ddos平台黑客一言不合就拿1T流量攻击来勒索怎么防?

  活动背景
自2017年6月15日起,“无敌舰队”组织向多家国内证券金融公司和互联网金融公司发起DDoS比特币勒索。超过六家金融和证券公司遭到DDoS攻击,其中四家遭到勒索。它遭受了大规模的DDoS攻击,攻击流量范围从2G到20G,对企业网络的影响非常严重。 “无敌舰队”组织声称,如果公司不按照邮件要求按时支付比特币,它将进行持续的大规模交通攻击(该组织声称攻击流量可超过1T),并且敲诈勒索的数量逐渐增加。
这实际上不是该组织第一次采取行动。早在2015年12月,“Armada Collective”就开始对中国的互联网公司发起同样的DDoS攻击。
此次事件中收到的勒索软件内容如下:

2.DDOS保护应急手段
对于此DDoS攻击事件,以下是根据其差异和适用场景对市场上主流DDoS保护应急措施的简要比较。
传统的DDoS保护应急模式由于选择不同的排水技术,在实施上有不同的差异,主要分为以下三种:
1.本地DDoS保护设备;
2.操作员清洁服务;
3.云端清洁服务。
三种DDoS防护应急排水装置的原理:

在了解了排水技术的原理后,简要说明了DDoS紧急情况下各种方法的优缺点:
本地DDoS保护设备:
本地化保护设备增强了用户监控DDoS监控的能力,同时确保了业务安全和控制,并且该设备具有高度可定制的策略和服务。它更适合分析攻击数据包和定制策略,以响应各种有针对性的技术。 DDoS攻击类型;但是,当流量攻击的攻击流量超过互联网链路的带宽时,需要运营商清理服务或云端清洗服务才能完成攻击流量的清理。
承运人清洁服务:
运营商购买安全制造商的DDoS保护设备并将其部署在城域网上。流量通过路由模式转移。与Cname排水模式相比,载体生效更快。运营商通过清理服务帮助企业解决带宽消耗拒绝服务。但是,运营商清理服务主要基于Flow模式来检测DDoS攻击,策略的粒度相对粗糙。因此,针对低流量特性的DDoS攻击类型检测效果通常不理想。此外,一些攻击类型受到保护算法的限制。有透明的攻击包。此时,企业用户需要使用本地DDoS保护设备来实现二次清理。云清洗服务:
云清洗服务使用场景较窄,当使用云清洗服务做的DDoS应急时,为了解决攻击者直接向站点真实IP地址发起攻击而绕过了云清洗中心的问题,通常情况下还需要企业用户配合做业务地址更换,Cname引流等操作配置,尤其是业务地址更换导致的实际变更过程可能会出现不能落地的情况。另一方面对于HTTPS Flood防御,当前云清洗服务需要用户上传HTTPS业务私人证书,可操作性不强。此外业务流量导入到云平台,对业务数据安全性也提出了挑战。
对比了三种方式的不同和适用场景,我们会发现单一解决方案不能完成所有的DDoS攻击清洗,推荐企业用户在实际情况下可以组合本地DDoS攻击防护设备+运营商清洗服务或者本地的DDoS防护设备+云清洗服务,实现分层清洗的效果。针对金融行业,更推荐的组合方案是本地的DDoS防护设备+运营商清洗服务。对于选择云清洗服务的用户,如果只是在的DDoS攻击发生时才选择将流量导入到云清洗平台,需要做好备用业务地址的更换预配置(新业务地址不可泄露,否则一旦被攻击者获悉将会失去其意义)。
3.DDOS防护实践总结
借鉴的DDoS攻防工程师总结的经验,企业客户在DDoS攻击防护体系建设上通常需要开展的工作有:
应用系统开发过程中持续消除性能瓶颈,提升性能
通过各类优化技术,提升应用系统的并发,新建以及数据库查询等能力,减少应用型DDOS攻击类型的潜在危害;
定期扫描和加固自身业务设备
定期扫描现有的网络主节点及主机,清查可能存在的安全漏洞和不规范的安全配置,对新出现的漏洞及时进行清理,对于需要加强安全配置的参数进行加固;
确保资源冗余,提升耐打能力
XX
建立多节点负载均衡,多线路高带宽和强大的计算能力,以“吸收”DDoS攻击;
最小化服务,关闭不必要的服务和端口
关闭不必要的服务和端口以最小化服务。例如,WWW服务器仅打开80并关闭所有其他端口或阻止防火墙。可以显着降低受到与服务无关的攻击影响的可能性;
选择专业的产品和服务
三点产品技术,七点设计服务,除了保护产品本身的功能,性能,稳定性,易用性外,还需要考虑技术实力,服务和支持能力,应急经验等保护产品制造商;
多层监控,深度防御
从骨干网,BPS,PPS,IDC入口网络的协议分布,负载均衡层中的新连接数,并发连接数,BPS,PPS到主机层的CPU状态, TCP新连接的数量,以及TCP并发连接的数量。监控系统部署在多个点,例如服务层的服务处理能力和服务连接。即使一个监测点发生故障,其他监测点也可以及时发出报警信息。结合多个信息点,准确确定被攻击的目标和攻击方法;完整的防御组织
它包括足够的综合人员,至少包括监控部门,运维部门,网络部门,安全部门,客户服务部门,业务部门等。所有人员需要2-3个备份。
确定并实施应急程序
在钻井之前,紧急过程开始后,除了人工处理外,还应包括一定的自动处理和半自动处理能力。例如,自动攻击分析,确定攻击类型,自动化,半自动防御策略,在安全人员到位之前,首次发现攻击的部门可以采取一些缓解措施。
总结一下
对于DDoS防御,主要工作是幕后积累。如果没有足够的资源准备,不充分的应急演练和没有丰富的处理经验,DDoS攻击将带来灾难性的后果。
雷锋注:本文来自NSFOCUS,作者周亚,原题是《黑客组织DDoS勒索事件应急的思考》。绿盟科技授权雷锋网(公众号:雷锋)转载。
雷锋网版权文章,禁止擅自复制。有关详细信息,请参阅重印说明DDOS平台

相关推荐

发表评论

路人甲

网友评论(0)