内外兼修防御DDoS攻击的技巧

DDoS攻击在过去几年中的凶猛程度可谓史无前例，黑客行动主义者们清楚，金融服务网站一旦停机意味着每分钟都将造成数百万美元的业务损失。曾针对美国银行、第一资本金融公司、大通银行、花旗银行、PNC银行以及富国银行的攻击可谓冷酷无情而又精妙复杂，使得众多安全高管甚至畏惧到不敢对细节进行深入讨论。

   为实时防御调整做好准备

    “这些攻击不仅指向多个目标，其具体战术也在实时进行改变，”Arbor网络美国公司解决方案架构师GarySockrider表示。攻击者们会观察站点的响应情况，并在站点重新上线之后立即组织新的攻击方式。

    “他们绝不会半途而废，尝试不同端口、不同协议或者从新的源头实施攻击，总之他们不达目的誓不罢休。战术总是处于变化之中，”他指出。“企业用户必须理解对手的这种快速灵活特性，并为之做好准备。”

   不要仅仅依靠内部防御机制

    在与所有采访对象的交流中，我们发现传统的内部安全体系——防火墙、入侵防御系统以及负载均衡机制——都无法阻止攻击活动。

    “我们亲眼见证这些设备在攻击面前被一一摧毁。得到的教训非常简单：只有在攻击真正抵达这些设备前就加以扼制，我们才能真正缓和DDoS危机。安全设备同样存在漏洞，其漏洞之多与我们想要保护的服务器本身并无二致，”Sockrider解释称。为了实现更理想的防御效果，我们必须依赖上游网络运营商或托管安全服务供应商们的支持，他们的协助能将攻击活动阻隔在网络体系之外。

   当面对大规模攻击时，从上游开始抵御攻击就显得更加重要。

    “如果我们的互联网连接只能承载10GB数据传输量，而攻击活动却带来100GB传输量，那么希望将其降低至10GB的任何努力都将是徒劳的，因为上游导入的信息总量已经注定了服务崩溃的悲惨命运，”Sockrider总结道。

   在内部扑灭应用程序层攻击

    指向特定应用程序的攻击活动一般比较隐蔽，规模较小而且更有针对性。

    “这类攻击着力改进自身隐蔽性，因此我们需要在内部或者数据中心体系中实施保护，这样才能实现深度包检测并掌握应用程序层中的全部情况。这是缓解这类攻击的最佳方式，”Sockrider告诉我们。
协作

    银行业已经在遭遇攻击时采取了一定程度的协作机制。他们所披露的一切信息都会受到严格保护，并只与内部同行进行分享。这种结合了限制机制的协作途径让银行业在安全协作方面的表现优于大多数其它行业。

    “他们与其它银行同仁及电信供应商开展交流，而且直接与服务供应商展开合作。当然，他们别无选择，因为单凭自己的力量根本无法在严酷的安全世界中生存下来，”Price指出。

    他们还向金融服务信息共享及分析中心寻求技术支持，并与其分享自己的安全威胁信息。

    “在这类信息交流会议上，有一些大型银行采取非常开放的沟通态度，积极与他人分享自身所遭遇的安全威胁以及切实有效的处理方案。通过这种方式，大型银行至少打开了沟通渠道，”Akamai技术公司金融服务部门首席战略专家RichBolstridge评价称。

    金融行业的战略视角可以也应该被广泛推广到各行各业当中。

   提前准备应急预案

    企业必须努力预测应用程序及网络服务可能面临的安全威胁，并通过制定安全应急预案来缓解这些攻击所造成的后果。

    “企业应该将注意力集中在攻击本身，并提前制定规划以部署响应流程。他们还可以汇总内部攻击信息并将其提供给供应商，从而形成同仇敌忾的攻击对抗联盟，”Tsantes建议道。

    IBM公司的Price对此也表示赞同。

    “企业需要组织起更理想的响应措施。他们需要将内部应用程序团队与网络团队进行整合，帮助技术人员了解攻击活动出现时应如何做出响应，这样才不至于由于慌乱而导致坐以待毙的状况。由于攻击者们越来越狡猾，金融机构也要快速成长才能跟上形势，”她进一步解释道。

    目前，许多大型金融机构已经开始着手强化DDoS防御体系，但观察家们担心攻击者会将攻击目标转移到规模较小的银行、信用社甚至其它行业身上。
 
“多轮攻击活动的肆虐已经引起了某些地区银行管理层的高度重视，他们开始积极帮助企业做好应对准备，这也算是恶意事故的正面影响，”大西洋中部地区某家银行的IT安全官评论称。

    “而受到大型机构的启发，很多规模较小的银行也开始着手筹备，因为他们已经意识到自己同样可能成为攻击活动的下一个目标，并由于担忧而激发出强大的主观能动性，”Bolstridge指出。

    Pirce则解释称，这意味着大多数企业都将更多依赖于服务供应商与管理安全服务供应商所提供的支持。

    “他们需要对自家系统做出弹性评估，并确保其服务供应商已经准备好应对潜在攻击并能为其提供足够的保护，”她总结称。

   当心次要攻击

    由于攻击活动的组织成本不断提高，某些恶意侵袭甚至有可能成为规模更大、手段更凶猛的安全威胁的掩护活动。

    “DDoS攻击还可能充当一种障眼法，旨在为其它更为险恶的攻击提供掩护。银行一定得明白，他们不仅需要监测并防御DDoS攻击，同时也必须时刻当心尝试窃取账户或其它敏感信息的次要攻击——虽然名为‘次要’，但这才是犯罪分子的真正目的，”Price表示。

   非银行业也需要警惕

    虽然目前大部分攻击活动都集中在金融领域，但专家们提醒称其它行业同样有可能受到波及。

    “我们不希望看到这种级别的攻击出现在医疗保健等其它行业，因为这些行业由于缺乏成为攻击目标的心态而很少配备充分的保护措施，”Bolstridge提醒道。“希望大家能将此视为安全警钟，并以适当方式评估自身面临的风险。”

    信息共享正是攻击活动中的重要环节。

    “攻击者们彼此之间当然也会共享信息。事实上，只有第一位攻击者才是真正的技术天才，其他人则只能称为跟风而上的受益者，”他总结道。

    坏家伙们的行事方式也应当成为好人们的行为准则。信息共享、携手合作，这才是对抗恶意活动的绝佳方式。

支持锅哥然后抢个沙发