很高的成功率處理它們。但是,有時組織和企業沒有調整或更新的保護策略。此外,我驚訝地發現他們中的許多人根本沒有 Anti-DoS 保護,無論是產品還是服務。
匿名通常使用眾所周知的工具。本地 SOC/NOC 或服務提供商的 SOC/NOC 沒有理由無法阻止他們的攻擊。問題是檢測和阻止是否足夠準確,而不會出現阻止合法流量的誤報。結果是成功的 DoS/DDoS…
一般來說,應對 DDoS/DoS 攻擊有三種途徑:
- 擁有足夠的資源(頻寬、伺服器等)——這是不現實的選擇,因為攻擊量可能會超過您擁有的頻寬,並且擁有無限計算能力的成本是巨大的。
- “租用”安全服務提供商服務——一個好的解決方案,取決於具體提供商的能力。但是,您應該注意,大多數 MSSP 都在 Out-of-Path 模式下與清理中心一起工作。這意味著他們在許多情況下依賴流量分析協議(例如 NetFlow)來辨識攻擊。雖然此選項適用於 DDoS 或大容量攻擊,但它無法辨識低速和慢速攻擊。如果您準備好在自己檢測到流量問題後自己向 MSSP 發起呼叫,則可以克服此限制。“洗滌中心”方法的另一個限制是通常只檢查一個交通方向。
- Having your own Anti-DoS solution, installed inline. Though sometimes more expensive, this option will provide you the best security as scanning attempts brute-force attempts and many other security threats can be dealt by an inline device. Inline device is effective as long as the attack’s volume doesn’t exceed your pipe bandwidth. Working in inline mode guarantees detection of low and slow attack, and even intrusions, depends on the equipment you want to use.
如您所見,這個問題沒有明確的答案,因為它取決於許多參數,預算只是其中之一。服務或產品的質量也是一個重要方面——它能否在不影響合法流量的情況下生成“實時”簽名以進行準確的緩解?降低假陰性率?- 它是否包括行為學習和檢測模組?還是僅使用基於速率的門檻值?- 它是否包括身份驗證選項(用於 HTTP/DNS 和其他協議)?再次減少假陰性的機會。- 它是否包括行動升級機制,一個封閉的回饋選項,可以根據目前採取的緩解行動的成功情況自動使用更積極的緩解行動?- 服務/產品可以提供的緩解率是多少,無論合法的流量速率如何。- 產品是否包括 24/7 緊急服務?(大多數 MSSP 都有,不是所有產品)
乾杯,