DDoS攻击防护服务: 实施前考虑哪些事项
在实施DDoS攻击防护服务之前,有几件事是企业应该考虑的。专家Ed Moyle讨论了提高安全性要采取的几个步骤。
一些MSSP中有这样一种说法,有两种客户:那些使用DDoS攻击防护服务的客户和那些自己从未遇到过DDoS攻击的客户。之所以不难理解的原因是:站在那些经历过的人的出发点,即便是一次DDoS攻击事件也会对业务运营造成重创,以至于只经历过一次就足以将DDoS攻击防护服务从一个有很好变为必须具备的服务。
2015年,比利时鲁汶大学和纽约州立大学石溪分校发表了一篇论文,Maneuvering Around Clouds: Bypassing Cloud-based Security Providers,描述了与一些流行的基于云的DDoS攻击防护技术相关的问题。该论文,同CloudPiercer(论文中描述的一个“自动暴露源地址的工具”)一起,演示了攻击者可能通过向量收集规避某些类型的DDoS攻击防护服务所需的信息。具体来说,许多基于云的DDoS攻击防护服务主要依赖更改DNS(即DNS重路由)这种机制来预过滤DDoS的流量。
以此种方式进行操作的服务会调整客户的DNS记录来指向他们的站点 - 有时被称为“流量净化中心”。他们过滤掉非法的流量,只将合法流量转到受保护的客户网站。该研究描述的是对受保护站点的原始IP(比如,受保护站点的外部IP)的意外暴露,CloudPiercer工具也对此进行了演示。这样的暴露会导致攻击绕过防护;意思就是,如果坏人能找出未受保护的IP,仍然可以进行DDoS攻击仿佛防护措施不到位一样。
人们对该研究表现出了一波最初的兴趣但之后又平息了下来,但这个问题仍然很重要。DDoS攻击依旧存在,并且当发生的时候还是会造成很大的问题;同样,源地址发现在那些利用DNS作为矢量化流量方法的工具和服务方面仍然是一个关键问题。因此,许多实施人员可能想知道在云里如何使用DNS重路由具体实施DDoS攻击防护的方法,或者根据该研究一个云防护服务究竟有没有意义。这不是一个容易回答的问题,但我们可以系统地解决它;总之在实施过程中牢记一些事能在最坏的情况发生的时候,当你的组织受到一次DDoS攻击的时候产生截然不同的结果。
实施注意事项
首先,实施者在评估和实施基于云的DDoS攻击防护服务时对源地址发现的了解是至关重要的。具体来说,实施人员需要了解源地址发现到底是什么,以及为什么很重要。大客户可能会在某些情况下在BGP和DNS之间选择一种作为流量重定向到净化中心的方法(比如,当他们可以灵活部署硬件并且至少有一个/24地址前缀 - C类地址)。尽管使用BGP比DNS会引入额外的相关复杂性,但以源地址发现的问题来说是值得的。获得这种认识一部分可能会为企业正在评估的服务提供商带来一些关于源地址发现的尖锐问题,该提供商提供哪些对此有帮助的服务,关于客户如何让信息得到保护等方面有哪些期望和设想。
其次,建立一个流程来定期的检查源地址暴露是非常重要的。源地址可能会以几种方式暴露,而CloudPiercer工具可以检查其中的一些方式,但请记住,任何对外公开信息的途径,如一个web开发者不小心把地址包含一段网站的注释里,或者固定的MX记录,以及X.509证书的引用信息, 都可能泄露源地址信息。因此,任何你可以利用的查询该信息的方法都是有益的。其中包括漏洞扫描工具,应用程序测试工具,DLP工具,或任何可以调整或编写的帮助查找和标记源地址泄漏的规则在这里都是有用的。定期的运行这些工具,或进行自我检查尤其有价值,因为每次评估都是一个“时间点”练习,可以更改配置,快速发布内容的更新。
然后,对DDoS攻击服务本身进行测试是有益的。这里要小心不要将DDoS攻击防护服务当作保险来看待:认为在当你需要的时候一定会出现,用不到的时候则是无形的。更好的方法是测试DDoS攻击防护,就像测试DR或其他应急措施。有信誉的厂商将不会拒绝这一请求;它反而会主动这么做并且将这作为一个展示其能力的机会,它甚至还会帮助你推动这一测试。这不是建议让某人作为诱饵让匿名者发起DDoS攻击,即使是不对带宽使用造成影响的小规模测试都可以确保该服务是按照预期工作的,而企业的花费物有所值。
最后,评估实现一些过滤器或者检测规则,对不是来自流量净化中心的流量进行过滤或检测。一些服务提供商也许会建议过滤掉所有不从他们发起的流量;这在可行的情况下是个不错的方法,但要注意,也会有一些情况不允许这么做。例如,这种严格过滤对于一有巨大安装基数的硬编码的或难以改变IP的遗留应用来说很难生效。即便过滤所有除了净化中心以外的流量是不可能的或者不可行的状况下,仍然有一些其它的选择。例如,可以利用一个IDS或其他检测控制来提醒安全小组不是从服务提供商发起的意料之外的连接;虽然这并不会阻止DDoS攻击,但至少会提醒组织有可疑的事情发生,比如一个来自攻击者的侦查探测,该探测将有可能导致后续更险恶的事情发生。
尽管如何处理基于DNS的DDoS攻击防护是一件充满挑战的事,但从实现的角度看,企业可以采取一些非常现实的步骤,以确保得到他们想要和期望的防护。通过了解源地址发现是什么,对源地址发现以及DDoS攻击防护服务本身都进行测试,并评估过滤与/或检测的机制,企业可以在这一块保持领先的地位。