每当匿名组织瞄准一个网站时,他们就能将其关闭,即使是拥有专业人员的大型企业/政府也是如此。
我阅读了有关使用 DDOS 防护技术应对正常 DDOS 攻击(基本理论)的资料。
但为什么这些技术在遭遇匿名组织攻击时会失效呢?
有没有在一次有组织的 DDOS 攻击中成功幸存的案例?
答案1
大多数识别和缓解攻击(如匿名攻击)的机制都是众所周知的,大多数反 DoS 产品和服务都可以以很高的成功率处理这些攻击。然而,有时组织和企业没有调整或更新的保护策略。此外,我惊讶地发现,他们中的许多人根本没有反 DoS 保护,无论是产品或服务。
匿名者通常使用众所周知的工具。没有理由说本地 SOC/NOC 或服务提供商的 SOC/NOC 无法阻止他们的攻击。问题是检测和阻止是否足够准确,而不会误报阻止合法流量。其结果是成功的 DoS/DDoS...
一般来说应对DDoS/DoS攻击有三种途径:
- 拥有足够的资源(带宽、服务器等)——这不是现实的选择,因为攻击量可能超过您拥有的带宽,而拥有无限计算能力的成本是巨大的。
- “租用”安全服务提供商服务 - 一个好的解决方案,取决于特定提供商的能力。但是,您应该注意,大多数 MSSP 都以路径外模式与清洗中心合作。这意味着它们在许多情况下依赖流量分析协议(例如 NetFlow)来识别攻击。虽然此选项在 DDoS 或大容量攻击中效果很好,但它无法识别低速和慢速攻击。如果您准备好在自己检测到流量问题后亲自致电 MSSP,则可以克服此限制。“清洗中心”方法的另一个限制是通常只检查一个方向的流量。
- 拥有自己的防 DoS 解决方案,在线安装。虽然有时更昂贵,但此选项将为您提供最佳安全性,因为扫描尝试、暴力尝试和许多其他安全威胁都可以通过在线设备处理。只要攻击量不超过您的管道带宽,在线设备就会有效。以在线模式工作可确保检测到低速和慢速攻击,甚至入侵,具体取决于您要使用的设备。
如您所见,这个问题没有明确的答案,因为它取决于许多参数,预算只是其中之一。服务或产品的质量也是一个重要方面 - - 它是否可以生成“实时”签名以进行准确的缓解而不影响合法流量?降低假阴性率? - 它是否包括行为学习和检测模块?还是它只使用基于速率的阈值? - 它是否包括身份验证选项(用于 HTTP/DNS 和其他协议)?再次降低假阴性的可能性。 - 它是否包括行动升级机制,即可以根据当前采取的缓解行动的成功率自动使用更积极的缓解行动的封闭反馈选项? - 无论合法流量率如何,服务/产品可以提供的缓解率是多少。 - 该产品是否包括 24/7 紧急服务?(大多数 MSSP 都有,但并非所有产品都有)
干杯,
答案2
匿名者并不总是会成功。匿名者也没有什么独特之处——只是攻击手段高明且数量庞大。
(希望匿名者不会因为我说了那句话而针对我:)
摘自BBC文章:支持维基解密的活动人士放弃对亚马逊的网络攻击:
匿名者组织曾誓言将于格林威治标准时间 16:00 攻击该网站(亚马逊),但后来改变了计划,称他们没有“力量”。
问题是,没有任何技术可以确保你能够处理 DDOS。唯一的方法是拥有能够处理任何可能负载的服务器和带宽,而这显然是昂贵的。
答案3
除非您有足够的钱购买 Arbor 或 Rio Rey 之类的硬件解决方案,否则 Verisign、Prolexic 等公司提供的流量清洗服务是保护自己的最有效方法。
答案4
嗯,这非常困难。这就是 DDoS 的真正意义所在。有 100 万台 PC 电脑同时向您的网站发送请求。防火墙应该做什么?
最重要的一点是将流量挡在系统之外。不知道您的服务器在哪里,但如果将服务器放在办公室,您应该在 ISP 处安装一个限制防火墙。这会使流量远离您的有限传入电缆。
如果限制因素是 Web 服务器,您可以在 Web 服务器前设置一台 Linux 计算机,根据源 IP 地址进行过滤。一次只允许一定数量的 IP 访问 Web 服务器,传输结束后立即阻止该 IP,并将该位置提供给下一个请求者。这样,您的服务器就不会超出其容量。
在这里使用 Squid 加速器会很有帮助。除了缓存静态内容外,它还可以减少并发连接数和进程数,并更快地释放 Web 服务器资源。