2016 年底迎来了大规模 DDoS 攻击的新纪元。去年秋天,我们看到了 Mirai 的发布,它已成为影响 Twitter、Netflix、Reddit 和 CNN 等网站的众多攻击的原型。一个月后,Mirai 类型的 DDoS 攻击继续针对多家电子邮件提供商和其他目标(包括 Comcast)。
虽然网络攻击可能对公司造成严重破坏,但反思从过去灾难中吸取的教训有助于防止未来的攻击并有助于修补现有漏洞。这五个最佳实践可以帮助您增强整体网络安全,并帮助保护您免受潜在的 DDoS 和其他恶意攻击。
DDoS 攻击的基础知识
分布式拒绝服务 (DDoS) 攻击是一类网络攻击,通过大量连接的设备反复攻击服务器。有时 DDoS 可能是由一些自愿参与者无意中引起的,例如人们试图购买令人垂涎的物品,如音乐会门票或黑色星期五优惠。但是,DDoS 攻击通常由一组不知情的恶意参与者组成,他们的设备已被恶意软件入侵。这被称为僵尸网络。虽然前者只是一种可以通过工程手段消除的日益增长的痛苦,但后者是对工业或国家赞助的破坏的恶意尝试,可能对企业有害,甚至是致命的。
在基于僵尸网络的 DDoS 攻击中,受恶意软件感染的设备网络(在攻击者的控制下)将同时向目标服务器发送请求,导致资源不堪重负。任何支持网络的设备都可能被感染并添加到僵尸网络中,包括计算机、智能手机、媒体播放器和家用电器。虽然存在三种类型的 DDoS 攻击(基于容量、基于协议和应用层攻击),但它们都使用(大部分)相同的资源消耗策略。
5步DDoS防护计划
虽然恶意行为者一直在寻找新的攻击目标,但您可以采取几个步骤来限制您对这些攻击的暴露。一旦攻击开始,实施大多数这些策略就为时已晚。但是,这些步骤将减少攻击将造成的损害。
1. 监控您的流量
为了了解您的网站是否受到攻击,您需要熟悉典型的流量模式。网络流量高峰可能是正常业务过程的一部分。广告、促销和活动都可以增加您网站的访问者。了解这些事件何时发生将有助于深入了解对您的流量的影响。这将允许您识别何时将异常流量发送到您的服务器。DDoS 攻击者通常会在他们的主要进攻之前发动小规模入侵。
不管他们的动机如何,攻击者通常会瞄准他们可以造成最大伤害的时间。感恩节或圣诞节等产生大量流量的日子是黑客攻击的理想时间。攻击者可以混入有机流量以超载并随后使您的服务器崩溃。深入了解您的正常流量可以帮助您识别正在发生的任何异常峰值,并提醒您的团队注意潜在的攻击。
2. 过度配置网络资源
为您的站点提供充足的网络容量是您的站点为潜在 DDoS 攻击做好准备的另一个重要组成部分。过度分配带宽可以为您的站点提供一个小而有用的缓冲区,以防发生攻击。通过确保有足够的网络容量以适应大量流量激增,可以获得宝贵的时间。我们建议您的网络能够容纳正常流量的 2-6 倍。
但是,无论您的网络配置有多好,如果您的上游提供商没有能力,DDoS 攻击仍然会对您的产品或服务产生重大影响。在现实世界的高速公路交通中可以看到一个很好的例子。如果主要高速公路建设不良或容量过剩,即使是设计最复杂的匝道和交通管理系统也无法防止交通拥堵。确保您的上游提供商也拥有应对大规模 DDoS 攻击所需的资源,这将确保您的预防措施在发生大规模攻击时不会被浪费。
3. 保持警惕
对于一些网络团队来说,几年的时间可以在安全事件最少的情况下过去。这种类型的成功通常会滋生自满情绪,导致公司在安全措施方面失效。这使他们极易受到攻击。虽然团队很容易全神贯注于小漏洞,但检查您最强大的网络组件是否存在弱点至关重要。在您最成功的领域进行故障分析可能看起来违反直觉,但它对于加强您的网络和为攻击的可能性做准备是必不可少的。
4. 利用专用服务器或混合云服务器
在专用服务器或混合云服务器上托管您的产品或服务是保护您的产品免受 DDoS 攻击的关键因素。确保您的站点是服务器上的唯一租户将允许您完全访问所有安全设置和资源。共享主机、VPS 和半专用主机客户具有由主机设置的有限安全选项,以保护服务器上的其他租户。这些有限的安全选项与与其他租户共享服务器的固有风险相结合,使您的站点更容易受到恶意流量的攻击。
从针对共享服务器的 DDoS 攻击中恢复要复杂得多且耗时。因此,对于不使用专用或混合云托管的企业而言,法律、技术和声誉成本将显着提高。专用和混合云托管还可以与 24/7 服务器管理配对,例如提供额外保护的Adaptive Support 。
5. 安装可用的更新
保持应用程序更新是网络安全的一个重要组成部分,但经常被忽视。DDoS攻击通常针对最近发现的安全漏洞。在 WordPress 等开源平台上安装更新,在它们可用后立即为您提供最新、安全的可用版本。尽管更新经常被忽略,但选择最新版本可以修补和消除任何先前暴露的安全漏洞。将更新设置为自动安装将确保您始终配备最安全的应用程序。
我受到攻击了!怎么办?
虽然您无法完全缓解来自 DDoS 攻击的所有恶意服务器请求,但您可以采取以下一些步骤来帮助减轻服务器将承受的压力。
- 实施进出边缘路由器的速率限制。这将限制每个单独的 IP 可以造成的损害。
- 如果可能,请利用上游路由协议(例如 BGP 社区)来指示您的 ISP 在 IP 到达您的边缘之前阻止它们。
- 实施区域封锁——按区域查找您最大的合法客户群,并封锁所有其他区域。
- 在 Web 服务器级别和操作系统级别减少打开连接的超时限制。此外,如果您的 Web 服务器支持,请实施智能保活(例如 NGINX)。
- 部署代理或 CDN 以卸载站点的大型资源密集型部分。
- 如果使用 Linux,请降低 sysctl.conf 中 SYN、ICMP 和 UDP 请求的丢弃阈值。
- 增加 Max Clients (Apache) 或同等数量,以处理您的应用程序或网站将收到的额外合法和非法流量。
- 利用 CloudFlare 等服务或其他第 7 层 DoS 缓解提供程序。CloudFlare 和其他大型 DDoS 缓解服务拥有丰富的经验和机器学习的优势,可以让他们的网络更好地检测恶意流量。
这些步骤是时间关键的。大多数都需要提前准备,以及特定的基础设施到位。因此,建议让一个人负责持续监控服务器的性能并能够识别攻击的迹象。
在攻击期间以及在您的服务器上进行这些更改的同时,您应该联系您的托管服务提供商或上游 ISP,让他们了解情况。他们很可能已经意识到了攻击,但他们将能够为您提供下一步要采取的措施。
结论
虽然 DDoS 攻击的可能性应该是每个网络团队最关心的问题,但实施这些安全措施将为您的网站提供适当的保护层,让您的团队高枕无忧。您的托管服务提供商必须拥有强大的产品和可靠的支持,以便在发生攻击时保护您。我们经过认证的 IT 专业人员拥有广泛的托管、网络和咨询经验。我们的使命是为您提供最好的服务和资源,以满足并超越您的需求。
