【IT168 方案】从去年初以来,国际金融机构便接二连三被分布式拒绝服务攻击(DDoS)纠缠不休,其中多次攻击都是由一个名为卡桑网络战士(QCF)的组织所发动,其最显著的一次是今年年初针对美国金融机构、代号为“燕子行动”(Operation Ababil)的攻击,最近该组织更在Pastebin 发表每周更新,重申其发动“燕子行动”的动机及总结其带来的影响。
除了QCF,不少黑客团体也在摩拳擦掌策动DDoS攻击,其目标往往是金融服务机构,集中攻击其网站表格与内容。此外,更有些DDoS攻击变成“进阶”的多向量版本,把DDoS与账户窜改及诈骗手法结合,带来更大的杀伤力。
以上例子表明,在过去的一年半,DDoS黑客活动的频率与手法不断提高,近期的个案显示不同规模的银行正面临不同形式的DDoS攻击,这包括传统SYN 攻击、DNS泛洪攻击、DNS放大攻击,以及针对应用层和内容的攻击。而针对SSL加密网页资源和内容的拒绝服务(DoS)攻击更是变本加厉。在一些情况下,黑客会采用一种混合形式的攻击,用难以阻止的应用层方法,结合“低成本”、大批量,但可用简单的手段进行过滤及阻挡的攻击。
为了应对此等级别的恶意活动,首席信息官、首席信息安全官,以及他们的团队需要部署一个全盘抗击方案,采用一套全面的防御工具,结合公司内部署的安全技术和基于云端的清洗服务。此外,他们也需考虑执行情报收集和发布工作,支持一套全面的DoS缓解策略。
Check Point 软件技术有限公司建议金融机构在制订抗击DDoS 策略时应考虑下列数点:
采用数据清洗服务或类似的清洗供应商来应对大批量耗尽攻击
达到80 Gbps的DDoS攻击已经不稀奇,个别案例甚至高达300 Gbps。只有极少的组织机构可以有带宽来应付这种规模的攻击。当面对如此大规模的DDoS攻击,企业应首先考虑通过基于云的清洗供应商来管理其网络流量,协助除掉数据流中的恶意数据包。此等供应商拥有所需的工具及足够的带宽,所以可以作为抗击大批量耗尽攻击的第一道防线,使DDoS攻击止步于云端,而常规业务数据流则能顺利通过网络。
使用专门的DDoS攻击防御设备,对攻击进行识别、隔离与修复
有鉴于DoS攻击日趋复杂,同时结合大批量和应用的攻击,企业需要采用一个综合多种抗击手法的方针。要有效抵御结合应用及“低而慢”攻击的多向量攻击,必需充分利用在公司部署的专用防御设备,防火墙和入侵防御系统在缓解DDoS攻击方面至关重要,DDoS安全防御设备构建一个额外的保护层,通过专用技术对DoS活动进行实时鉴别并阻截。管理员还可以通过设置此等公司内部安全方案,与云清洗服务供应商沟通,在遭受攻击时可自动地把攻击路由出去。
企业需要调整防火墙以处理大量的连接率
在遭受DDoS攻击时,防火墙将是关键的网络设备。管理员应该调整其防火墙设置,以识别和处理大批量耗尽和应用层攻击。此外,视乎防火墙的性能,有些保护功能可激活以阻止DDoS攻击数据包,在攻击过程中提高防火墙的性能。
制定一套保护应用的方法及策略,抵御DDoS攻击
安全技术可以有效抵御DDoS攻击,但是管理员也需要考虑调整Web服务器,修改自身负载均衡及内容分发策略,确保系统取得非常好的的正常运作时间。此外,也可以考虑配置抵御多种登陆的攻击。另外一个防御机器策动、自动进行攻击的方法是在网页中增设服务细节选择,例如页面询问浏览者是否有兴趣取得低息率或新产品信息,用户需按下“接受”或者“不用,谢谢”按键后,方可继续进入后续页面。
此外,内容分析十分重要,这可以简便地确保没有大量PDF文件堵塞价值重大的主机服务器。
以上都是有些执行DDoS缓解策略的重要手段。企业必须与服务提供商及互联网服务提供商(ISPs)携手合作。ISP必须参与并支持此等抗击策略,因为DDoS攻击与银行等金融机构使用相同的网络,而ISP则支持这两种数据流。
情报收集和分发对抵御DDoS的重要性也日益增加,这需要调查公司内部网络的数据,以及在金融服务业其它公司的网络中的数据。
了解黑客身份、其攻击动机和手法等信息可以帮助管理人员准确预测并防范攻击。分辨DDoS攻击可以是根据协议(SYN、DNS、HTTP)、攻击数据包的来源,策动和控制攻击的网络、攻击在一天内的启动和结束时间等。目前,此等信息共享只限于业界友好间,正确的发展方向是构建自动化系统,不同机构可以登录一个方案,通过研究有关联的原始日志信息,掌握进行中或已结束攻击的蛛丝马迹,此等系统也可以用作分享攻击情报及分发相关保护。