如何生存匿名DDOS攻击?

每当匿名组织瞄准一个网站,他们都能够把它拿下来,即使是对于拥有专业的大公司/政府也是如此。

我读了关于处理普通DDOS攻击(基本理论)的DDOS防护技术。

但是,为什么这些技术在匿名组攻击的情况下失败?

通过一个非常好的有组织的DDOS攻击有没有成功的故事生存?

大多数识别和缓解类似匿名攻击攻击的机制都是众所周知的,大多数Anti-DoS产品和服务可以高成功地处理这些攻击。 但是,有时组织和企业没有调整或更新的保护政策。 此外,我惊奇地发现,其中许多人根本没有产品和服务的防DoS保护。

匿名通常使用众所周知的工具。 当地的SOC / NOC或服务提供商的SOC / NOC没有理由不能阻止他们的攻击。 问题是检测和阻塞是否足够准确,没有阻止合法stream量的误报。 由于这是一个成功的DoS / DDoS …

通常有三种处理DDoS / DoS攻击的途径:

  1. 有足够的资源(带宽,服务器等) – 不现实的select,因为攻击量可以超过你的带宽和无限的计算能力的成本是巨大的。
  2. “租赁”安全服务提供商服务 – 一个好的解决scheme,取决于具体提供商的能力。 但是,您应该注意,大多数MSSP在“超出path”模式下使用清理中心。 这意味着它们在很多情况下都依赖于stream量分析协议(如NetFlow)来识别攻击。 虽然这个选项适用于DDoS或大容量攻击,但它不能识别低速和慢速攻击。 如果您准备自行向MSSP呼叫,则可以克服此限制。 “洗刷中心”方法的另一个局限是通常只检查一个交通方向。
  3. 拥有您自己的Anti-DoS解决scheme,内嵌安装。 虽然有时候更昂贵,但是这个选项将为您提供最好的安全性,因为扫描尝试可以通过内联设备处理暴力攻击和其他许多安全威胁。 只要攻击量不超过pipe道带宽,内联设备就会有效。 在内联模式下工作保证检测到低速和慢速攻击,甚至是入侵,取决于你想使用的设备。

正如你所看到的,这个问题没有明确的答案,因为它取决于许多参数,预算只是其中的一个。 服务或产品的质量也是一个重要的方面 – 它可以产生“实时”签名,以准确的缓解而不影响合法的stream量? 减less假阴性比率? – 是否包含行为学习和检测模块? 还是仅使用基于速率的阈值? – 它是否包含身份validation选项(用于HTTP / DNS和其他协议)? 再次为了减less错误的可能性。 – 它是否包括一个行动升级机制,一个封闭的反馈选项,可以根据当前采取的缓解行动的成功情况,自动采用更积极的缓解行动? – 无论合法的stream量费率如何,服务/产品可以提供的缓解率是多less。 – 产品是否包含24/7紧急服务? (大多数MSSP都有,不是所有的产品)

干杯,

匿名总是成功是不正确的。 没有什么独特的匿名 – 只是聪明和大量的攻击。

(希望匿名不会针对我说:)

来自英国广播公司的文章: 赞成Wikileaks积极分子放弃亚马逊networking攻击 :

匿名组织曾承诺在格林尼治标准时间1600时袭击这个网站(亚马逊),但后来改变了计划,说他们没有“部队”。

问题是没有技术可以确保你能够处理DDOS。 唯一的办法是有服务器和带宽,可以处理任何可能的负载,这是非常昂贵的。

像Verisign,Prolexic和其他公司的stream量清洗服务是保护自己的最有效的方法,除非您有钱花在像Arbor或Rio Rey这样的硬件解决scheme上。

这很大程度上取决于您所服务的stream量types,但有很多方法可以缓解。 (我将假设网站)。解决这个问题的一个相对简单和廉价的方法是将Varnish(或另一个httpcaching)放在Web服务器前面。 这将大大减lessstream量到您的networking和应用服务器的点击次数。 另外,使用像HAProxy这样的产品作为负载平衡器可以通过pipe理您的httpstream量到您的服务器的分布来帮助。

有DDOS防止措施,但将是昂贵的。 我知道,如果您使用Rackspace进行托pipe,他们有一个名为Preventier的产品(我知道这很贵)。

也可能值得您的时间来利用Akamai(或类似的CDN)托pipe您的内容,这也将解决这个问题,但通常具有高昂的美元成本。

和所有的事情一样,必须执行风险与回报分析,但是您必须记住,除了服务可用性之外,您还必须为品牌声誉付费。

注:我说廉价的光油和HAProxy,因为虽然他们是自由/开放源代码,它确实有工程师的时间来实施和支持的成本。 请注意,任何解决scheme都是如此,但是这些都有零美元的许可成本。

那么,这是非常困难的。 这是ddos的全部。 你有一百万台电脑同时向你的网站发送请求。 什么是防火墙应该做的?

最重要的一点就是将stream量保留在系统之外。 不知道你有你的服务器,但如果你的服务器在你的办公室,你应该得到一个有限的防火墙在你的ISP的地方。 这将保持stream量远离有限的input电缆。

如果限制因素是networking服务器,您可以在networking服务器之前设置一台Linux计算机,根据源IP地址进行过滤。 一次只允许一定数量的IP访问Web服务器,一旦传输结束,将IP阻塞,并将该插槽提供给下一个请求者。 这样你的服务器永远不会超过它的容量。

在这里使用鱿鱼加速器将是很大的帮助。 这样可以减less连接和进程的并发数量,并且除了caching静态内容外,还可以更快速地释放Web服务器资源。

你不能将自己限制在一组攻击者身上。 包括匿名组在内的大多数组都会使用BotNet。 这将来自大量的知识产权,所以你不能只是禁止这个范围。

减less( 不停止,因为这几乎是不可能的)的唯一方法是保持您的安全。 因此,维护更新,您的防火墙检查漏洞。 安全是一个非常专业化的课题,不应该被解雇。 您需要从防火墙开始,确保每个设备/连接都是安全的。 而且用户也受到安全教育,不会在他们的PC上获得恶意软件等(他们可以用于其他人的DDOS)