dcsimg

DDOS攻击的终极教训:保护该基础结构

通过遵循最佳安全实践,许多电子商务公司至少可以将停机时间最小化至10-15分钟,而不是2月发生在针对Amazon,Yahoo和e-Bay的DDOS攻击中所花费的2-4小时。

强制安全?

如果珍妮特·里诺(Janet Reno)挡路,则可确保最佳安全 某天的实践可能成为强制性的 互联网上的业务。这已经 开始在政府系统中发生。 从2002财政年度预算开始, 管理和预算办公室将不支付 安全性不足的新系统。

安全只是时间问题 当务之急是到达私营部门。拿 国家基础设施保护中心 (NIPC)。在过去的八个月中, 由FBI管理的NIPC一直在存档 报告的私营部门安全问题和 事件。 NIPC已经建议最好的 从事其认为的私营部门业务 对于日常运作至关重要 国家基础设施。

五大会计师事务所也在 安全游戏-确保皇冠上的宝石 客户(又称知识产权) 被保险。毕竟,他们欠 股东。律师事务所正在培养一支新军队 网络律师和电子商务 责任问题。和保险公司是 制定新的政策指令 很快将安全尽职调查应用于策略 由具有任何Web的公司携带 商业。

分布式拒绝服务常见问题解答

分布式拒绝服务研究中心

围绕2月对Amazon,Yahoo和e-Bay的DDOS攻击的媒体狂热也就不足为奇了。潜在的消费者,珍妮特·里诺(Janet Reno)甚至是总统都意识到,华尔街的一些最爱可以被轻易解散。这是一个真正的叫醒电话。

至少对于那些长期关注电子商务和安全性的人来说,令人惊讶的是,媒体未能关注核心问题,即基础设施伪劣。如果开发自己的Web商店的公司更加关注安全性,那么这些攻击将不会那么成功。

安全专业人员感叹电子商务已经在电子商店中崭露头角,直到不可避免的事情发生并被黑客入侵之前,他们对安全性几乎没有考虑。 DDOS攻击只是基本黑客阶梯中的又一步。 DOS攻击将继续演变为分布更广泛,功能更强大且无法检测到的病毒,这使这类攻击特别麻烦。

但是通过遵循最佳安全实践,许多电子商务公司至少可以将停机时间最小化至10-15分钟,而不是2月发生的2-4小时。充其量,他们可以完全转移攻击。

但是,要了解强化该基础结构的最有效方法,我们首先需要剖析2月DDOS Trin00和TFN攻击的要素。

它以“主计算机”(攻击者的计算机)开始,该计算机将木马传送到“从属”计算机。该木马程序是一个很小的易于隐藏的程序,可以对预定目标发起DOS攻击。

现在想象一下,成千上万个可能带有Web前端的联网计算机感染了特洛伊木马,然后等待。在预期的时间,或在攻击者的命令下,只有数百个“奴隶”向指定目标发射800 MB到每秒1 GB的负载。

这些海量数据通过一连串ISP到达目标,在那里它们淹没了路由器,堵塞了管道,并使服务器无用。

该链中的每个组织(“从属”,ISP和受害者)都对松懈的安全性负有责任,这有助于使这些攻击成功。

奴隶的角色

让我们从第一个链接开始,即不幸发动攻击的奴隶。他们中的大多数人都位于具有高速Internet连接的大学中。众所周知,大学是地球上受保护最少的网络系统。甚至在80年代后期,凯文·米特尼克(Kevin Mitnick)开始渗透到英国的利兹大学VAX机器之前,大学的机器早就被用作黑客攻击的启动点。

新罕布什尔州社区技术学院信息系统管理教授鲍勃·希勒里(Bob Hillery)解释说:“关于开放大学的好消息是开放,您可以获得很多信息。坏消息是开放。”

有空位然后便有了广阔的市场-就像没有防火墙,没有入侵检测以及没有安全策略一样。可以说,.edu成为危险的Internet邻居。

“我在学术界工作了八年。大多数大学如何建立其IT系统的整个模型都是自下而上的,”位于弗吉尼亚州亚历山大市的IT安全服务公司Para-Protect,Inc.的首席技术官Ken van Wyk说“教授,研究生,甚至大学本科生都建立并维护自己的系统。我不知道有哪所大学在其校园网络上运行防火墙。在商业世界中,这是不可接受的。”

大学以及任何具有连接到Web的强大服务器的企业,都有道义上的义务来设置和实施最佳安全实践。

华盛顿特区META安全实践小组总裁杰夫·约翰逊(Jeff Johnson)说:“我对这些允许将自己用作发射点的大学和公司的耐心程度最小。如果您要参与这种互联网经济,遵循基本的安全惯例是您的责任。”

约翰逊认为,如果使用设备对互联网邻居发动攻击,企业承担责任只是时间问题(请参见侧栏)。

解剖课

八月份,安全专家 国防部,以及私人 像Para Protect,Inc.这样的安全公司 亚历山大和SANS等团体(系统 管理,网络和安全- www.sans.org),开始查找隐藏的可执行文件 服务器上的特洛伊木马,主要是大学 系统。

这些.edu之一实际上跟随了 命令回溯到“主机”,但是 不小心破坏了自己的证据, 根据Para Protect的消息来源。 .edu仅将该木马从其系统中删除 被大规模的DOS攻击击中 数小时的互联网连接。

当他们解剖这些紧凑型应用程序时,他们 意识到这些特洛伊木马已经蓄势待发 对尚未成立的“大师”进行投标 机。”

安全社区四处张扬 可能的方案和解决方案。在十二月, 卡内基-梅隆CERT发出警报警告 迫在眉睫的大规模DOS攻击 这可能会削弱电子经济。

防病毒和入侵检测供应商 开始涵盖攻击特征 现在被称为部落洪水网络 Trin00,两者都漂浮在 黑客网络。同时,攻击 签名变成无法检测 应变,得益于像这样的压缩工具 在后孔2封装中提供。作为一个 结果,这些攻击特征继续 在以下任何雷达下加载到受害机器上 入侵检测或防病毒工具。

CERT,SANS和其他人认为攻击是 可能会在除夕夜发生。结果 成为一个非常安静的夜晚。最后在二月 不可避免的事情发生了。互联网巨头喜欢 雅虎,e-Bay,Buy.com和亚马逊成立 像多米诺骨牌一样倒塌。

有一会儿,好像天空是 涉足电子商务。但是就像所有东西一样 网络空间,那一刻来了-过去了- 光速。

约翰逊不是在谈论防弹安全。笨拙的操作系统,不成熟的供应商解决方案,互操作性问题,异构网络等使子弹证明无法实现。但是他正在谈论涵盖所有基础。

他补充说:“我说的是能导致迅速发现和遏制的合理手段。” “那些用来发起DDOS攻击的是开放的,扁平的网络-没有防火墙,没有策略/程序或要求。”

至少,那些与Internet连接的企业和大学的基本安全策略应包括:

-M一次(或更频繁地)扫描木马和漏洞。 Comstar.net的首席安全官Jerry Zepp是亚特兰大的一家托管ISP的企业,他特别喜欢免费提供的扫描工具 http://www.nessus.org/.

-R多余的路由器,防火墙,入侵检测和防病毒。

- C当前的浏览器以及操作系统和系统补丁。

- C丢失未使用的UDP,TCP和FTP端口。

-U服务员意识。由于木马通常是通过电子邮件附件下载的,因此请提醒您的用户不要打开.exe附件。

中间链接,ISP

围绕ISP的做法还存在许多问题,这些问题使这些海量数据风暴传给了他们最有利可图的客户。

ISP为什么没有看到这种数据风暴呢?他们为什么不向客户发出即将发生的数据泛滥的警报,特别是当某些网络管理和其他供应商工具使该过程自动化时? (在以下位置查看ODS Networks的计算机滥用和检测系统预警系统 http://www.ods.com/)

首先,虽然可以进行流量管理和整形,但ISP尚未真正弄清楚如何将其纳入服务水平协议。相反,ISP客户不知道如何提出要求。

第二个问题是速度。简而言之,负载平衡会减慢通信速度,而ISP(及其客户)则不愿这样做,剑桥公司Jerboa,Inc.安全咨询小组总裁Ian Poynter说。

“有多种方法可以检查路由器的负载,并在突然出现大峰值的情况下降低连接速度,”位于圣何塞Conxion,Corp.的企业托管服务提供商的首席安全官Brian Koref补充道, Calif。“但是许多ISP都不希望将其放在路由器上,因为它会对性能产生重大影响。”

过滤和负载平衡还利用ISP来获得更昂贵的设备和管理费用。而且,在缺少24 x 7 NOC的小型ISP中,这些攻击将完全被忽略,Poynter继续说道。在这种情况下,Poynter认为ISP可以通过对此类服务收取额外费用来增加成本,就像电话公司对呼叫方ID一样。

Comstar的Zepp说,由于2月份DDOS攻击,ISP已开始实施过滤。而且,他们还组建了财团,并承诺将共同努力以发现漏洞并跟踪集线器之间的攻击者。 2月,包括Comstar在内的大约23个ISP加入了ICSA.net的Internet安全联盟(www.icsa.net/html/communities/ddos/alliance/index-shtml)。

最后的链接:受害者

由于最好的威慑力是害怕被捕获,因此ISP具有正确的想法。但是将其简化为现实,可行的过程将需要一些时间。因此,这些DDOS攻击的潜在受害者最好提出一个备份计划。

令人惊讶的是,META的约翰逊认为,那些在2月DDOS攻击之前因Internet中断的电子商务甚至没有备份计划或没有对系统进行故障转移。他认为,如果他们有应急计划和冗余路由,他们的服务将在10-15分钟而不是3-4小时内恢复正常工作。

他说:“我们已经与这些受攻击的组织中的一些进行了交谈。在他们的工程计划期间,他们没有采取正确的预防措施来确保主站点出现故障时也无法确保可用性。” “他们没有适当的冗余。他们没有多台服务器,翻转线路和路由器。”

更糟糕的是,据van Wyk称,至少有一个受到影响的知名站点甚至在其生产系统上都没有防火墙。并不是说防火墙在DDOS方案中会有所帮助。但这强调了安全专业人员每天都在努力解决的问题:修补草草建立的电子店面,而对安全性却一无所知。

他说:“首先进入市场的巨大压力已导致许多良好做法(例如安全性)被推迟到许多电子商务站点上,直到后来。”他说:“我个人已经看到许多人完全没有做好应对任何重大攻击的准备。”

META的Johnson说,除了没有备份系统外,电子商务的外围安全性也不足。大多数Web服务器仅使用一两个路由器。较坚固的外围将在其每个主路由器前面放置四个便宜的路由器。在2月的袭击中,这可能大大降低了他们的阻塞点。他还建议在此边界后面使用多个入侵检测系统。

Koref补充说,还必须通过限制到一个盒子的连接数和一个TCP会话无法实现的时间来解决DDOS漏洞在服务器级别。 (一种类型的DOS攻击,即SYN泛洪,通过打开会话但未完成会话使服务器不接受新的流量。)

Poynter说:“我确定一些受害者认为他们还不错-直到真实世界的测试证明不是那样。”这导致了最后的也是最后的好处,这可能是2月份DDOS对我们最可见的电子商务的攻击所产生的:提高意识。

但是,是否足以引起一些非常需要的系统性改变?时间会证明一切。

 

黛博拉·拉德克利夫(Deborah Radcliff)为ComputerWorld,Upside,NetworkWorld以及其他商业和贸易杂志撰写高科技犯罪和企业安全方面的故事。拉德克里夫(Radcliff)是圣何塞水星新闻(San Jose Mercury News)的前击败记者,五年前,她在乔恩·利特曼(Jon Littman)的《逃亡游戏》一书中研究凯文·米特尼克(Kevin Mitnick)的生活时,改用了现在的流派。


安全Portal是全球关注保护其信息系统和网络的公司和个人的在线资源和服务提供商。
http://www.SecurityPortal.com
网络安全联络点(tm)

本文最初发表于2000年9月14日
通过网络更新新闻获取最新消息