小说阅读网站,穿越小说完本,欢乐颂

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

一次對抗大規(guī)模DDoS的真實經(jīng)歷

每個網(wǎng)站都會面對網(wǎng)絡(luò)攻擊。唯一的區(qū)別在于，如何建設(shè)防御，以及如何進行警報和響應(yīng)。

成都創(chuàng)新互聯(lián)公司專注于立山企業(yè)網(wǎng)站建設(shè),響應(yīng)式網(wǎng)站建設(shè),商城網(wǎng)站建設(shè)。立山網(wǎng)站建設(shè)公司,為立山等地區(qū)提供建站服務(wù)。全流程按需規(guī)劃網(wǎng)站，專業(yè)設(shè)計，全程項目跟蹤，成都創(chuàng)新互聯(lián)公司專業(yè)和態(tài)度為您提供的服務(wù)

在網(wǎng)絡(luò)上很難找到關(guān)于防御黑客攻擊的真實案例。一方面，信息披露可能會引發(fā)官司，另一方面，披露這些信息往往會導(dǎo)致不良的財務(wù)后果，因此各公司往往不情愿分享相關(guān)細節(jié)。然而，如果我們完全不披露這些故事，會使其它人在不知情的情況下犯相同的錯誤。如果我們?yōu)榻⑼{情報共享體系做出貢獻，分享網(wǎng)絡(luò)安全戰(zhàn)場上的真實經(jīng)驗，可以讓事情變得更好。

乙方是一家SaaS(軟件即服務(wù))公司，為大中型企業(yè)提供網(wǎng)頁內(nèi)容管理服務(wù)。其服務(wù)的客戶A公司專注于幫助醫(yī)療供應(yīng)商提高運營和財務(wù)績效，A公司為數(shù)千家醫(yī)院和醫(yī)療保健機構(gòu)客戶提供服務(wù)，管理數(shù)十億美元的開支。

要分析的這次DDoS攻擊的規(guī)模極大：在攻擊高峰時，8600萬個用戶同時從世界各地的超過10萬臺主機上訪問網(wǎng)站(當(dāng)事方聯(lián)系了FBI)。當(dāng)攻擊結(jié)束39小時后，防護方艱難的取得防御性勝利。下面是事件過程：

瘋狂攻擊

A公司的年度會議即將召開，會議將有15000人參加。會議的前一天晚上，乙方收到了警報消息。A公司的網(wǎng)站服務(wù)器正承載著難以置信的網(wǎng)絡(luò)流量。需要說明的是，A公司也是一家SaaS提供商，為客戶提供數(shù)據(jù)內(nèi)容和分析，因此這種程度的訪問量會極大地影響該公司的服務(wù)質(zhì)量和信譽。沒有多少時間，必需快速做出響應(yīng)。

所有訪問請求都來自百分百合法的URL。所以很難分辨出其中的惡意流量
攻擊來源遍布世界各地：北朝鮮、愛沙尼亞、立陶宛、中國、俄羅斯、南美
60%的訪問量來自美國本土
攻擊者直接解除DNS和攻擊IP地址的關(guān)聯(lián)

一開始，防御方使用AWS(Amazon Web Service)Route 53，重新配置了一些文件，然后立即切斷了與這些IP地址的通信。在成功抵御了最初的幾波攻擊后，網(wǎng)絡(luò)似乎恢復(fù)了正常，但事實證明，這只是第一波，而接下來的才是更瘋狂的攻擊。

當(dāng)天傍晚，攻擊再次發(fā)起并直接指向DNS域名，這意味著之前的IP攔截策略不再奏效，眼看著數(shù)據(jù)流量急劇上升。

放棄還是抵抗

乙方和A公司的首席信息官進行了討論，最后達成一致意見：決定抵抗到底。作為一家SaaS公司，提供持續(xù)、可靠的服務(wù)，維持公司信譽是重中之重。雙方同意分擔(dān)預(yù)計為數(shù)萬美元的防御成本，為正義而戰(zhàn)。

經(jīng)過仔細審視第二波攻擊，防御方意識到可以立即采取一些緩解措施：

1. A公司的業(yè)務(wù)只面向美國客戶，不過也有少部分流量來自國外。因此防御方迅速地建立了一些防火墻規(guī)則，這些規(guī)則只允許來自美國的流量通過。于是，40%的攻擊流量被拒之門外。

2. 在AWS(Amazon Web Service)Route 53后面加了一道網(wǎng)絡(luò)應(yīng)用防火墻，配置了一些HA代理，這可以為FBI收集大量的登錄信息，便于他們進行事后分析工作。

3. 調(diào)整流量自動縮放的配置。自動縮放會根據(jù)接入流量規(guī)模大小調(diào)整自己的上下閾值。將下閾值調(diào)整得比上閾值大得多，這意味著系統(tǒng)在流量變大時會做出合適的反應(yīng)，但永遠不會達到流量下閾值。結(jié)果，每個運行的實例都會在服務(wù)列表中永續(xù)存在，記錄完整無損的登錄信息，以備FBI分析。兵來將擋，水來土淹

攻擊者放大攻擊強度，AWS就放大防御強度。攻擊者進一步放大攻擊強度，AWS就進一步放大防御強度，這樣的情景在第二天反復(fù)上演。與此同時，乙方每小時就向A公司的董事會負責(zé)人匯報一次情況。

在DDoS攻擊的最高峰，共部署了18臺大型、計算機能力加強版的HA代理服務(wù)器，40臺大型網(wǎng)頁服務(wù)器。網(wǎng)頁服務(wù)器群特別大，因為盡管阻隔了美國本土外的流量，降低了總數(shù)據(jù)流量的40%，但剩下的60%來源于美國本土的連接中也包括合法的URL。大多數(shù)連接都在訪問動態(tài)服務(wù)，這部分訪問記錄不太容易抓取。

攻擊者的目標(biāo)是一個非常大型的全球化機構(gòu)。防御方通過非常穩(wěn)定的HA代理防火墻和負載均衡配置，部署了高度延展的網(wǎng)頁服務(wù)器群。然后就是云防護(CloudFront)，這是AWS的全球內(nèi)容分發(fā)網(wǎng)絡(luò)。再然后是Route 53，Route 53是AWS的全球冗余DNS平臺。這些設(shè)備共同組成了關(guān)鍵基礎(chǔ)設(shè)施，提供了在每一層上的可擴展性和安全性。

在第二天晚上7點左右，事情開始發(fā)生轉(zhuǎn)變。在加強了防御強度后，攻擊者并沒有進一步增加攻擊強度。此時此刻，服務(wù)器正承載著來自全球10萬臺主機的8600萬個攻擊連接，通過AWS基礎(chǔ)設(shè)施的流量達到每秒20GB。

攻擊者無計可施，只能反復(fù)地發(fā)動攻擊，最后直到完全放棄。事后A公司的首席執(zhí)行官告訴我們，如果他們的網(wǎng)站托管在自己的數(shù)據(jù)中心，防御的選擇就會非常少，而且可能在攻擊開始僅僅八個小時之內(nèi)就會完全無力應(yīng)對。#p#

最后核算一下防御成本，本次通過亞馬遜網(wǎng)絡(luò)服務(wù)成功進行的這次長達36個小時的防御，費用不超過1500美元。雙方平攤的話，各方還不到750美元。

下面是這次在大規(guī)模DDoS攻擊中存活下來的經(jīng)驗，以及一些可以用來加強數(shù)據(jù)中心，并保護公司網(wǎng)站的策略：

1. 針對DDoS攻擊設(shè)計、配置、測試你的設(shè)備。借助你的托管服務(wù)商的經(jīng)驗來進行這些測試，善用他們的援助。

2. 確認你的網(wǎng)絡(luò)環(huán)境中的“正?！笔鞘裁礃幼?。這樣在網(wǎng)絡(luò)狀態(tài)進入“不正?！睜顟B(tài)時可以即時設(shè)置報警。

3. 將你面向公共的域名別名化(alias)到內(nèi)部域名。這可以讓你在幕后進行快速響應(yīng)，并實時做出DNS修正，而不需要依賴第三方服務(wù)供應(yīng)商。

4. 學(xué)會如何有效地在可能受到威脅的情況下進行DNS修正。經(jīng)常進行練習(xí)。

5. DDoS攻擊會用到數(shù)百個攻擊向量，試圖耗盡服務(wù)器的資源。流量測試會啟動許多并行線程，這可能使DDoS攻擊更加兇猛。每個測試都至少應(yīng)當(dāng)運行三小時，以維持響應(yīng)時間，但在兩次測試之間應(yīng)留出足夠的響應(yīng)區(qū)間。在進行顯著性測試、風(fēng)險懸浮以及取消服務(wù)之前應(yīng)當(dāng)授予明確的許可。

6. 在進行自動放大配置時，不要將CPU負載作為量度。DDoS攻擊的最好證據(jù)就是接入HTTP請求的數(shù)量上升，因此最好將接入連接數(shù)作為觸發(fā)警報的量度。

7. 防御規(guī)模應(yīng)當(dāng)增加得迅速，但下降得緩慢。增加和下降的速度比應(yīng)當(dāng)設(shè)置為4:1或2:1。這會使系統(tǒng)在應(yīng)對第一波攻擊時響應(yīng)快速，之后也不需要反復(fù)增加規(guī)模。特別是在攻擊者采取放風(fēng)箏戰(zhàn)術(shù)，即撤退后又殺回來的情況下。

8. 如果使用AWS彈性負載均衡(AWS Elastic Load Balancing)，激活“交叉地帶負載均衡”選項。這對于均衡后端服務(wù)器群的流量而言是最好選擇，會顯著地減輕DNS設(shè)施上的負載。

安全行業(yè)需要集體合作，更好地了解敵人的戰(zhàn)術(shù)、技術(shù)和攻擊流程，以在和惡意黑客的戰(zhàn)斗中取得先機。

名稱欄目：一次對抗大規(guī)模DDoS的真實經(jīng)歷
當(dāng)前路徑：http://m.fisionsoft.com.cn/article/ccsoccg.html

新聞中心

其他資訊