全文共5089字,阅读大约需10分钟。
美国网络安全和基础设施安全局(CISA)、联邦调查局(FBI)和多州信息共享和分析中心(MS-ISAC)为联邦、州、地方、部落和地区政府发布联合分布式拒绝服务(DDoS)攻击指南,帮助解决政府机构解决DDoS攻击防御问题面临的需求和挑战。
DDoS攻击通常有多个来源,难以进行追踪并有效阻断对互联网协议(IP)地址的攻击。本篇指南概述了拒绝服务(DoS)和DDoS环境,攻击类型、动机和对政府运营的潜在影响,实施预防措施的实际步骤,以及针对每种定义的DDoS和DoS技术类型的事件响应。此外,还强调组织必须将规划工作重点放在新出现的DDoS趋势和技术上,更好地抵御恶意DDoS活动。
一
DoS和DDoS
DoS和DDoS攻击的相似之处在于其目的都是破坏目标系统或网络的可用性,但两者之间也存在重要的差别。
DoS攻击
来源单一,用于通过大量流量或消耗资源的请求淹没目标系统。恶意攻击者通常使用一台或几台计算机实施攻击。DoS攻击的目的是使用户无法使用目标系统,使系统拒绝对资源或服务的访问。
DDoS攻击
有多个来源。通常,大量僵尸网络计算机用于发起攻击。僵尸网络中的每台机器都会同时向目标系统发送大量流量或请求,扩大后续影响。由于DDoS攻击的分布式特点,与DoS攻击相比,目标网络针对DDoS攻击的防御难度更大。
与DoS攻击相比,DDoS攻击的主要优势在于生成的流量更多,在更大程度上占用目标系统的资源。还可以通过IP欺骗等各种技术实施DDoS攻击,即恶意攻击者通过控制源IP地址和僵尸网络掩盖攻击的来源,使其难以追踪。
就影响而言,DoS和DDoS攻击都会破坏目标系统或网络的可用性,导致服务中断、财产和声誉损失。
图1 DoS攻击和DDoS攻击
二
DoS和DDoS攻击分为三种技术类型
1. 洪水攻击
此类型攻击的目的是消耗目标的可用带宽或系统资源,通过大量流量将其淹没。目标是使网络饱和或耗尽目标资源,使其无法处理合法请求。
图2 洪水攻击
图3 洪水攻击示例
2. 协议攻击
此类攻击利用网络协议或服务中的漏洞破坏目标系统。通过关注弱协议实现,恶意攻击者可降低目标系统的性能或导致其发生故障。协议DDoS攻击通常针对的是开放系统互连(OSI)模型的第3层(网络层)和第4层(传输层)。
图4 协议攻击
图5 协议攻击示例
3. 应用程序层攻击
此类攻击针对的是目标系统上运行的特定应用程序或服务中的漏洞。应用程序层攻击不会占用网络或系统资源,而是利用目标程序中的漏洞消耗其处理能力或导致其发生故障。应用程序DDoS攻击针对OSI模型的第7层,即应用程序层。
图6 应用程序层攻击
图7 应用程序层攻击示例
注意:这几类攻击并不互斥,恶意攻击者可以结合利用多种技术,发起复杂的DoS和DDoS攻击。攻击者不断调整和发展策略、技术和程序(TTP),新的攻击方法和变体层出不穷。
三
组织如何针对DDoS攻击采取预防措施?
任何组织都无法预测DDoS攻击发生的时间。攻击者往往会寻找安全系统中的漏洞以此发起DDoS攻击。因此,网络防御者必须实施最佳实践,最大限度地降低DDoS攻击的潜在损害。以下应对措施可供参考:
1. 风险评估
主动实施全面风险评估,确定自己的组织是否存在受到DDoS攻击的风险。风险评估可以发现网络基础设施、系统和应用程序中潜在的漏洞,还能使组织了解DDoS攻击的潜在影响,帮助组织确定优先级并实施适当的安全措施。
2. 网络监控
采用强大的网络监控工具和入侵检测系统(IDS),发现异常或可疑的流量模式,提高组织针对DDoS攻击的检测和响应能力。
3. 流量分析
定期分析网络流量,建立正常流量模式的基线,发现攻击过程中的重大偏差。
4. 实施Captcha措施
将Captcha挑战集成到网站或在线服务中,区分人类用户和机器人,防止DDoS攻击。Captcha要求通过人工交互访问网站或与网站交互,从而起到防御DDoS攻击的预防屏障的作用。
5. 事件响应计划
制定全面的事件响应计划,列出发生DDoS攻击时应采取的步骤。计划应包括角色和责任、沟通渠道和预先定义的缓解策略。
6. DDoS缓解服务
建议应用DDoS缓解提供商的服务。他们拥有处理大规模攻击的专业知识和专门的基础设施,可以在恶意流量到达网络之前将其过滤。
7. 带宽容量规划
评估当前的带宽容量,可增加容量以应对攻击期间流量激增的情况,最大限度地减少对合法用户的影响。
8. 负载平衡
应用负载平衡解决方案,在多个服务器或数据中心之间分配流量。分散负载,防止攻击过程中出现的单点故障。
9. 防火墙配置
配置防火墙,过滤可疑流量模式,阻止来自已知恶意IP地址的流量。定期更新防火墙规则,考虑实施速率限制,防止流量过大。
10. 补丁和系统更新
定期更新并修复软件、操作系统和网络设备,修复已知漏洞。存在漏洞的系统可能会被利用扩大DDoS攻击的影响。
11. Web应用安全
实施安全编码实践,定期对Web应用程序进行安全评估。存在漏洞的应用程序可能会在攻击过程中耗尽服务器资源。
12. 冗余和故障转移
实施冗余网络基础架构,确保故障转移机制到位。快速将流量重定向到替代资源,在攻击期间保持服务不中断。
13. 员工意识和培训
针对DDoS攻击及其影响、发现和报告可疑活动等问题,对员工进行培训。将社会工程攻击受害者的风险降至最低,社会工程攻击通常会辅助DDoS攻击的实施。
14. 沟通计划
制定沟通计划,使利益相关者在遭受攻击时随时了解情况,包括内部团队、客户和第三方服务提供商。清晰的沟通有助于管理预期,协调应对工作。
15. 备份和恢复
定期备份关键数据,确保灾难恢复计划经过测试且已更新。帮助组织在遭受攻击后快速恢复,最大程度地缓解数据丢失的问题。
注意:以上方法有助于减轻DDoS攻击造成的危害,更重要的是,组织要对这些类型的攻击保持警惕,与其内部网络安全专业人员保持沟通,随时了解最新的安全实践,有效抵御不断演变的威胁。
四
组织如何获知是否正在遭受DDoS攻击?
受到DDoS攻击的特征可能因攻击类型和强度而异,所以了解自己的组织是否正面临攻击这一问题具有挑战性。以下是帮助网络防御者确定是否面临DDoS攻击的方法:
-
网站或服务无法使用
DDoS攻击最常见的特点是网站或在线服务无法使用。如果网站突然无法访问或访问速度明显减慢,说明可能发生了DDoS攻击。
-
网络拥塞
网络流量或拥塞突然增加,说明可能发生了DDoS攻击。网络监控工具或带宽使用报告可以发现流量的异常峰值。
-
异常流量模式
在网络日志或监控系统中查找异常流量情况。包括来自特定IP地址的请求明显增加,或者针对特定资源或URL的大量流量。
-
服务器或应用程序死机
DDoS攻击可能导致服务器或应用程序死机或无响应。如果网络在不明原因的情况下频繁发生服务器或应用程序故障,则说明可能发生了DDoS攻击。
-
资源利用率高
监控服务器和网络资源利用率指标,如CPU使用率、内存消耗率、带宽使用率。资源消耗的激增或持续增加说明可能发生了DDoS攻击。
-
无法访问其他网络服务
网站或服务可能不是DDoS攻击的唯一目标,其他关键网络基础设施组件(如:DNS服务器或防火墙)也可能面临风险。如果无法访问这些服务,说明可能发生了DDoS攻击。
-
用户行为异常
监控网站或服务上的用户行为。如果来自单个IP地址的请求数量显著增加或出现异常,则可能是DDoS攻击。
-
垃圾邮件或恶意邮件激增
DDoS攻击可以与其他类型的攻击一同发起,例如垃圾邮件攻击。如果来自组织网络的垃圾邮件或恶意邮件激增,则说明可能发生DDoS攻击。
-
DDoS防护服务通知
如果启用了DDoS保护服务,服务会检测到网络受到的持续攻击,主动发出警报。
-
通信中断
DDoS攻击可能针对IP语音(VoIP)服务或消息平台等通信渠道。如果网络通信服务中断或质量下降,则说明可能发生了DDoS攻击。
五
组织如何应对DDoS攻击
建议受到DDoS攻击的组织启动事件响应计划,与DDoS保护服务提供商(如适用)进行沟通,与网络安全团队合作,减轻攻击的影响并恢复正常运营。可参考以下步骤:
1. 发现攻击
寻找DDoS攻击的迹象,例如,流量激增、网络延迟增加或服务不可用。使用网络监控工具和流量分析确认攻击。
2. 启用事件响应计划
立即执行组织已记录且经过批准的事件响应计划。该计划应包括关键人员的角色和责任、通信渠道以及DDoS攻击期间采取的步骤。
3. 通知服务提供商
与互联网服务提供商(ISP)或主机提供商沟通,告知攻击的相关信息。提供商可能已经采取了缓解措施,或者能够重新路由流量,减轻影响。
4. 收集证据
尽可能多地记录并收集攻击信息,包括时间戳、IP地址、数据包捕获以及网络基础设施生成的日志或警报。这些证据可用于向执法机构报告相关事件或用于未来的分析。
5. 实施流量过滤措施
配置网络基础设施、防火墙或入侵防御系统,过滤恶意流量。启用速率限制或访问控制列表,阻止来自可疑IP地址或DDoS攻击中常用的特定协议的流量。
6. 启用DDoS防御服务
启用ISP或专注于DDoS防御的第三方供应商提供的DDoS缓解服务。过滤和分流恶意流量,使合法流量到达网络。
7. 扩展带宽和资源
如果组织有能力,请考虑扩大网络带宽和资源,吸收攻击流量。这需要添加额外的服务器或临时增加网络容量。
8. 启用内容交付网络(CDN)
利用CDN服务在地理位置上跨多个服务器和数据中心分发内容。CDN可以通过吸收和分发流量缓解DDoS攻击,最大限度地减少攻击对基础设施的影响。
9. 内部和外部沟通
与关键利益相关者定期保持清晰的沟通,涉及的人员包括员工、客户、合作伙伴和供应商。提供最新情况、为缓解攻击而采取的措施以及预期的解决方案时间计划。
10. 从攻击事件中总结教训
在情况得到解决后,进行彻底的事件后分析,了解攻击媒介、暴露的漏洞,总结经验教训。相应地更新事件响应计划和安全措施,预防未来的攻击。
11. 使用《MS-ISAC DDoS攻击指南》中提到的缓解措施。
即时缓解措施包括:
-
向ISP提供攻击IP地址。他们可以实施限制,阻拦其他流量。
-
请注意,反射型DDoS攻击通常来自合法的公共服务器。
-
请尝试使ISP实施端口和数据包大小过滤措施。
图8 DDoS攻击的潜在特征
图9 DDoS恶意攻击者避免检测的技术
注意:每一次DDoS攻击不尽相同,对攻击的响应可能会因攻击的性质和严重程度而异。建议组织咨询网络安全专业人员或事件响应专家,有效应对和减轻DDoS攻击。
六
如果组织遭受DDoS攻击,应采取哪些措施?
如果组织遭到了DDoS攻击,可以采取几个主要步骤,恢复和减轻潜在的损害。以下措施可供参考:
1. 影响评估
评估DDoS攻击对系统、网络和服务的影响。发现服务中断、数据丢失或系统受损的区域。帮助组织了解损失的程度,优先考虑恢复工作。
2. 恢复服务
将受影响的服务和系统恢复正常。根据攻击的性质和涉及的系统,重新启动服务器、配置网络设备或通过备份恢复数据。与组织内的IT团队密切合作,确保恢复过程顺利进行。
3. 事故后分析
对攻击进行彻底分析,了解其特征、利用的漏洞和使用的攻击媒介。帮助组织发现基础设施或安全措施中的弱点,指导未来的改进方向。
4. 实施补救措施
根据事故后分析,实施补救措施,解决发现的漏洞和问题。可能需要修复系统、更新安全配置、加强网络防御。
5. 检查安全控制
评估现有的安全控制措施,如防火墙、入侵检测系统和DDoS缓解服务。确保其配置正确,及时更新最新的威胁情报。进行必要的调整,增强对未来攻击的防御能力。
6. 更新事件响应计划
更新事件响应计划,吸取DDoS攻击的经验教训。修改角色和责任、沟通渠道和缓解策略,更有效地应对未来的攻击事件。
7. 员工培训
对员工进行培训,提高安全意识,让员工了解DDoS攻击、其影响以及如何发现和报告可疑活动。有助于防止社会工程攻击,提高整体网络安全水平。
8. 加强网络监控
增强网络监控能力,有效检测和应对未来的DDoS攻击。实施实时流量分析、入侵检测系统和异常检测机制,及时发现和缓解攻击。
9. 使用法律武器
如果DDoS攻击情况严重或涉及犯罪活动,请考虑与执法机关合作。向执法机关提供证据,配合调查,将网络犯罪者绳之以法。
10. 与利益相关者保持沟通
与关键利益相关者保持定期沟通,涉及的人员包括员工、客户、合作伙伴和供应商,向其公开有关攻击、为减轻攻击而采取的措施以及对服务或数据的潜在影响等信息。清晰的沟通有助于管理预期,保持彼此间的信任。
11. 备份和灾难恢复
检查备份和灾难恢复进程,确保其为最新版本且有效。定期备份关键数据,测试恢复过程,验证其是否有效,以备在未来发生攻击时进行快速恢复。
12. 持续改进
DDoS攻击不断演变,不断改善安全态势至关重要。随时了解最新的威胁情报,遵循行业最佳实践,定期评估和加强安全控制措施。
13. 注意
缓解DDoS攻击并进行恢复需要大家共同努力,持续保持警惕。让组织内的网络安全专业人员参与恢复过程,加强组织对未来DDoS攻击的防御,向相关当局报告DDoS攻击事件。
· 免责声明 ·
该文章原文版权归原作者所有。文章内容仅代表原作者个人观点。本译文仅以分享先进网络安全理念为目的,为业内人士提供参考,促进思考与交流,不作任何商用。如有侵权事宜沟通,请联系[email protected]邮箱。
· 文章信息 ·
发布机构:CISA、FBI和多州信息共享和分析中心联合发布
发布日期:2024年3月
原文链接:https://www.cisa.gov/sites/default/files/2024-03/understanding-and-responding-to-distributed-denial-of-service-attacks_508c.pdf
小蜜蜂翻译组公益译文项目,旨在分享国外先进网络安全理念、规划、框架、技术标准与实践,将网络安全战略性文档翻译为中文,为网络安全从业人员提供参考,促进国内安全组织在相关方面的思考和交流。
原文始发于微信公众号(绿盟科技):【公益译文】了解和应对分布式拒绝服务攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论