2022年的世界杯,比以往时候来得更晚一些。不过好饭不怕晚,世界杯它马上就要开始了,不知道小伙伴们是不是已经准备好熬夜看球了呢?
世界杯让人狂热的原因不只存在于球场之中,还在于球场之外。每次世界杯,朋友圈里都是“足球反着买,别墅靠大海”、“天台风好大,我好害怕”,世界杯总与赌球伴生,当然,足彩可以买,但网络赌球是非法行为! 世界杯是球迷的盛会,更是菠菜平台的盛会。在赛事期间,很多平台间会相互攻击,造成DDoS攻击泛滥,很多日常不参与DDoS的木马团伙也会浑水摸鱼,铤而走险做一波敛财。
根据我们经验,历次世界杯期间都是DDoS攻击的高峰,需要注意准备防范,不要让它影响了观赛的好心情。
什么是DDoS攻击? DDoS(Distributed Denial of Service,分布式拒绝服务)攻击的主要目的是让指定目标无法提供正常服务,甚至从互联网上消失,是目前最强大、最难防御的攻击之一。 最常见的DDoS攻击方式是泛洪攻击,如SYN-Flooding,通过向目标发送大量TCP的半连接请求,造成被攻击者的连接数被占满,进而导致系统瘫痪。 另一种常见的方式是反射攻击,反射攻击并不直接向攻击目标发起大量服务请求,而是伪装成攻击目标向网络中的其他服务器发起大量请求,受害者被返回的海量数据打瘫,有些借刀杀人的意思。常见反射攻击用到的协议有NTP、DNS等。
总的来说,DDoS攻击会消耗受害者的大量带宽、并发会话、服务器内存、服务器CPU资源,造成业务或网页无法访问甚至服务器瘫痪的直接后果。那么,我们应该如何未雨绸缪,做好抗击DDoS的全面准备呢?
01 预防自己的服务器遭受攻击
无非就是一个字,买买买!
面对带宽压力型攻击,可以购买以中国电信云堤为代表的运营商近源清洗服务,压制反射放大为代表的DDoS攻击。
对于已经到达云服务器前端的攻击,可以购买云厂商的流量清洗服务,清洗SYN-Flooding,CC攻击等;而针对本地服务器的防护,可以购买安全厂商的抗DDoS设备,保障业务的可用性。
02 避免自己的内网主机参与攻击
对绝大多数网络来说,被DDoS是小概率事件,发起DDoS则是大概率事件。
几乎所有参与DDoS攻击的机器都是由攻击者控制的僵尸主机,如果自己的内网中存在此类僵尸主机,会影响网络稳定,甚至导致自己的出口地址被封禁。
这是某用户处发现的僵尸主机,一台设备的并发连接就达到了十多万,这样很容易把网络出口设备的连接数打满,影响整个网络。
那么,应当如何避免这种情况的产生呢?
措施一:威胁情报
根据威胁情报,相对严格的封堵和清理各种C2心跳的木马,这个阶段各种木马都有变异为DDoS攻击的潜力,当前的木马都是软件定义,非常容易升级为攻击节点。
Panabit中可以安装使用“威胁情报IOCs同步”APP,对这些网络威胁做封堵。 当然,不要只是封堵C2,及时清理内部中毒主机也是非常重要的工作。
措施二:异常发现
如果说威胁情报针对的是已知威胁的防范,那么我们仍需加强对于未知威胁的发现。 大部分的DDoS攻击使用的都是常见的协议,如SYN-ACK、SSDP、MSDS、NTP等,我们需要在正常协议中寻找其异常行为,对这些敏感流量进行观察和处置。 Panalog的FlowMonitor大屏左下角可以清晰查看上述敏感协议的源和目标地址排名,轻松发现内/外部威胁IP。
同时,可以设置各种应用的流量告警,切记及时清理发现的内网IP。
可以在Panabit上自定义协议组,并设置相应的告警及时提醒。
措施三:预防策略
另外,还可以提前设置一些控制策略,晴天砍好雨天柴。
例如,针对DNS协议的QPS(每秒查询率)进行限制,对内网单IP的并发会话和带宽做限制。
而这些,都能够在Panabit的流量控制策略中进行配置。
其次,还需要做好网络准入,如启用WEB认证,不要让任意终端都能接入网络。
在世界杯这种非常时期,网络不设限,网管两行泪。只要能提前做好准备工作,未雨绸缪,便能防患于未然。 最后,祝愿大家都能享受这四年一度的世界足球盛会! 图片来源:央视新闻微信公众号
解决方案&销售咨询 联系我们