现在攻击越来越频繁,大家都知道要为DDoS攻击提前做好准备。但问题是没人告诉你该怎么做好准备!新的威胁不断出现,难道仅仅是给每天的生活加点料?市场鱼龙混杂,所有的厂商都在做完美的市场营销,专家层出不穷,或许只能依赖自己的火眼金睛来选择最适合自己的解决方案。那么在选择DDoS厂商时,该考虑什么呢?
在这里云端卫士列了一个对比清单,来帮助大家更好地完成DDoS厂商选择流程。
1、理解这不仅仅是DDoS的问题。DDoS仅是众多网络威胁中的一个,却成为CIO们的噩梦。CIO们加快步伐实施各种首字母缩写的解决方案(IDS、IPS)来保护企业安全,但黑客在你完成全部安装前已经完成了下一步,让你的努力化为灰烬。有几点要记住:
l 记住企业预算周期
l 记住黑客可以快速发现漏洞创造新的威胁
l 啥时候做计划?可没有如果存在
2、他们能够对抗哪些类型的威胁?看起来DDoS就是个缩写没什么了不起,其实这种攻击范围很广而且很复杂。下面这表格可以帮助CIO系统地对比潜在的厂商,并更易于选择。这个表格带到谈判桌上很给力啊!
| DDoS 威胁 | 攻击类型 | 攻击目标 | 检测 | 防护(缓解) | ||||
| 是/否? | 是/否? | |||||||
| SYN 洪水 | TCP Out-of-State 洪水 | |||||||
| ACK 洪水 | ||||||||
| Garbage 洪水 | ||||||||
| Request 洪水 | ||||||||
| 数据包异常 洪水 | ||||||||
| HTTP 洪水 | Get Requests | |||||||
| Post Requests | ||||||||
| 攻击 HTTP 垂直扫描 | ||||||||
| 攻击HTTP 水平扫描 | ||||||||
| Put Requests | ||||||||
| 搜索引擎洪水 | ||||||||
| UDP 洪水 (非 DNS) | UDP 洪水 (非 DNS) | ICMP反射Request (Ping) 洪水 | ||||||
| SSL计算 | SSL 重新谈判 | SSL脆弱性 | ||||||
| SSL流量 | HTTPS 洪水ing | |||||||
| SSL握手 | 计算能力 | |||||||
| HTTP (Get/Post) 洪水攻击 | HTTP Get/Post 洪水 | 带宽 | ||||||
| 处理能力 | ||||||||
| HTTP脆弱性 | 协议 / RFC | |||||||
| Slow Rate 攻击(AKA RUDY或者R-U-Dead-Yet) | 慢速HTTP Post 请求 | 处理能力 | ||||||
| 连接 / 会话 | ||||||||
| 内存 | ||||||||
| 局部数据 / 事务攻击 | 应用数据完整性 | 应用安全控制缺陷 | ||||||
| SMTP 洪水 | 应用数据完整性 | 应用安全控制缺陷 | ||||||
| FTP 洪水 | 应用数据完整性 | 应用安全控制缺陷 | ||||||
| DNS威胁 | DNS流量 | DNS容量攻击 | ||||||
| DNS欺骗攻击 | ||||||||
| DNS放大和反射 | ||||||||
| 协议漏洞 | DNS ID攻击 | |||||||
| DNS缓存污染 | ||||||||
| DNS根服务器攻击 | ||||||||
| SIP / UCS 攻击 | 协议漏洞 | SIP协议异常攻击 | ||||||
| SQL注入 | 代码注入 | SQL数据库 | ||||||
| 攻击技术 | ||||||||
| 容量式攻击 | HashDoS | |||||||
| TCP/UDP/ICMP 洪水 | ||||||||
| SYN/Push/ACK 洪水 | ||||||||
| 畸形DNS查询/ 封包 | ||||||||
| 高容量正确格式化的DNS查询 | ||||||||
| DNS放大/反射攻击 | ||||||||
| RFC/合规攻击 | HashDoS | |||||||
| Apache Killer | ||||||||
| 计算密集型攻击 | Slowloris | |||||||
| SlowPost | ||||||||
| 新型Slow Read | ||||||||
| 有效但 CPU/内存密集Web/数据库请求 | ||||||||
| 蛮力攻击 | 区域枚举/字典攻击-DNS蛮力 | |||||||
| 无效的网站输入参数攻击 | ||||||||
| 搜索引擎请求攻击 | ||||||||
| HTTP蛮力 | ||||||||
| 缓冲区溢出攻击 | 缓冲区溢出 DNS | |||||||
| 抗自动化攻击 | ||||||||
| 其他攻击 | HTTP Get 洪水 | |||||||
| LOIC或变种 | ||||||||
| HOIC或变种 | ||||||||
| HTTP Post 洪水 | ||||||||
| nkiller2 (TCP Persist) | ||||||||
| SIP Call-Control 洪水 | ||||||||
| THC | ||||||||
| Recoil | ||||||||
| Rudy | ||||||||
| Hulk | ||||||||
| XerXes DoS | ||||||||
| #RefRef DoS | ||||||||
3、确定防护(缓解)战略。黑洞路由不应该是唯一的DDoS 防护策略,除非你觉得业务完全离线也很安逸,离线数日/数周都安逸,我也没话可说。但如果希望攻击可以快速识别,并且尽可能在目标时限内修复,为正产用户提供核心服务的话,就要问问厂商下面这些问题:
-
有哪些配置选项可用?
-
如何确定哪一个更符合自身战略目标?
-
解决方案多快能够检测并生效?
-
如何检测合法用户和攻击者?
-
解决方案是基于云的还是要求安装设备(这个要根据实际需求选择,也要理解二者的区别)?
4、核实厂商经验。新的威胁可能会带来新的厂商选择。企业需要识别潜在的DDoS合作伙伴是否具有:
-
专业技术,这一点毫无疑问。
-
资源,DDoS攻击可能持续数日,小作坊恐怕难以胜任。关注厂商的资源池以及能否进行24/7 的修复工作。
-
他们是否了解你的行业,能够理解你的业务流程,帮助你识别出影响分析的脆弱区域,基于风险评估设定解决方案。
1062
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
