ddos软件如何防止DDoS攻击的发生率和破坏力

毫无疑问,那些最近计划进行重大DDoS攻击的人对互联网的内部运作有着深刻的理解。由于攻击者掌握了这些专业知识并且缺乏某些重要Internet协议的基本安全性,因此许多公司在保护自身安全性和防止此类攻击方面处于劣势。
这就是为什么许多公司,政策和行业组织一直致力于开发广泛的行业计划,以减少严重破坏性DDoS攻击的发生率。在大多数国家,宣布DDoS攻击非法的法律已经通过,例如美国《计算机欺诈和滥用法案》和英国《计算机滥用法案》,但立法对网络犯罪没有太大的威胁作用。
本文将重点介绍如何降低DDoS攻击的发生率和破坏性,以及如何使用内部和基于云的DDoS缓解控制来最大限度地减少日益复杂的DDoS攻击对业务运营造成的干扰和损害。
评估DDoS攻击的威胁

DDoS攻击具有足够的破坏性以威胁全国各地的关键基础设施这一事实可以解释为什么许多政府机构开始要求:必须开发DDoS缓解方案。例如,由联邦金融机构检查委员会监管的金融机构现在必须监控DDoS攻击,制定可随时激活的事件响应计划,并确保在攻击期间有足够的人员,包括事先签约求助。第三方服务,如果有的话。还鼓励金融机构向金融服务信息共享和分析中心以及执法部门报告攻击细节,以帮助其他机构识别和减轻新的威胁和做法。
针对诸如ddos攻击等网络威胁的全球合作正在加强。由于僵尸网络是一种主要威胁和常见的ddos武器,联邦调查局(FBI)和国土安全部共享了他们认为在100多个国家受ddos恶意软件感染的数千台计算机的IP地址。白宫网络安全办公室、商务部、国土安全部和工业僵尸网络组织也在密切合作,共同打击和打击僵尸网络。消除僵尸网络无疑将有助于改善安全状况,但这是一项永远不会结束的任务。
实施ddos抵御控制措施,拒绝ddos攻击!
分布式拒绝服务的缓解解决方案不能被忽略,因为此类攻击的频率和复杂性对更多的企业组织构成了威胁。今天的ddos攻击结合了高强度的蛮力攻击和应用层攻击,以最小化损害并避免检测机制。一些DDOS攻击利用了数千个系统或Web服务,这些系统或Web服务在成本和声誉方面可能具有极强的破坏性,拒绝服务正日益成为高级目标攻击的一部分。好消息是,您可以使用许多工具来最小化此类攻击对客户和收入的影响。
要缓解DDoS,首先要确保已定义事件响应流程并定义了职责,这需要多个团队协同工作。 DDoS预防计划要求安全团队与网络运营商,服务器管理员和桌面支持人员以及法律顾问和公共关系经理合作。
一旦DDoS事件响应计划到位,您就可以专注于DDoS缓解控制措施的四个主要方面,以最大限度地减少DDoS攻击造成的干扰和损害。这里按重要性排序:
•Internet服务提供商(ISP)。大多数ISP都有“清洁管道”或DDoS缓解服务,收费通常高于标准带宽成本。基于ISP的服务对许多中小企业很有用,并且符合预算要求。不要忘记:云服务提供商和托管服务提供商也是ISP。
•作为服务提供商的DDoS缓解。如果您有多个ISP,第三方DDoS缓解即服务提供商可能是更明智的选择,但基于云的服务通常更昂贵。如果您更改DNS或BGP路由并让攻击流量通过DDoS SaaS提供商发送,您可以过滤掉攻击流量,无论哪个ISP将为您处理它。
•专用DDoS缓解设备。您可以通过在Internet访问点部署DDoS缓解设备来保护您的服务器和网络。但是,暴力攻击仍可能耗尽所有带宽 - 即使服务器没有崩溃,客户也无法访问它。
•基础架构组件:例如负载平衡系统,路由器,交换机和防火墙。依靠公司的运营基础设施来缓解DDoS攻击是一种注定要失败的策略,它只能应对最弱的攻击。但是,这些组件可以在DDoS的协同缓解中发挥作用。
大多数企业需要将外部服务与内部ddos缓解功能结合起来。对员工的技能水平进行实际评估-如果您的IT安全人员能够检测和分析威胁,请从内部DDOS缓解开始,然后逐步完善策略并添加外部服务。如果您没有足够的人员或所需技能的组合,请从外部服务开始,并考虑将来添加托管CPE缓解功能。
无论您选择哪种架构,都应至少每年测试两次DDOS缓解控制措施。如果您依赖于外部服务提供商,请检查路由和DNS更改,以确保将流量传递到外部服务而不受重大干扰,并确保可以顺利地减少直接路由。在正常操作期间,网络配置和DNS路由经常发生变化——您需要在实际DoS攻击之前解决这个问题。
防止DDoS攻击
为了防止DDoS攻击,长期解决方案是加强攻击者用来发起攻击的Internet协议,并升级系统以从最佳实践中受益。例如,许多DDoS攻击都可以成功,因为攻击者通常使用被欺骗的源IP地址生成流量。 IETF最佳通用实践文档BCP 38建议网络运营商过滤来自进入其网络的下游客户的数据包,并丢弃源地址不在其地址范围内的任何数据包。这允许黑客发送声称来自另一个网络的数据包(即欺诈性攻击)。但是,支付BCP 38的必要性并没有立竿见影的效果,尽管它对更广泛的社区有益,但尚未得到充分实施。
网络管理员可以确保他们遵守其他最佳做法,以增强Internet的整体安全性。例如,他们应该熟悉国土安全部发布的DDoS快速指南,并且还应该实施Open Resolver Project等项目的建议。开放式解析器可以回复针对脱离主机主机的递归查询,因此可用于DNS放大DDoS攻击。该项目列出了2800万个构成主要威胁的解析器,并提供了有关如何配置DNS服务器以减少DNS放大攻击威胁的详细指导。
与往常一样,如果您可以确保安装最新版本的软件,则系统不易受黑客攻击,黑客经常会尝试利用其资源作为DDoS攻击的一部分。虽然金融机构等大公司是一些攻击者眼中的明确目标,但他们至少拥有采用最新安全技术和最佳实践的财务资源和资源。然而,资源有限的小企业仍然面临着潜在的强势反对者。这是Google推出Project Shield的原因之一:

因此,运行新闻,人权或与选举相关的网站的组织可以通过Google庞大的DDoS缓解基础架构发布其内容。此类程序主要用于确保潜在受害者拥有足够的资源来抵御攻击,从而消除DDoS攻击的影响。
完全共享DDoS缓解资源并实施行业最佳实践可能非常耗时且资源密集,并且可能无法立即提供回报,但Internet是一个整体社区项目,并且打击DDoS攻击是一项共同的责任。除非每个人都有所贡献,否则任何计划都无法让我们摆脱该死的DDoS攻击ddos软件

相关推荐

发表评论

路人甲

网友评论(0)