客服热线:00000000000

DDoS防御的必要条件 - 即使面对技术严密的攻击,也能保持大规模可用性

后台-系统设置-扩展变量-手机广告位-内容广告位一

  在组织一个全球性的,为期数周的高调活动时,总会有出现问题的机会。而且,考虑到人性,我们倾向于在事情按计划进行时简单地接受它,并注意和突出执行上的困难。

DDoS防御的必要条件 - 即使面对技术严密的攻击,也能保持大规模可用性

  关于2016年夏季巴西组织者,赞助商和参赛者所面临的挑战,我们已经写了很多文章。如果我们考虑一下,我们可以推断出潜在的成千上万的潜在陷阱和困难,这些都伴随着类似的事件发生。复杂。

  Blasé取得了成功

  我们以同样的方式来看待互联网应用和服务。当他们运作良好时,我们甚至没有注意到我们能够立即查看全球事件的直播视频,以及评论,几乎在全球任何地方,我们的计算机,智能手机和片。但是,如果我们无法以某种方式无法立即获取最新最好的内容和信息 - 并与我们的朋友在线分享并进行讨论 - 那么我们就会因为我们的不满而变得非常沮丧和直言不讳。现在,对于任何规模的大规模事件,在线信息服务,应用程序,数据和内容的不间断可用性和弹性都是最大的。对于国际事件来说,这显然是正确的。

  最近的一次全球性活动的目标是在之前,期间和之后,并且在很大程度上克服了。重大挑战有时似乎几乎无法克服。许多问题,其中一些是事实性的,其中一些不那么成熟,已经被描述和讨论,并以极其详细的方式进行了剖析。

  甚至在活动开始之前,面向公众的网络资产和与之相关的组织都是持续的,复杂的,大规模的DDoS攻击的目标,达到540GB /秒。虽然这些攻击中的许多攻击在事件发生前持续了几个月,但攻击者一旦开始就大大增加了他们的努力,产生了我们迄今为止观察到的持续时间最长的500gb /秒以上的DDoS攻击活动。

  没有人注意到。

  这是DDoS防御的必要条件 - 即使面对技术严密的攻击,也能保持大规模可用性。就像我们每天依赖的无数其他服务,如电力,淡水,交通和紧急服务一样,成功的最终标准是公众可以在不知道或不关心泰坦尼克号的情况下开展业务并追求自己的利益。虚拟斗争正在后台进行。

  通过任何指标,成功缓解所涉及的安全和网络人员在迄今为止对任何重大国际事件的最严格审查下,为快速,专业,有效的DDoS保护设定了标准。我们是否提到攻击范围高达540gb /秒?!

  正在进行的持续攻击行动扩大

  在过去几个月中,与该事件有关的几个组织遭受了大规模的容量DDoS攻击,攻击范围从数十吉比特/秒到数百千兆比特/秒。大部分攻击量包括UDP反射/放大攻击向量,如DNS,chargen,NTP和SSDP,以及直接UDP数据包泛滥,SYN-flooding和针对Web和DNS服务的应用层攻击。在最近的一篇博客文章中详细描述了大多数这些事件前攻击中使用的物联网僵尸网络我们的Arbor ASERT同事Matt Bing。同样的僵尸网络以及其他一些僵尸网络也被用来产生极高的数量(但由于防御者的努力,影响很小!)DDoS在长达数周的国际聚会中针对扩展的目标列表进行攻击。

  One of the characteristics of information security in general, and DDoS defense in particular, is that we see new attack methodologies pioneered by more skilled attackers and used sporadically for years (and sometimes decades) before they’re ‘weaponized’ and made more broadly available to low-/no-skill attackers via automation. We’ve encountered various types of high-volume/high-impact reflection/amplification attacks since the late 1990s; and then, 3 1/2 years ago, they suddenly became wildly prevalent due to their inclusion in the arsenal of DDoS botnets-for-hire and so-called ‘booter/stresser’ services. This has led to a highly asymmetrical threat environment which favors even the most unskilled attacker due to the fact that these Internet ‘weapons of mass disruption’ are now available to the masses via a few mouse-clicks and a small amount of Bitcoin. We’ve seen this pattern repeat itself over and over again, with disparate groups of threat actors totally unaffiliated with one another independently rediscovering more sophisticated attack mechanisms, and then proceeding to weaponize them with nice GUIs and even 24/7 online ‘customer’ support!

  旧的一切都是新的

  对于有理由考虑互联网如何实际工作的相对较少的人来说,他们往往记住的唯一协议是TCP,UDP和ICMP。由于这些协议代表了迄今为止互联网流量的最大比例,因此对其他IP协议的考虑很少。

  实际上,有256个Internet协议,编号为0-255。TCP是协议6,UDP是协议17,ICMP是协议1.在IPv4 Internet上,应该只观察到254个协议 - IPv4的协议0(但不支持IPv6!)是保留的,不应该使用即使路由器和第3层交换机会愉快地转发它。协议255也被保留; 大多数路由器和交换机都不会转发它。在一组不太熟悉的IP协议中,用于未加密的ad-hoc VPN类型隧道的通用路由封装(GRE)是协议47。

  从2000年末开始,我们开始观察更多熟练的攻击者偶尔在DDoS攻击中使用这些鲜为人知的协议 - 几乎可以肯定是为了绕过路由器ACL,防火墙规则和其他形式的DDoS防御,这些防御由运营商配置考虑TCP,UDP和ICMP。在许多情况下,这些攻击最初成功,直到防御者最终推断出正在发生的事情,通常是通过使用收集/分析和Arbor SP等异常检测系统对NetFlow遥测进行分析。

  PastedImage [2]

  现在我们已经看到在这次国际活动期间重新发现,武器化和利用了同样的攻击技术。特别是,攻击者产生了大量的GRE DDoS流量; 这种“新的”攻击方法现在已被纳入上面引用的相同物联网僵尸网络中。与所有“新”类型的DDoS攻击一样,歹徒偶然发现,我们期望看到其他僵尸网络用于雇用和“引导/修复”服务,以便在短时间内为他们的曲目添加GRE。

  我们还观察到了针对UDP / 179的简单,高容量数据包泛洪。由于大多数(并非所有)UDP反射/放大攻击倾向于以UDP / 80或UDP / 443为目标,以便混淆可能不会注意到攻击者使用UDP而不是TCP的防御者(TCP / 80通常用于非加密Web服务器和用于SSL / TLS加密的Web服务器的TCP / 443),我们认为攻击者试图伪造用于将互联网连接网络编织在一起的BGP路由协议的攻击。BGP运行在TCP / 179上; 具有讽刺意味的是,在互联网连接网络上实际实施的少数最佳实践(BCP)之一是使用基础设施ACL(iACL)来防止未经请求的网络流量干扰BGP对等会话。

  DDoS防御 - 所有关于团队合作,特别是对于高端活动

  捍卫者知道他们的工作已经为他们裁掉了,并做了相应的准备。在活动开始之前进行了大量的工作; 了解所有各种服务器,服务,应用程序,其网络访问策略,调整Arbor SP中的异常检测指标,选择和配置适合当前情况的Arbor TMS DDoS对策,与Arbor Cloud团队协调覆盖“云”DDoS缓解服务,与相关组织的相应操作人员建立虚拟团队,确保网络基础设施和DNS BCP得到适当实施,确定通信渠道和操作程序等。人。

  对于那些转向他们的设备观看,讨论和分享重大事件的人来说,一切都如你所愿。在幕后,经过数月的精心策划和实践。当预期发生时,熟练的攻击者开始对该事件进行在线攻击时,跨服务提供商,企业和事件组织者的扩展DDoS防御团队表明,面对大规模,复杂和持久的DDoS攻击,维持可用性的范围很好。提前准备捍卫其在线资产的组织的能力。他们知道这一事件是民族自豪感的源泉,国际聚光灯的眩光就在他们身上。他们负责向全球数十亿人的在线观众提供服务。技术捍卫者的组合。

后台-系统设置-扩展变量-手机广告位-内容广告位二

发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。