從去年初以來,國(guó)際金融機(jī)構(gòu)便接二連三被分布式拒絕服務(wù)攻擊(DDoS)糾纏不休,其中多次攻擊都是由一個(gè)名為卡桑網(wǎng)絡(luò)戰(zhàn)士(QCF)的組織所發(fā)動(dòng),其最顯著的一次是今年年初針對(duì)美國(guó)金融機(jī)構(gòu)、代號(hào)為“燕子行動(dòng)”(Operation Ababil)的攻擊,最近該組織更在Pastebin 發(fā)表每周更新,重申其發(fā)動(dòng)“燕子行動(dòng)”的動(dòng)機(jī)及總結(jié)其帶來的影響。
除了QCF,不少黑客團(tuán)體也在摩拳擦掌策動(dòng)DDoS攻擊,其目標(biāo)往往是金融服務(wù)機(jī)構(gòu),集中攻擊其網(wǎng)站表格與內(nèi)容。此外,更有些DDoS攻擊變成“進(jìn)階”的多向量版本,把DDoS與賬戶竄改及詐騙手法結(jié)合,帶來更大的殺傷力。
以上例子表明,在過去的一年半,DDoS黑客活動(dòng)的頻率與手法不斷提高,近期的個(gè)案顯示不同規(guī)模的銀行正面臨不同形式的DDoS攻擊,這包括傳統(tǒng)SYN 攻擊、DNS泛洪攻擊、DNS放大攻擊,以及針對(duì)應(yīng)用層和內(nèi)容的攻擊。而針對(duì)SSL加密網(wǎng)頁(yè)資源和內(nèi)容的拒絕服務(wù)(DoS)攻擊更是變本加厲。在一些情況下,黑客會(huì)采用一種混合形式的攻擊,用難以阻止的應(yīng)用層方法,結(jié)合“低成本”、大批量,但可用簡(jiǎn)單的手段進(jìn)行過濾及阻擋的攻擊。
為了應(yīng)對(duì)此等級(jí)別的惡意活動(dòng),首席信息官、首席信息安全官,以及他們的團(tuán)隊(duì)需要部署一個(gè)全盤抗擊方案,采用一套全面的防御工具,結(jié)合公司內(nèi)部署的安全技術(shù)和基于云端的清洗服務(wù)。此外,他們也需考慮執(zhí)行情報(bào)收集和發(fā)布工作,支持一套全面的DoS緩解策略。
Check Point 軟件技術(shù)有限公司建議金融機(jī)構(gòu)在制訂抗擊DDoS 策略時(shí)應(yīng)考慮下列數(shù)點(diǎn):
采用數(shù)據(jù)清洗服務(wù)或類似的清洗供應(yīng)商來應(yīng)對(duì)大批量耗盡攻擊
達(dá)到80 Gbps的DDoS攻擊已經(jīng)不稀奇,個(gè)別案例甚至高達(dá)300 Gbps。只有極少的組織機(jī)構(gòu)可以有帶寬來應(yīng)付這種規(guī)模的攻擊。當(dāng)面對(duì)如此大規(guī)模的DDoS攻擊,企業(yè)應(yīng)首先考慮通過基于云的清洗供應(yīng)商來管理其網(wǎng)絡(luò)流量,協(xié)助除掉數(shù)據(jù)流中的惡意數(shù)據(jù)包。此等供應(yīng)商擁有所需的工具及足夠的帶寬,所以可以作為抗擊大批量耗盡攻擊的第一道防線,使DDoS攻擊止步于云端,而常規(guī)業(yè)務(wù)數(shù)據(jù)流則能順利通過網(wǎng)絡(luò)。
使用專門的DDoS攻擊防御設(shè)備,對(duì)攻擊進(jìn)行識(shí)別、隔離與修復(fù)
有鑒于DoS攻擊日趨復(fù)雜,同時(shí)結(jié)合大批量和應(yīng)用的攻擊,企業(yè)需要采用一個(gè)綜合多種抗擊手法的方針。要有效抵御結(jié)合應(yīng)用及“低而慢”攻擊的多向量攻擊,必需充分利用在公司部署的專用防御設(shè)備,防火墻和入侵防御系統(tǒng)在緩解DDoS攻擊方面至關(guān)重要,DDoS安全防御設(shè)備構(gòu)建一個(gè)額外的保護(hù)層,通過專用技術(shù)對(duì)DoS活動(dòng)進(jìn)行實(shí)時(shí)鑒別并阻截。管理員還可以通過設(shè)置此等公司內(nèi)部安全方案,與云清洗服務(wù)供應(yīng)商溝通,在遭受攻擊時(shí)可自動(dòng)地把攻擊路由出去。
企業(yè)需要調(diào)整防火墻以處理大量的連接率
在遭受DDoS攻擊時(shí),防火墻將是關(guān)鍵的網(wǎng)絡(luò)設(shè)備。管理員應(yīng)該調(diào)整其防火墻設(shè)置,以識(shí)別和處理大批量耗盡和應(yīng)用層攻擊。此外,視乎防火墻的性能,有些保護(hù)功能可激活以阻止DDoS攻擊數(shù)據(jù)包,在攻擊過程中提高防火墻的性能。
制定一套保護(hù)應(yīng)用的方法及策略,抵御DDoS攻擊
安全技術(shù)可以有效抵御DDoS攻擊,但是管理員也需要考慮調(diào)整Web服務(wù)器,修改自身負(fù)載均衡及內(nèi)容分發(fā)策略,確保系統(tǒng)取得最佳的正常運(yùn)作時(shí)間。此外,也可以考慮配置抵御多種登陸的攻擊。另外一個(gè)防御機(jī)器策動(dòng)、自動(dòng)進(jìn)行攻擊的方法是在網(wǎng)頁(yè)中增設(shè)服務(wù)細(xì)節(jié)選擇,例如頁(yè)面詢問瀏覽者是否有興趣取得低息率或新產(chǎn)品信息,用戶需按下“接受”或者“不用,謝謝”按鍵后,方可繼續(xù)進(jìn)入后續(xù)頁(yè)面。
此外,內(nèi)容分析十分重要,這可以簡(jiǎn)便地確保沒有大量PDF文件堵塞價(jià)值重大的主機(jī)服務(wù)器。
以上都是有些執(zhí)行DDoS緩解策略的重要手段。企業(yè)必須與服務(wù)提供商及互聯(lián)網(wǎng)服務(wù)提供商(ISPs)攜手合作。ISP必須參與并支持此等抗擊策略,因?yàn)镈DoS攻擊與銀行等金融機(jī)構(gòu)使用相同的網(wǎng)絡(luò),而ISP則支持這兩種數(shù)據(jù)流。
情報(bào)收集和分發(fā)對(duì)抵御DDoS的重要性也日益增加,這需要調(diào)查公司內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù),以及在金融服務(wù)業(yè)其它公司的網(wǎng)絡(luò)中的數(shù)據(jù)。
了解黑客身份、其攻擊動(dòng)機(jī)和手法等信息可以幫助管理人員準(zhǔn)確預(yù)測(cè)并防范攻擊。分辨DDoS攻擊可以是根據(jù)協(xié)議(SYN、DNS、HTTP)、攻擊數(shù)據(jù)包的來源,策動(dòng)和控制攻擊的網(wǎng)絡(luò)、攻擊在一天內(nèi)的啟動(dòng)和結(jié)束時(shí)間等。目前,此等信息共享只限于業(yè)界友好間,正確的發(fā)展方向是構(gòu)建自動(dòng)化系統(tǒng),不同機(jī)構(gòu)可以登錄一個(gè)方案,通過研究有關(guān)聯(lián)的原始日志信息,掌握進(jìn)行中或已結(jié)束攻擊的蛛絲馬跡,此等系統(tǒng)也可以用作分享攻擊情報(bào)及分發(fā)相關(guān)保護(hù)。
京公網(wǎng)安備 11010502049343號(hào)