如何高效选择抗DDoS产品或服务;如何定义明确清晰的网络边界 | FB甲方群话题讨论
2023-10-20 14:29:16 Author: www.freebuf.com(查看原文) 阅读量:5 收藏

各位 Buffer 晚上好,FreeBuf 甲方群话题讨论第 225期来了!FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论,Kiki 群助手每周整理精华、干货讨论内容,为您提供一手价值信息。

话题抢先看

1. 大家企业在选用抗DDoS服务时,一般考虑需要抗多大的流量?这个数值如何选择,还是说越大越好?

2. 面对DDoS攻击,目前很多都会采用高防服务器或高防IP进行防御,这其中哪一种效果更好?企业该如何选择?

3. 对于持续性的DDoS攻击,除了“硬刚”,有没有其他可以快速解决的办法?

4. 我们经常讨论边界,那什么算是一个明确而清晰的网络边界?比如什么算是一个明确的清楚的办公网的边界?

话题一:大家企业在选用抗DDoS服务时,一般考虑需要抗多大的流量?这个数值如何选择,还是说越大越好?

A1:

一般企业估计都是最低档流量,然后购买弹性扩容包,因为很少看有人经常被攻击的。话说我们领导还在吐槽高防没有产出。

A2:

对于应用,采用了云WAF,并没入手高防,能满足业务需求。

A3:

云WAF能防DDoS吗?WAF只能防CC吧。

A4:

WAF并不能防DDoS,但是WAF可以有抗DDoS的能力。

A5:

这个话题说的是买运营商服务还是指买设备?都有的话,如果是部署在第三方云, 一般NGFW或者云WAF都有点这方面能力,小的可以顶一顶,大的云服那边堵死了,会联系你重启的。

A6:

抗DDoS攻击,这个我觉得没有最大的数值,也没有最好的方案,点和面都要覆盖的话,安全就是无底洞
合理又可行的投入,我觉得还只能是监控和前期的规避措施做到位,比如尽量避免真实地址的暴露,尽量使用边缘服务,增加多预备入口,及时关闭威胁的服务,转移攻击的目标。

A7:

可以基于历史数据和峰值流量考虑一下,根据过去的流量峰值和攻击情况来预估所需的抗DDoS流量,确保系统在平时和特殊情况下都有足够的弹性。

A8:

主要还是看业务以及行业,不同行业对抗DDoS的需求可能有所不同,一般金融机构和电商类企业可能需要高防。

Q:面对DDoS攻击,目前很多都会采用高防服务器或高防IP进行防御,这其中哪一种效果更好?企业该如何选择?

A9:

高防服务器更好,防御种类更多,针对DDoS和CC攻击。

A10:

首先,先弄清楚高防服务器和高防IP概念有什么不同。高防服务器是指独立单个防御50G以上的服务器,根据IDC机房环境,可分为硬防和软防,可以应对SYN、UDP、ICMP、HTTP GET等各类DDoS攻击;高防IP是指高防机房所提供的IP段,针对服务器在遭受大流量DDoS攻击情况下使用,可以通过配置高防IP,将攻击流量引流到高防IP,确保源服务器的正常运行。

如果原服务器遭受DDoS攻击,但又不想迁移数据不想换服务器的,就可以用高防IP 来部署防御和加速,在原有服务器上部署DDoS防御服务。

A11:

其实本质上来说,高防服务器与高防IP是存在很多联系的,高防IP属于是高防服务器的一部分,一般高防服务器都是针对IP来进行防御和管理,如果某IP出现异常流量时,高防机房中的硬件防火墙,牵引系统等会对流量进行智能识别,对恶意流量进行过滤,保证正常流量能够对服务器发出请求并得到正常的处理。

A12:

高防服务器如果爆掉了就会影响业务,但高防IP在隐藏源IP的基础上,即使单个节点爆了,也不会影响源站。

A13:

高防IP一般是增值服务,是在原有服务器上部署DDoS防护来增强防御级别。

A14:

之前看过一个总结,对二者总结挺到位的:

1、防御力攻击种类不同,高防IP针对的是DDoS和CC攻击,高防服务器通常集独享带宽、清洗能力、高防IP、流量牵引、专业抗DDoS攻击防御能力等高性能于一体;

2、实际操作方法不同,高防IP没有远程登陆的操作,高防服务器有远程登陆一系列的实际操作;

3、价格不同,高防IP按实际攻击量计费,成本更低,高防服务器硬件成本较高。

所以,如果预算有限就高防IP,不差钱的直接高防服务器吧。

Q:对于持续性的DDoS攻击,除了“硬刚”,有没有其他可以快速解决的办法?

A15:

断臂求生,临时下线部分服务。

A16:

从理论上来说,如果半吊子黑客动用了国内肉鸡,并且这个肉鸡可溯源,那么是可以找执法部门的,不过这种情况非常非常少。肉鸡没有清理痕迹,进一步被溯源,而且有关部门愿意帮你。

A17:

将网络流量通过云托管服务进行过滤和清洗,可以大幅减轻企业自身网络承受的压力。

A18:

部署CDN可以将企业的网站内容分发至全球各个节点,提供更快速和高效的访问体验。同时,CDN也能起到一定程度上的DDoS防护作用。CDN具备分布式节点和负载均衡的特点,能够分散攻击流量并过滤掉恶意请求,从而保护企业的网络基础设施。

A19:

还有就是流量清洗,将来自网络的所有流量引导至流量清洗中心进行检查和过滤。流量清洗中心通过自动化工具和人工干预,对流量进行实时监测和分析,并过滤掉含有恶意特征的流量,有效地保护企业的网络资源。

话题二:我们经常讨论边界,那什么算是一个明确而清晰的网络边界?比如什么算是一个明确的清楚的办公网的边界?

A1:

所有出口已知,没有未知出访链路,网络拓扑清晰,不存在私拉乱接。

A2:

安全级别不同,需要部署不同的安全策略的区域之间,存在边界。

A3:

边界看怎么说了,角度不同。比如:出口路由是公司与互联网边界,当电脑连接无线,这个边界又模糊了。

A4:

1.不对互联网提供访问;
2.服务于各职场办公人员访问的应用及网络段;
3.应用与服务仅承载办公所需生产资料,不承担盈利业务应用的生产数据。

A5:

对于办公网的边界,以下几个方面可以帮助定位边界:

1.网络设备:通常,边界位于办公网与外部网络之间的网络设备上,如路由器、防火墙、入侵检测/防御系统等。这些设备负责管理对内部网络的访问和对外部网络的连接。

2.IP地址范围:边界可能通过特定的IP地址范围来标识和定义办公网。这些IP地址往往是私有IP地址(如10.0.0.0/8或192.168.0.0/16),用于内部网络通信,与公共互联网IP地址进行区分。

3.网络策略和访问控制:边界的概念也可以扩展到网络策略和访问控制的层面。通过配置防火墙规则、访问控制列表或虚拟专用网络,可以定义办公网内外不同网络之间的通信规则和权限,以确保安全性和隔离性。

4.安全措施:办公网的边界应该设有安全措施,如防火墙、入侵检测/防御系统和反病毒软件等,以保护办公网免受潜在的威胁和攻击。

A6:

这个问题有点本末倒置了,边界应该是组网之前就设计好的,而不是现网套概念出来的。就如同盖一栋楼,各个功能区是设计之初就应该定下来的。

A7:

确实,边界的规划应该是在组网之前进行,而不是事后再根据需求进行调整。但有时候由于特定的业务需求、网络演变或组织结构的变化,对现有网络进行边界的调整是不可避免的。在这种情况下,需要对边界的调整进行慎重评估和规划,以避免对整体网络架构造成不必要的影响和漏洞。

本期观点总结

在本期关于抗DDoS的讨论中,大家基本认为流量容量不是越大越好,而是需要根据企业的实际需求和预算来确定。对于持续性的DDoS攻击,除了纯粹的“硬刚”外,还可以考虑通过云托管服务进行过滤和清洗、部署CDN以分散攻击流量和流量清洗中心对流量进行实时检查和过滤等方法来快速解决问题。总的来说,企业在选择抗DDoS服务时需要综合考虑实际需求、预算和各种防御手段,采取合适的措施来保障网络安全。

在关于网络边界的讨论中,确定网络边界的几个方面包括了出口链路的明确性、网络拓扑的清晰性、区域安全策略的差异性等。此外,边界可以通过识别网络设备、IP地址范围、网络策略和访问控制、安全措施等来定义和标识办公网。也有群友认为,边界的规划应在组网之前进行,并且在调整边界时需要慎重评估和规划,以确保整体网络架构的安全性和稳定性。

近期群内答疑解惑

Q:有没有什么方式拿正在运行Nginx的配置文件内容?

A1:

Cat?

A2:

本地配置文件已经没了。

A3:

那只能注入一下NG的进程,从内存里拿。

A4:

lsof 看iNode拿。

A5:

有道理,Dump一下整个内存,用取证工具看看。

A6:

对的,我现在也这样想的,但是我看网上都是取整个系统内存。这个能拿到文件内容吗?

A7:

iNode是看原始位置,然后用debugfs工具看,你搜下教程。只要原iNode没有被覆写,内容就还在。

A8:

整个内存可以先Dump留着,万一搞不定后续还可以慢慢想办法。

A9:

嗯,学习一下取证。

A10:

1.获取pid
ps -ef | grep nginx
2.读取内存映射
cat /proc/pid/maps | grep heap
3.使用gdp转存堆内容
gdp -p pid
dump memory /root/nginx-memory 16进制存储地址
4.将转储中获取字符串数据
strings /root/nginx-memory /root/nginx-memory-str
5.获取内存配置文件
grep "http" /root/nginx-memory-str

A11:

这也太行了,直接就是答案了。

Q:请问这种垃圾高危漏洞大家都是怎么处理的?

A1:

忽略,无影响。

A2:

CSP也是漏洞吗?我觉得只是算没加固。

A3:

严格的说勉强算吧,感觉算没有进行严格的策略执行。

A4:

这个OpenSSL版本过低漏洞是登录检测出的么,用漏扫纯远程扫描能检测出么?

A5:

就是Nessus扫出来的,不用登录。

A6:

忽略掉吧,一般都是,能忽略就忽略,能无危害就无危害,如果是客户一定要修,建议让客户丢一份利用成功或者报告出来看看。

群里面谁做过Linux中的IMA策略?这个还是不错的一个东西,不过原生的就是比较难用,定开的话,可以友好性更强一些。

A1:

IMA是什么?

A2:

Linux中的一个安全模块,不过得在内核中编译完成了,才能使用,原生的会难用一些。

A3:

我在想安全的检测设备有哪些,像扫描器、APT攻击检测工具、IPS、蜜罐。各位还有没有补充的呢,EDR?

A4:

EDR不知道和病毒检测究竟有区别吗?

A5:

所有的安全设备都具备检测功能吧。

A6:

那是因为有检测的模块,我在想的是侧重点在检测上的有哪些。

A7:

IDS入侵检测,这个是专门做检测的。

A8:

现在都集成到FW上了, 算一个。

A9:

单纯做安全的检测的貌似没了吧,现在基本都是安全模块集成在一个产品上,开啥模块看预算情况了。检测这个功能就是安全产品的基础功能,没这个功能还搞啥安全呢。

甲方群最新动态

上期话题回顾:

应用安全与数据安全的工作边界在哪;甲方如何管控对乙方的授权

活动回顾:

酱香拿铁刷屏后,我们搞了一场“真香”的网安大会

活动预告:

选出你心中的第一名 | WitAwards 2023「大众投票」正式启动!

FCIS 2023 大会极客票限时免费领取

近期热点资讯

最新研究,利用AI可检测和拦截中间人(MitM)攻击

因收到100万美元“侮辱性”赎金,Lockbit泄露经销商巨头CDW内部数据

满分漏洞!思科未修补的零日漏洞正被积极利用

开源CasaOS云软件发现关键漏洞

攻击者称手握300万条数据,D-Link:只有700条

FreeBuf甲方社群每周开展不同的话题讨论,快来扫码加入我们吧!

1637910517_61a087f564a8754ee18be.png!small

【申请流程:扫码申请-后台审核(2-5个工作日)-邮件通知-加入社群】

注:目前1群、2群已满,如有疑问,也可添加Kiki群助手微信:freebuf1024,备注:甲方会员

“FreeBuf甲方群”帮会已建立,该帮会以三大甲方社群为基础,连接1200+甲方,持续不断输出、汇总各行业知识干货,打造网安行业甲方专属资料留存地。现“FreeBuf甲方群”帮会限时开放加入端口,让我们一同加入,共同建设帮会内容体系,丰富学习交流地。


文章来源: https://www.freebuf.com/articles/neopoints/381352.html
如有侵权请联系:admin#unsafe.sh