很多企业都曾思考或者经历过:当其系统遭受针对性分布式拒绝服务攻击会发生什么。多年来,我们看到很多看似灵活的企业由于分布式拒绝服务攻击失去其核心网络业务。
特定系统网络中断是一回事;但是,你有没有想过,如果你企业整个域名系统功能都失效会发生什么?域名系统(DNS)基本是互联网(以及你的企业)的循环系统,我们很难想象企业没有它可以存活。
在最近的DDoS攻击中,托管DNS提供商NS1及其客户遭遇了这种情况。开始的批量密集攻击很快变成直接的DNS查询攻击,这最终制造了持续的DNS问题。如果连DNS提供商都遭受攻击,那么任何企业都可能遭受攻击。
在很大程度上,处理DDoS攻击的方法已经演变成增加容量以在多个系统间有效分散负载,从而更好地减小影响。在NS1的博客文章中提供了各种DDoS缓解策略,其中最有效的策略包括如下:
DNS服务部署在两个独立网络
与反分布式拒绝服务供应商合作
通过系统监控和警报,确保系统间最大可视性,最好是通过第三方托管安全服务提供商。
经验只有在某次很需要它的行动之后你才能获得。对于拒绝服务相关事件响应,更聪明的做法是提前想好最坏的情况,然后采取必要的措施以确保它不会发生。这种方法被称为“最小最大”遗憾分析;你最小化最大的遗憾。
奇怪的是,仍然有很多企业(包括大型企业)还没有找到或解决相对基本的DDoS相关漏洞。在这些漏洞中,有些漏洞非常明显,就像漏洞扫描和渗透测试检测出的漏洞,例如DNS流量放大以及DNS递归查询被启用。这些漏洞存在于路由器、防火墙以及暴露于互联网的服务器。下面是最大程度减小侧重DNS的DDoS攻击影响的方法:
找寻“唾手可得”的漏洞,例如上述DNS漏洞。
从网络架构的观点来看,看看DNS服务在你的环境中如何运作,并确定具体的瓶颈点以及单点故障,包括云服务及业务合作伙伴连接。
与你的互联网、托管、云计算和DNS服务提供商进行讨论,并询问他们为减小这种风险他们已经部署了什么缓解策略。
根据你收集的信息,确定还需要做什么,例如增加额外的DNS提供商、使用反DDoS供应商的服务等。
也许最重要的是,直接在事件响应计划或业务连续性计划中记录你对这些DDoS缓解策略和技术的标准,以及处理这些事件的程序。
执行模拟桌面(或真实)演练以确定薄弱环节。解决你发现的漏洞,然后对部分信息安全计划进行拒绝服务和事件响应测试。
对于最大限度减少安全风险,最好的办法还包括从他人的事件中吸取经验,例如NS1和其他遭受攻击的DNS提供商。最后,确保你部署了适当的安全控制来解决此类事件。请记住,你的总体目标不是完全消除这种风险,而是尽量减少对你企业的影响。