前情提要
文章大纲
1.什么是DDoS
2.DDoS原理
3.DDoS类型及特征
4.抗D解决方案前提明确
5.如何与公司高层谈论抗D方案重要性
6.部分DDoS类型的防范
7.抗D清洗三方如何选用
8.咨询(尾部附作者微信二维码供读者进行免费安全建设咨询)
本文章主旨
本文章意在阐述如何向高层出具抗DDoS方案,出具抗DDoS方案时应该注意的点与怎样做出的抗D方案更能说服高层同意执行。文章更多偏向于企业管理,会讲述部分基础DDoS攻击类型与基础防御,但不做技术层面的深究。适用于中高层安全管理人员、甲方安全建设人员阅读。
正文
由于工作原因和一部分个人原因淡出了一段时间,企业安全体系架构分析系列暂停了将近1年的时间,今天再次更新,之前的章节请大家从我以前的【系列文章】中回顾即可。
这次来讲讲抗DDoS的解决方案建设。为什么从之前的将WAF跳到今天将抗D,因为在这淡出的一段时间中,没少跟大流量打交道,我所在的公司又是一个互联网金融公司,被D之后交易流量受到很大影响,造成的损失也是相当惨重。下面本文就将讲述如何向公司高层提出优质的抗DDoS方案建议。
闲话不说了,先需要与高层讲一下什么是DDoS。
-
ddos的定义
分布式拒绝服务攻击(英文意思是Distributed Denial of Service,简称DDoS)是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击,或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点是分布在不同地方的,这类攻击称为分布式拒绝服务攻击,其中的攻击者可以有多个。
以上是百度百科的官话,翻译成普通话就是很多台客户端同时对服务器进行大流量的访问,导致以下几种可能:
1.业务带宽跑满造成正常交易流量无法进行
2.大流量冲击造成服务器IP被运营商拉入黑洞,所有客户端无法访问
3.大流量冲击造成服务器负载飙升,服务器瘫痪
在所有的DDoS中,大流量是特性,当然这其中并不包括利用漏洞溢出的DoS攻击,比如蓝屏攻击、针对IIS的MS15-034等,这种攻击需要在系统和组件层面做防护,比如打补丁或启用安全风险识别拦截产品,比如WAF等。那么如何区分大流量中的恶意流量和正常流量则成为解决方案的重点。
-
抗D方案出具的前提与高层认知
首先在本解决方案出具前,我和高层讲述DDoS攻击的事故分析时特意强调了一些内容,这些内容是所有人必须达成一致的,否则将不需要考虑如何解决DDOS攻击引起的业务灾难:
由于DDoS属于流量洪水攻击,防御DDoS是需要将流量洪水全部吃下,然后进行内部筛选过滤,对于清洗中心的服务器集群性能与带宽要求极高,一般企业无法承担自建清洗中心的任务,需要借助运营商的力量。并且由于云上特性,边界防火墙不可控,只能通过域名解析的方式进行三方接入。
强调分析:
1.抗DDoS需要能扛得住峰值流量
2.数据清洗要求服务器性能极强,能快速处理峰值流量并完成分析过滤功能
3.云上边界防火墙不可控,在流量还没有到达前置负载时运营商和云厂商的边界防火墙会直接把前置LB拉入黑洞,所以如果在云上做防御,流量不能直接经过云
在与高层进行方案核对谈判的时候一定要注意以下几点:
1.高层眼中安全负责人就要低成本甚至0成本负责整体安全事件处理
2.安全事件一旦发生,无论现实是否是安全负责人可以解决的事情,责任都是安全负责人的
3.一旦发生成本损耗,一定要让高层知道安全负责人在能满足需求的情况下尽力节约成本
4.高层所在意的事情是平衡投入与产出,所以需要提前做好资损估算与投入产出比
-
高层认知的止损算法
在这里给大家介绍一个算法
年度损失期望(ALE)=资产价值(AV)*暴露因子(EF)*年度发生概率(ARO)
举个例子,一个交易系统一年能够带来10
来源:freebuf.com 2020-10-27 12:04:34 by: 煜阳yuyang
请登录后发表评论
注册