如果你还没有注意到,僵尸网络DDoS攻击在2008年超过了40千兆/秒。今天僵尸网络的规模已经达到了令人难以置信的地步190万机器人在一个僵尸网络中再加上僵尸网络DDoS攻击是最难防御的攻击之一,你手上有一个真正的噩梦场景。这就是为什么DDoS攻击是勒索者最常用的方法,他们试图劫持网上商家作为人质以获取赎金。这是罪犯的大生意,生意是好的。这里有一个常见的场景:坏人雇佣僵尸网络军队来饱和并夺走对你有价值的东西。其目标范围很广泛,从一个DDoS使一个关键服务器饱和,到使您与Internet的整个连接饱和,从而有效地关闭您的Internet服务。在某些情况下,坏人会先发动攻击,关闭网络服务,然后索要赎金。其他时候,坏人只会发送赎金请求,并威胁说,如果x天内没有得到满足,他们将关闭他们的网站。当然,这些对你来说都不是新鲜事。但是你有没有想过,如果你和你的公司受到僵尸网络DDoS攻击(或再次受到攻击),你会怎么做? How prepared are you to defend against this type of attack? Many companies (both large and small) deal with the issue by explaining it away with arguments like, “we don’t have anything a hacker would want” or “we are to small of a target to be worth the trouble”. In some cases this turns out to be fairly true, the risk of a DDoS attack is just not worth the security investment. But in many cases this line of thinking is dangerously wrong and the risk is actually higher than perceived. If I think about it from a bad guy perspective, I’m looking for one of two things, money or fame. If you can provide either or both of those then you are a target of opportunity. So, let’s get down to it. How can you fight off a Botnet DDoS attack? Well, the answer varies depending on the type of DDoS attack you are having, your network infrastructure, security tools you have available, and other variables. Even though there are so many variables to how you defend against DDoS in your particular environment, I still think there is value is highlighting a few of the more popular tactics. Here are some tips that I have seen work with some success in the past. Others are brand new techniques to me but seem to offer up a compelling solution. I’ve list these defense tips in no particular order. But feel free to let us know what you think the order of effectiveness should be.来自ISP或DDOS服务的DDOS预防产品这种防守策略通常是束的最大影响,当然(通常)也是最昂贵的。许多ISP为您提供了某种形式的云DDOS保护。这个想法是,ISPS将在允许进入互联网管道之前擦洗/清洁您的流量。由于这种防御在云中完成,因此您的Internet链接不会被DDOS攻击饱和。至少这是目标。无论如何。再也没有银弹。这项服务还由第三方在云DDOS预防服务中提供。他们通过将您的流量重定向到DDOS攻击期间通过重定向。他们清洁它并将其发送回给您。这一切都发生在云中,所以你的互联网管道不会被淹没。 A few examples of ISP that offer DDoS services are AT&T's Internet Protect and Verizon Business's DoS Defense Mitigation.RFC3704过滤基本ACL过滤器。主要的前提RFC3704.是,数据包应该从有效的,分配的地址空间源,与拓扑和空间分配一致。为此,有一个所有未使用或保留的IP地址列表,那些您永远不会看到来自互联网的那些。如果您确实看到它们,那么它是一个欺骗源IP,应该被删除。此列表的名称是波隆列表您应该检查您的ISP,看看它们是否会在Bogus流量进入(并填充)互联网链接之前在云中管理此过滤。Bogon List频繁更改,大约一个月一次,所以如果ISP不会为您执行此操作,那么您必须管理自己的Bogon ACL规则(或查找另一个ISP)。此更新也可以脚本。黑洞过滤这是一种非常有效的常用技术。通常,这需要与您的ISP结合使用。RTBH过滤是一种技术,可提供在进入受保护网络之前降低不期望的流量的功能。它使用BGP主机路由将流量传输到受害者服务器到Null0下一跳。RTBH有几种变化,但一个人的脱颖而出,值得特别提及。使用您的ISP执行RTBH(请检查您的ISP以进行支持,他们应该删除云中的流量,从而防止管道上的DOS。块孔过滤是一个大主题,如果您有兴趣了解更多关于它的信息,我会建议阅读这款白皮书远程触发的黑洞过滤(RTBH)。Cisco IPS 7.0源IP信誉过滤思科最近发布了IPS 7.0代码升级。此升级包括一个调用的功能全球相关性。简而言之,全局关联检查它看到的每个源IP地址的信誉得分。如果源的声誉不好,IPS传感器可以丢弃流量或提高风险评级值一个标志性的成功。下面是思科对Global Correlation的描述:
IPS 7.0包含新的安全功能,思科全球相关性,它使用了多年来大使的巨大的安全智能。定期间隔,Cisco IPS从Cisco Sensorbase网络接收威胁更新,其中包含有关互联网上已知威胁的详细信息,包括串行攻击者,僵尸网络收割机,恶意软件爆发和暗网。IPS在有机会攻击关键资产之前,IPS使用此信息过滤掉最糟糕的攻击者。然后,它将全球威胁数据包含在其系统中,以检测和预防恶意活动甚至更早。您可以配置全局关联,以便您的传感器知道具有恶意活动的信誉的网络设备,并且可以对其采取行动。
思科培养敏感酶的方式之一是通过从部署的Cisco 7.0 IPS传感器中获取源。公司可以选择选择进入或退出该计划。Cisco IPS使用的敏感酶充满了不同的威胁类别,其中两个是僵尸网络收割机和以前的DOS违规者。因此,当您从僵尸网络DDOS攻击攻击时,传感器将丢弃来自糟糕的声誉来源的所有流量。此过程发生在使用签名之前,对传感器资源(CPU,背板等)非常便宜。这使其成为在DDOS攻击期间使用的理想方法。这也是为什么Cisco IPS在处理IPS签名之前检查敏感酶。许多僵尸网络DDOS攻击使用SSL到Web服务器。这有助于攻击者从您可能拥有的任何检查发动机隐藏他的有效载荷。然而,鉴于全局相关仅使用源IP地址的信誉分数来决定它没有解决SSL DDOS攻击的问题。 No other IPS vendor has added reputation to their IPS solution so they would be unable to defend against any form of SSL DDoS attack. Some IPS vendors do have the ability to open up and look inside SSL packets by decrypting them on the fly. However, this process is too expensive on the IPS’s resources (CPU, backplane, memory, etc) to be used in a DDoS attack. It would simply move the traffic bottleneck to the sensor itself. Of course if the DDoS attack is saturating your link this tactic likely won’t work. But if the DDoS attack is just overwhelming some servers and not all your bandwidth then this works great. Global Correlation is not a silver bullet but rather another tool in your toolbox.IP源防护这并不在前5名之列,但我还是觉得值得一提。另一个提示是在交换机上打开IP源保护。这可以防止主机在自身成为机器人时发送欺骗数据包。这与其说是一个防御工具,不如说是一个良好的公民工具,尽管它可以帮助抑制内部欺骗DDoS攻击。如果每个公司都启用了IP源保护,这将有助于减少欺骗DDoS攻击的数量。启用此功能的另一个好处是,它可以帮助您识别网络中属于僵尸网络的主机。当恶意软件启动其欺骗攻击,交换机端口可以自动锁定(错误禁用),并报告此事件到您的安全监测站。或者您可以让它报告事件并保持端口正常运行,但是删除除了真实IP地址源的所有流量。如果有人有其他的策略来防范DDoS攻击,请分享。以下是一些有用的链接:数据泄露报告由Verizon http://www.verizonbusiness.com/resources/security/reports/2009_databreach_rp.pdf Arbor Networks DDoS研究。 http://www.arbornetworks.com/report
这里提出的意见和信息是我个人观点而不是雇主的观点。我绝不是雇主的官方发言人。
更多来自Jamey Howdy: 信用卡撇击:没有你知道它的盗贼如何窃取您的卡信息 思科进入拥挤的AV和DLP客户市场 思科的新ASA代码允许您将Cisco IP手机安全地与您身处安全 Cisco Targets Symantec,McAfee与其新的防病毒客户 谷歌的Chrome提高了安全问题,味道像鸡脚一样去 Jamey的博客 有关安全的更多条款。*
*
*
*
*