分布式拒绝服务(DDoS)攻击是一种恶意的网络攻击手段。攻击者通过操控大量的计算机(僵尸网络)向目标系统或网络发送海量数据,致使目标系统瘫痪,从而使合法用户无法正常使用服务。一旦遭受 DDoS 攻击,系统往往会陷入瘫痪,甚至完全失去响应。面对这种情况,防御者必须迅速采取行动,这可能需要借助外部力量,甚至暂时关闭部分资源。同时,要通过分析日志、警报等信息,确定 DDoS 攻击的类型,并最终通过调整安全架构、投资防护工具等方式,从攻击中恢复并预防未来可能的攻击。

一、第一阶段:遏制

当 DDoS 攻击发生时,系统资源会变得极为迟缓,甚至对资源进行保护的相关更改都难以执行。若不识别攻击,便无法彻底阻止它,但当系统因恶意流量泛滥而无法访问时,识别攻击也变得困难。因此,首要任务是停止攻击(哪怕是暂时的),以恢复内部资源,如 CPU 运算能力和内存资源。将日志发送至其他独立存储或 SIEM 解决方案等资源的组织,或许能够在阻止攻击的同时,确定 DDoS 攻击的类型。

初始 DDoS 响应策略

  1. 简单 DDoS 攻击的应对:一般来说,简单的 DDoS 攻击可由内部专业人员尝试阻止。但需注意,即便是基础的 DDoS 攻击,有时也需要借助主机互联网服务提供商(ISP)的帮助,在上游进行流量阻断。否则,被阻止的 DDoS 攻击流量仍可能对连接带宽和 ISP 基础设施构成威胁。
  1. 初始响应选项
    • 联系服务提供商:在某些情形下,联系互联网或网络托管提供商并告知其情况,有可能阻止 DDoS 攻击。他们或许已察觉攻击并正在采取措施阻止流量。服务提供商能够确认攻击的存在,并实施一些变更,以阻止恶意流量进入网络,例如:
      • 增加带宽:增加带宽可在一定程度上抵御 DDoS 攻击甚至完全缓解攻击,但成本较高。
      • 更改 IP 地址 / 范围:更改 IP 地址和 DNS 信息能暂时阻止攻击,不过,攻击者可能很快会瞄准新的 IP 地址,且更改 IP 地址还需同步调整多个内部系统。
    • 聘请网络安全专家:利用专业人员以及高端工具和服务,是防御 DDoS 攻击并防范未来攻击的有效途径之一。具体方式包括:
      • 寻求专业人士协助:联系安全顾问、托管检测和响应(MDR)专家等专业人员,他们能够帮助阻止攻击、完善系统以应对未来攻击,并推荐其他事件响应工具和服务。
      • 借助云服务:基于云的 DDoS 防护服务通常提供较为全面的 DDoS 攻击阻止方案,因此许多组织会将部分或全部基础设施迁移至 AWS、Microsoft Azure 或 Google Cloud 等云服务提供商。需要注意的是,要及时更新访问控制列表,确保服务与受保护系统之间的连接畅通,同时阻止其他连接,防止绕过 DDoS 防护服务。但即使是云服务提供商,也难以阻止源自组织内部网络的 DDoS 攻击。
    • 过滤目标 IP 地址和位置:查看日志文件往往能获取有关网络的重要信息,包括产生大量 DDoS 流量的 IP 地址和位置。基于这些信息,可在网络上启用一些快速且成本较低的防御手段,例如:
      • IP 过滤:通过 IP 过滤功能,可阻止特定的 IP 地址访问。
      • 地理封锁:地理封锁允许阻止来自特定地理位置的连接。但这些方法通常只是权宜之计,因为攻击者可能会伪造 IP 地址或利用未封锁地区的僵尸网络,导致防御者需要不断应对,而且来自被封锁区域的合法流量也将无法访问资源,可能造成经济损失和声誉损害。通常建议在 ISP 层面也应用这些过滤措施,以避免被阻断的流量消耗网络资源。
    • 启用或加强 DDoS 保护选项:组织应检查现有资源,如服务器软件、路由器固件等,查看是否存在未激活的 DDoS 保护选项。例如,检查网络设备是否具备以下安全功能:
      • 路由器上的 DDoS 保护:启用该功能可通过监控进入网络的流量数据包数量,保护网络免受 DDoS 攻击。
      • 速率限制:速率限制是一种安全功能,可限制特定时间内的请求数量。由于这些功能通常已内置在许多网络设备中,在攻击发生前进行设置和运行相对容易且成本较低。但在攻击期间,这些功能可能无法发挥作用,或者在攻击发生后才部署可能为时已晚。
    • 关闭服务:在某些情况下,关闭受攻击的系统是较好的选择。在恢复在线服务之前,可以隔离服务或资源,加强其防御能力,防止进一步受到攻击。例如:
      • 停止特定请求:若发现受到特定网络请求(如 SYN 洪泛)的攻击,可对传入的连接请求进行速率限制。
      • 阻止下载:如果特定服务存在试图下载超大文件的情况,可暂时禁用下载功能,而不影响网站的其他部分。这是一种快速、低成本且有效的阻止 DDoS 攻击的方法,但停机时间可能会给组织带来损失,尤其是系统完全关闭的情况。
    • 实施新技术:这一步骤需要深入规划和配置,理想情况下应在攻击发生前尽早实施。因为在攻击发生后匆忙决策,可能会忽略一些重要事项。可考虑的工具如下:
      • 防火墙:防火墙能够监控网络流量,并依据安全策略阻止可疑的网络活动或恶意攻击。
      • 安全网关:类似于防火墙,主要用于阻止可疑的网络流量。
      • DDoS 防护设备:这是一种专门用于分析网络流量,检测并阻止 DDoS 攻击的设备。然而,这些工具部署成本高、耗时久,且需要大量资源进行维护,同时无法防御外部攻击,面对大规模攻击时可能无法快速扩展防护能力。
任何遭受攻击的组织都应综合考虑各种选择,并根据当前实际情况,实施最有可能成功的防御措施。

非技术性 DDoS 响应

即便事件响应团队全力应对 DDoS 攻击,组织仍需与其他利益相关者进行沟通。攻击发生后,应遵循以下非技术响应措施:
  1. 通知高管和利益相关者:依据组织的事件响应计划,及时通知所有高管和利益相关者,并持续更新情况。
  1. 建立内部沟通:告知员工可用的内部资源或完成工作的替代方法。
  1. 协调公共关系:按照事件响应计划,向客户通报系统状态。
  1. 联系保险提供商:必须通知网络安全保险公司、监管机构(如证券交易委员会等)以及执法部门。管理层应安排非技术人员加入事件响应团队,负责协调、管理和执行与利益相关者的书面、口头及电话沟通。高管甚至可以安排专人在团队中,负责批准费用或协调从 DDoS 攻击中恢复所需的快速采购授权。

内部攻击与外部攻击

上述初始 DDoS 防御技术适用于各类攻击。但根据 DDoS 攻击的类型以及受影响的架构,部分技术的效果会有所差异。需要明确保护内部网络和外部资源(如视频游戏系统)免受 DDoS 攻击的区别。
  1. 阻止内部和外部路由器、服务器和网站 DDoS 攻击:暴露在互联网上的实用程序、应用程序和网站资产,由于最易受到攻击,常成为 DDoS 攻击者的目标。托管或支持这些资源的服务器,通常会出现 CPU、内存和带宽过载的情况。这些攻击与针对服务器和路由器的内部 DDoS 攻击不同,后者主要针对内部网络协议和资源。不过,一旦攻击开始,保护这些不同资源的步骤大致相似。
    • 阻止初始攻击:检查日志文件,开始阻止与攻击(内部或外部)相关的 IP 地址,利用地理围栏阻止特定区域,对于内部攻击,甚至可以关闭产生异常流量的本地受损设备。但在某些情况下,无法关闭设备,例如攻击者将医院的呼吸机纳入僵尸网络,医院不能简单关闭呼吸机,以免危及患者生命。此外,许多攻击者发现攻击被阻止后,会改变策略和攻击源。虽然阻止措施可能只是暂时有效,但能为实施更有效的防护措施争取时间。
    • 避开攻击:若阻止无效,可尝试更改服务器 IP 地址、路由器 IP 地址或网站 URL,使服务器避开 DDoS 攻击路径。与阻止攻击一样,这可能只是暂时缓解手段,但能为实施其他需要更多时间执行的策略争取时间。
    • 停止服务:如果阻止或避开攻击均无效,组织可能需要停止受攻击的服务(如 PDF 下载、购物车、内部路由器等)。部分或全部停止网站、应用程序或内部网络服务会造成严重影响,因此应谨慎考虑。只有在前面两个步骤无法为执行后续步骤争取足够时间时,才考虑采取此措施。
    • 启用额外保护:当部分事件响应团队成员尝试阻止现有攻击时,其他成员应着手通过以下方式启用针对 DDoS 攻击的额外保护措施:
      • 致电 ISP:ISP 可以协助为受攻击的网站、应用程序和公开暴露的设备(防火墙、服务器、路由器等)设置外部 DDoS 防护服务。
      • 评估防火墙保护:安装 WAF 服务或调整当前 WAF 设置和策略,可增强网络防御能力以阻止攻击,也可通过下一代防火墙(NGFW)重新路由内部流量。
      • 调整速率限制:在网络设备上配置速率限制,可改变现有防火墙、服务器和其他相关资源的请求阈值,限制进入网络的流量。
      • 添加工具:添加或升级网络和网站保护工具、网络安全产品、网络入侵检测系统(IDS)和入侵防御系统(IPS),以及 FWaaS 等云防火墙解决方案,可防范未来攻击。
      • 获取帮助:聘请事件响应或托管 IT 安全服务(MSSP)供应商,帮助定位并清除引发 DDoS 攻击的恶意软件。但需注意,额外的保护措施可能会对现有架构或性能产生影响。例如,负载均衡器可能会被 DDoS 工具绕过,DDoS 保护设备的数据包检查可能会导致流量延迟。同时,要牢记取证或安全调查是恢复过程的一部分,特别是对于可能引发网络安全保险索赔的攻击。必须找到并清除攻击者引入的初始感染源、接入点、恶意软件以及系统更改,以防止未来的 DDoS 攻击或其他类型的攻击(如勒索软件、数据盗窃等)。
  1. 阻止外部路由器或视频游戏系统 DDoS 攻击:小型企业、游戏服务器和主播通常将路由器直接连接到互联网,攻击者容易获取其 IP 地址并发起攻击。由于缺乏 IT 专业人员支持,这些暴露系统遭受攻击后可能导致互联网访问完全中断。以下是一些阻止此类攻击的方法:
    • 重置 IP 地址
      • 最快捷的方法 — 拔掉电源:拔掉路由器、游戏系统,有时还需拔掉调制解调器。路由器 IP 地址重置最短 5 分钟即可分配新 IP 地址,最长可能需要 24 小时,具体取决于 ISP。
      • 最佳方法 —— 联系 ISP:联系互联网服务提供商(ISP),有些 ISP 限制 IP 地址更改,需要直接联系,而且 ISP 还能实施额外安全措施或提供额外服务来阻止 DDoS 攻击。
      • 管理控制台 IP 重置:通过 Web 浏览器以管理员身份登录路由器控制台并更改 IP 地址,具体操作可查看路由器手册。
      • 命令提示符 IP 地址重置:使用命令行提示符(如 ipconfig(Windows、MacOS)或 ip(Linux))释放和更新 IP 地址;MacOS 用户还可通过高级系统偏好设置选择 TCP/IP 并点击 “更新 DHCP 租约”。当然,这种方法会导致互联网或网络暂时不可用,直到路由器重新启动,且攻击者仍可能搜索新的 IP 地址继续攻击。
    • 激活 DDoS 防御选项
      • 路由器保护:检查路由器管理控制台和手册,查看是否有可启用或加强的其他 DDoS 保护选项。这些选项可快速激活,但可能影响性能。
      • 升级设备:较旧的路由器或消费级路由器可能缺乏防御现代 DDoS 攻击和其他常见网络威胁的功能,可考虑升级到具有更多安全功能或更高容量的设备。
      • 启用隐私模式:某些游戏机在菜单中提供隐私和在线安全选项,可用于减少公开信息。例如,Xbox 具有 “私人模式” 功能,可在 “更多选项”>“Xbox 设置”>“隐私和在线安全” 中找到。
    • 添加保护层
      • 添加设备:在路由器和互联网之间添加网络保护设备,如防火墙、安全网关和 DDoS 保护设备。
      • 升级或添加专业级设备:考虑购买提供更多安全性的新型路由器和下一代防火墙。
      • 基于云的保护:添加来自 Cloudflare 或 Sucuri 等供应商的云解决方案,如 FWaaS 或 DDoS 保护服务。
      • VPN 网络服务:使用虚拟专用网络(VPN)隐藏 IP 地址,但由于额外的网络跳数,会增加 ping 值。游戏玩家和流媒体可寻找具有低延迟连接和安全 IP 地址的 VPN 服务。最佳选择取决于组织或个人的预算、技术能力以及解决方案的实施速度要求。

二、第二阶段:分析

有些攻击较为明显,系统会完全停止运行,但通常在 DDoS 攻击的早期阶段,资源会出现 “异常表现”。无论哪种情况,若不识别攻击,就无法彻底阻止。因此,需要查看日志,确定 DDoS 攻击的类型,并尝试追踪攻击来源。

识别 DDoS 攻击的迹象

DDoS 攻击的最初迹象通常是延迟,表现为应用程序运行缓慢、网站加载迟缓、服务器响应请求不及时等。遭受攻击的互联网连接用户可能会发现无法连接互联网或使用本地资源。网络运营中心、防火墙监控工具、云使用工具和其他监控解决方案可能会监测到网络或互联网流量的峰值。在攻击发展到一定阶段,资源将无法使用,甚至无法运行诊断工具或访问日志文件和其他报告。团队应尽快做出响应,或确保资源优先发送日志以供分析。

检查并分析日志、警报和记录

理想情况下,第一个故障指标会以日志和警报的形式出现,这些日志和警报来自监控带宽、应用程序性能、内存或 CPU 问题的工具和软件。警报能够帮助响应团队立即采取行动,在 DDoS 攻击耗尽资源前阻止攻击。需要注意的是,要记录所有相关信息,这些来自 DDoS 攻击的记录对于多个团队和利益相关者具有重要价值,包括:
  1. 事件响应团队:数字取证和事件响应团队将利用日志分析攻击,以便更好地了解攻击过程,为防止未来攻击提供依据。
  1. 网络安全保险:大多数网络安全保险公司在审查索赔、计算损失时,会要求提供日志报告副本。若没有警报,组织可能只能依赖客户或内部投诉,但这些反馈可能因资源拥塞(如应用程序、服务器等)而延迟,甚至直到整个网络因 DDoS 攻击瘫痪才会被发现。

攻击特征

对攻击特征进行分析,有助于区分攻击流量与合法流量,并确定攻击类型。例如,针对基础设施协议的攻击与针对应用程序特定功能的应用级攻击,需要不同的应对策略。由于 DDoS 攻击类型繁多,准确确定攻击类型具有一定难度。响应团队会通过分析日志,查找有关攻击和潜在防御措施的信息。DDoS 攻击可能需要进行数字取证调查,以确定恶意软件如何进入网络并发起 DDoS 攻击。调查人员将收集证据,并确保从网络中清除攻击者和恶意软件。

攻击追溯

DDoS 攻击追溯旨在确定 DDoS 攻击的来源。例如,如果攻击可追溯到一系列 IP 地址,可通过 IP 阻止来阻断攻击。然而,攻击追溯极具挑战性,且可能无法找到真正的攻击者。

三、第三阶段:恢复

能够迅速消除 DDoS 攻击影响的组织,可能仅遭受了一些不便。而不太幸运的组织则需要评估损失,根据 DDoS 补救措施进行必要调整,确定紧急措施以防止 DDoS 攻击再次发生,并考虑其他预防手段。

DDoS 攻击损害

DDoS 攻击造成的损失因组织而异,取决于受影响的资源。Corero 最近的一项调查估计,DDoS 攻击每小时可能使组织损失数十万美元,大型组织损失可能高达 100 万美元,平均每分钟损失略高于 6000 美元。但这些报告均未考虑其他成本以及业务和声誉损失。遭受 DDoS 攻击后,组织需要记录保险成本和损失,并制定预算,用于购买工具和服务以预防未来的 DDoS 攻击。

DDoS 补救措施调整

为阻止攻击,组织可能对架构或软件进行了更改,这可能会无意中引发其他问题。恢复过程的一部分是检查基础设施,检测并修复受损组件或链接。例如,将网站迁移至 DDoS 过滤服务提供商后,可能仅迁移了主域,子域可能需要手动迁移。同样,与其他第三方工具的集成可能需要额外配置。例如,发布网站可能会发现其 Web 内容管理系统无法正确连接到受 DDoS 提供商保护的发布内容,需要进行更改以重新建立连接。对于在网络内部发起的 DDoS 攻击,可能需要清理单个计算机系统,以消除恶意软件或攻击者访问设备进行未来攻击的可能性。有时这还可能触发数据和系统恢复需求。

DDoS 攻击经验教训

生成一份经验教训报告,详细解释攻击发生的过程,并明确说明如何防范类似攻击。应立即实施缓解措施,若无法立即实施,也应尽快规划并提出预算建议。补救 DDoS 攻击的成本以及停机造成的业务损失,可作为一个大致目标,与缓解预算进行对比。如果攻击规模或影响巨大,应向执法机构或 CERT 等行业组织报告事件。报告攻击有助于建立主要攻击者档案,对摧毁如 911 S5 和 Raptor Train
声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。