阅读: 7
DDoS攻击通常有多个来源,难以进行追踪并有效阻断对互联网协议(IP)地址的攻击。本篇指南概述了拒绝服务(DoS)和DDoS环境,攻击类型、动机和对政府运营的潜在影响,实施预防措施的实际步骤,以及针对每种定义的DDoS和DoS技术类型的事件响应。此外,还强调组织必须将规划工作重点放在新出现的DDoS趋势和技术上,更好地抵御恶意DDoS活动。
一、DoS和DDoS
DoS攻击
来源单一,用于通过大量流量或消耗资源的请求淹没目标系统。恶意攻击者通常使用一台或几台计算机实施攻击。DoS攻击的目的是使用户无法使用目标系统,使系统拒绝对资源或服务的访问。
DDoS攻击
有多个来源。通常,大量僵尸网络计算机用于发起攻击。僵尸网络中的每台机器都会同时向目标系统发送大量流量或请求,扩大后续影响。由于DDoS攻击的分布式特点,与DoS攻击相比,目标网络针对DDoS攻击的防御难度更大。
与DoS攻击相比,DDoS攻击的主要优势在于生成的流量更多,在更大程度上占用目标系统的资源。还可以通过IP欺骗等各种技术实施DDoS攻击,即恶意攻击者通过控制源IP地址和僵尸网络掩盖攻击的来源,使其难以追踪。
就影响而言,DoS和DDoS攻击都会破坏目标系统或网络的可用性,导致服务中断、财产和声誉损失。
图1 DoS攻击和DDoS攻击
二、DoS和DDoS攻击分为三种技术类型
此类型攻击的目的是消耗目标的可用带宽或系统资源,通过大量流量将其淹没。目标是使网络饱和或耗尽目标资源,使其无法处理合法请求。
图2 洪水攻击
图3 洪水攻击示例
此类攻击利用网络协议或服务中的漏洞破坏目标系统。通过关注弱协议实现,恶意攻击者可降低目标系统的性能或导致其发生故障。协议DDoS攻击通常针对的是开放系统互连(OSI)模型的第3层(网络层)和第4层(传输层)。
图4 协议攻击
图5 协议攻击示例
此类攻击针对的是目标系统上运行的特定应用程序或服务中的漏洞。应用程序层攻击不会占用网络或系统资源,而是利用目标程序中的漏洞消耗其处理能力或导致其发生故障。应用程序DDoS攻击针对OSI模型的第7层,即应用程序层。
图6 应用程序层攻击
图7 应用程序层攻击示例
三、组织如何针对DDoS攻击采取预防措施?
注意:以上方法有助于减轻DDoS攻击造成的危害,更重要的是,组织要对这些类型的攻击保持警惕,与其内部网络安全专业人员保持沟通,随时了解最新的安全实践,有效抵御不断演变的威胁。
四、组织如何获知是否正在遭受DDoS攻击?
- 网站或服务无法使用
DDoS攻击最常见的特点是网站或在线服务无法使用。如果网站突然无法访问或访问速度明显减慢,说明可能发生了DDoS攻击。
- 网络拥塞
网络流量或拥塞突然增加,说明可能发生了DDoS攻击。网络监控工具或带宽使用报告可以发现流量的异常峰值。
- 异常流量模式
在网络日志或监控系统中查找异常流量情况。包括来自特定IP地址的请求明显增加,或者针对特定资源或URL的大量流量。
- 服务器或应用程序死机
DDoS攻击可能导致服务器或应用程序死机或无响应。如果网络在不明原因的情况下频繁发生服务器或应用程序故障,则说明可能发生了DDoS攻击。
- 资源利用率高
监控服务器和网络资源利用率指标,如CPU使用率、内存消耗率、带宽使用率。资源消耗的激增或持续增加说明可能发生了DDoS攻击。
- 无法访问其他网络服务
网站或服务可能不是DDoS攻击的唯一目标,其他关键网络基础设施组件(如:DNS服务器或防火墙)也可能面临风险。如果无法访问这些服务,说明可能发生了DDoS攻击。
- 用户行为异常
监控网站或服务上的用户行为。如果来自单个IP地址的请求数量显著增加或出现异常,则可能是DDoS攻击。
- 垃圾邮件或恶意邮件激增
DDoS攻击可以与其他类型的攻击一同发起,例如垃圾邮件攻击。如果来自组织网络的垃圾邮件或恶意邮件激增,则说明可能发生DDoS攻击。
- DDoS防护服务通知
如果启用了DDoS保护服务,服务会检测到网络受到的持续攻击,主动发出警报。
- 通信中断
DDoS攻击可能针对IP语音(VoIP)服务或消息平台等通信渠道。如果网络通信服务中断或质量下降,则说明可能发生了DDoS攻击。
五、组织如何应对DDoS攻击
1. 发现攻击
寻找DDoS攻击的迹象,例如,流量激增、网络延迟增加或服务不可用。使用网络监控工具和流量分析确认攻击。
2. 启用事件响应计划
立即执行组织已记录且经过批准的事件响应计划。该计划应包括关键人员的角色和责任、通信渠道以及DDoS攻击期间采取的步骤。
3. 通知服务提供商
与互联网服务提供商(ISP)或主机提供商沟通,告知攻击的相关信息。提供商可能已经采取了缓解措施,或者能够重新路由流量,减轻影响。
4. 收集证据
尽可能多地记录并收集攻击信息,包括时间戳、IP地址、数据包捕获以及网络基础设施生成的日志或警报。这些证据可用于向执法机构报告相关事件或用于未来的分析。
5. 实施流量过滤措施
配置网络基础设施、防火墙或入侵防御系统,过滤恶意流量。启用速率限制或访问控制列表,阻止来自可疑IP地址或DDoS攻击中常用的特定协议的流量。
6. 启用DDoS防御服务
启用ISP或专注于DDoS防御的第三方供应商提供的DDoS缓解服务。过滤和分流恶意流量,使合法流量到达网络。
7. 扩展带宽和资源
如果组织有能力,请考虑扩大网络带宽和资源,吸收攻击流量。这需要添加额外的服务器或临时增加网络容量。
8. 启用内容交付网络(CDN)
利用CDN服务在地理位置上跨多个服务器和数据中心分发内容。CDN可以通过吸收和分发流量缓解DDoS攻击,最大限度地减少攻击对基础设施的影响。
9. 内部和外部沟通
与关键利益相关者定期保持清晰的沟通,涉及的人员包括员工、客户、合作伙伴和供应商。提供最新情况、为缓解攻击而采取的措施以及预期的解决方案时间计划。
10. 从攻击事件中总结教训
在情况得到解决后,进行彻底的事件后分析,了解攻击媒介、暴露的漏洞,总结经验教训。相应地更新事件响应计划和安全措施,预防未来的攻击。
11. 使用《MS-ISAC DDoS攻击指南》中提到的缓解措施。
即时缓解措施包括:
- 向ISP提供攻击IP地址。他们可以实施限制,阻拦其他流量。
- 请注意,反射型DDoS攻击通常来自合法的公共服务器。
- 请尝试使ISP实施端口和数据包大小过滤措施。
图8 DDoS攻击的潜在特征
图9 DDoS恶意攻击者避免检测的技术
六、如果组织遭受DDoS攻击,应采取哪些措施?
1. 影响评估
评估DDoS攻击对系统、网络和服务的影响。发现服务中断、数据丢失或系统受损的区域。帮助组织了解损失的程度,优先考虑恢复工作。
2. 恢复服务
将受影响的服务和系统恢复正常。根据攻击的性质和涉及的系统,重新启动服务器、配置网络设备或通过备份恢复数据。与组织内的IT团队密切合作,确保恢复过程顺利进行。
3. 事故后分析
对攻击进行彻底分析,了解其特征、利用的漏洞和使用的攻击媒介。帮助组织发现基础设施或安全措施中的弱点,指导未来的改进方向。
4. 实施补救措施
根据事故后分析,实施补救措施,解决发现的漏洞和问题。可能需要修复系统、更新安全配置、加强网络防御。
5. 检查安全控制
评估现有的安全控制措施,如防火墙、入侵检测系统和DDoS缓解服务。确保其配置正确,及时更新最新的威胁情报。进行必要的调整,增强对未来攻击的防御能力。
6. 更新事件响应计划
更新事件响应计划,吸取DDoS攻击的经验教训。修改角色和责任、沟通渠道和缓解策略,更有效地应对未来的攻击事件。
7. 员工培训
对员工进行培训,提高安全意识,让员工了解DDoS攻击、其影响以及如何发现和报告可疑活动。有助于防止社会工程攻击,提高整体网络安全水平。
8. 加强网络监控
增强网络监控能力,有效检测和应对未来的DDoS攻击。实施实时流量分析、入侵检测系统和异常检测机制,及时发现和缓解攻击。
9. 使用法律武器
如果DDoS攻击情况严重或涉及犯罪活动,请考虑与执法机关合作。向执法机关提供证据,配合调查,将网络犯罪者绳之以法。
10. 与利益相关者保持沟通
与关键利益相关者保持定期沟通,涉及的人员包括员工、客户、合作伙伴和供应商,向其公开有关攻击、为减轻攻击而采取的措施以及对服务或数据的潜在影响等信息。清晰的沟通有助于管理预期,保持彼此间的信任。
11. 备份和灾难恢复
检查备份和灾难恢复进程,确保其为最新版本且有效。定期备份关键数据,测试恢复过程,验证其是否有效,以备在未来发生攻击时进行快速恢复。
12. 持续改进
DDoS攻击不断演变,不断改善安全态势至关重要。随时了解最新的威胁情报,遵循行业最佳实践,定期评估和加强安全控制措施。
13. 注意
缓解DDoS攻击并进行恢复需要大家共同努力,持续保持警惕。让组织内的网络安全专业人员参与恢复过程,加强组织对未来DDoS攻击的防御,向相关当局报告DDoS攻击事件。
发布日期:2024年3月
原文链接:https://www.cisa.gov/sites/default/files/2024-03/understanding-and-responding-to-distributed-denial-of-service-attacks_508c.pdf