在實(shí)施DDoS攻擊防護(hù)服務(wù)之前,有幾件事是企業(yè)應(yīng)該考慮的。專家Ed Moyle討論了提高安全性要采取的幾個(gè)步驟。
一些MSSP中有這樣一種說法,有兩種客戶:那些使用DDoS攻擊防護(hù)服務(wù)的客戶和那些自己從未遇到過DDoS攻擊的客戶。之所以不難理解的原因是:站在那些經(jīng)歷過的人的出發(fā)點(diǎn),即便是一次DDoS攻擊事件也會(huì)對(duì)業(yè)務(wù)運(yùn)營(yíng)造成重創(chuàng),以至于只經(jīng)歷過一次就足以將DDoS攻擊防護(hù)服務(wù)從一個(gè)有很好變?yōu)楸仨毦邆涞姆?wù)。
2015年,比利時(shí)魯汶大學(xué)和紐約州立大學(xué)石溪分校發(fā)表了一篇論文,Maneuvering Around Clouds: Bypassing Cloud-based Security Providers,描述了與一些流行的基于云的DDoS攻擊防護(hù)技術(shù)相關(guān)的問題。該論文,同CloudPiercer(論文中描述的一個(gè)“自動(dòng)暴露源地址的工具”)一起,演示了攻擊者可能通過向量收集規(guī)避某些類型的DDoS攻擊防護(hù)服務(wù)所需的信息。具體來說,許多基于云的DDoS攻擊防護(hù)服務(wù)主要依賴更改DNS(即DNS重路由)這種機(jī)制來預(yù)過濾DDoS的流量。
以此種方式進(jìn)行操作的服務(wù)會(huì)調(diào)整客戶的DNS記錄來指向他們的站點(diǎn) - 有時(shí)被稱為“流量?jī)艋行?rdquo;。他們過濾掉非法的流量,只將合法流量轉(zhuǎn)到受保護(hù)的客戶網(wǎng)站。該研究描述的是對(duì)受保護(hù)站點(diǎn)的原始IP(比如,受保護(hù)站點(diǎn)的外部IP)的意外暴露,CloudPiercer工具也對(duì)此進(jìn)行了演示。這樣的暴露會(huì)導(dǎo)致攻擊繞過防護(hù);意思就是,如果壞人能找出未受保護(hù)的IP,仍然可以進(jìn)行DDoS攻擊仿佛防護(hù)措施不到位一樣。
人們對(duì)該研究表現(xiàn)出了一波最初的興趣但之后又平息了下來,但這個(gè)問題仍然很重要。DDoS攻擊依舊存在,并且當(dāng)發(fā)生的時(shí)候還是會(huì)造成很大的問題;同樣,源地址發(fā)現(xiàn)在那些利用DNS作為矢量化流量方法的工具和服務(wù)方面仍然是一個(gè)關(guān)鍵問題。因此,許多實(shí)施人員可能想知道在云里如何使用DNS重路由具體實(shí)施DDoS攻擊防護(hù)的方法,或者根據(jù)該研究一個(gè)云防護(hù)服務(wù)究竟有沒有意義。這不是一個(gè)容易回答的問題,但我們可以系統(tǒng)地解決它;總之在實(shí)施過程中牢記一些事能在最壞的情況發(fā)生的時(shí)候,當(dāng)你的組織受到一次DDoS攻擊的時(shí)候產(chǎn)生截然不同的結(jié)果。
實(shí)施注意事項(xiàng)
首先,實(shí)施者在評(píng)估和實(shí)施基于云的DDoS攻擊防護(hù)服務(wù)時(shí)對(duì)源地址發(fā)現(xiàn)的了解是至關(guān)重要的。具體來說,實(shí)施人員需要了解源地址發(fā)現(xiàn)到底是什么,以及為什么很重要。大客戶可能會(huì)在某些情況下在BGP和DNS之間選擇一種作為流量重定向到凈化中心的方法(比如,當(dāng)他們可以靈活部署硬件并且至少有一個(gè)/24地址前綴 - C類地址)。盡管使用BGP比DNS會(huì)引入額外的相關(guān)復(fù)雜性,但以源地址發(fā)現(xiàn)的問題來說是值得的。獲得這種認(rèn)識(shí)一部分可能會(huì)為企業(yè)正在評(píng)估的服務(wù)提供商帶來一些關(guān)于源地址發(fā)現(xiàn)的尖銳問題,該提供商提供哪些對(duì)此有幫助的服務(wù),關(guān)于客戶如何讓信息得到保護(hù)等方面有哪些期望和設(shè)想。
其次,建立一個(gè)流程來定期的檢查源地址暴露是非常重要的。源地址可能會(huì)以幾種方式暴露,而CloudPiercer工具可以檢查其中的一些方式,但請(qǐng)記住,任何對(duì)外公開信息的途徑,如一個(gè)web開發(fā)者不小心把地址包含一段網(wǎng)站的注釋里,或者固定的MX記錄,以及X.509證書的引用信息, 都可能泄露源地址信息。因此,任何你可以利用的查詢?cè)撔畔⒌姆椒ǘ际怯幸娴摹F渲邪┒磼呙韫ぞ撸瑧?yīng)用程序測(cè)試工具,DLP工具,或任何可以調(diào)整或編寫的幫助查找和標(biāo)記源地址泄漏的規(guī)則在這里都是有用的。定期的運(yùn)行這些工具,或進(jìn)行自我檢查尤其有價(jià)值,因?yàn)槊看卧u(píng)估都是一個(gè)“時(shí)間點(diǎn)”練習(xí),可以更改配置,快速發(fā)布內(nèi)容的更新。
然后,對(duì)DDoS攻擊服務(wù)本身進(jìn)行測(cè)試是有益的。這里要小心不要將DDoS攻擊防護(hù)服務(wù)當(dāng)作保險(xiǎn)來看待:認(rèn)為在當(dāng)你需要的時(shí)候一定會(huì)出現(xiàn),用不到的時(shí)候則是無形的。更好的方法是測(cè)試DDoS攻擊防護(hù),就像測(cè)試DR或其他應(yīng)急措施。有信譽(yù)的廠商將不會(huì)拒絕這一請(qǐng)求;它反而會(huì)主動(dòng)這么做并且將這作為一個(gè)展示其能力的機(jī)會(huì),它甚至還會(huì)幫助你推動(dòng)這一測(cè)試。這不是建議讓某人作為誘餌讓匿名者發(fā)起DDoS攻擊,即使是不對(duì)帶寬使用造成影響的小規(guī)模測(cè)試都可以確保該服務(wù)是按照預(yù)期工作的,而企業(yè)的花費(fèi)物有所值。
最后,評(píng)估實(shí)現(xiàn)一些過濾器或者檢測(cè)規(guī)則,對(duì)不是來自流量?jī)艋行牡牧髁窟M(jìn)行過濾或檢測(cè)。一些服務(wù)提供商也許會(huì)建議過濾掉所有不從他們發(fā)起的流量;這在可行的情況下是個(gè)不錯(cuò)的方法,但要注意,也會(huì)有一些情況不允許這么做。例如,這種嚴(yán)格過濾對(duì)于一有巨大安裝基數(shù)的硬編碼的或難以改變IP的遺留應(yīng)用來說很難生效。即便過濾所有除了凈化中心以外的流量是不可能的或者不可行的狀況下,仍然有一些其它的選擇。例如,可以利用一個(gè)IDS或其他檢測(cè)控制來提醒安全小組不是從服務(wù)提供商發(fā)起的意料之外的連接;雖然這并不會(huì)阻止DDoS攻擊,但至少會(huì)提醒組織有可疑的事情發(fā)生,比如一個(gè)來自攻擊者的偵查探測(cè),該探測(cè)將有可能導(dǎo)致后續(xù)更險(xiǎn)惡的事情發(fā)生。
盡管如何處理基于DNS的DDoS攻擊防護(hù)是一件充滿挑戰(zhàn)的事,但從實(shí)現(xiàn)的角度看,企業(yè)可以采取一些非常現(xiàn)實(shí)的步驟,以確保得到他們想要和期望的防護(hù)。通過了解源地址發(fā)現(xiàn)是什么,對(duì)源地址發(fā)現(xiàn)以及DDoS攻擊防護(hù)服務(wù)本身都進(jìn)行測(cè)試,并評(píng)估過濾與/或檢測(cè)的機(jī)制,企業(yè)可以在這一塊保持領(lǐng)先的地位。