美國 電影「斷網」(Leave the world behind) 確實發人深省。它向我們展示了網路癱瘓後,世界將如何變成一片焦土。政府和大型企業當然深明超前部署的重要,這正是他們需要深入了解 DDoS 應對的原因。
美國 網路安全機構 CISA、FBI 和 MS-ISAC 剛發布更新的聯合指南,說明聯邦機構和其他組織如何防禦阻斷服務 (DoS) 和分散式阻斷服務 (DDoS) 攻擊。
該指南最初於 2022 年 10 月發布並已更新,將 DoS 和 DDoS 攻擊分為三種類型,並提供 DDoS 技術定義和針對概述的 DDoS 攻擊類型的緩解建議。
DoS 和 DDoS 攻擊都旨在破壞目標的可用性,但它們在一個關鍵方面有所不同:來源。DoS 攻擊涉及用於壓垮目標的單一流量來源,而 DDoS 攻擊則使用多個來源,通常是陷入殭屍網路的受感染裝置。
美國政府的這三個機構解釋說,DDoS 攻擊會產生大量流量,並且可以在更大程度上耗盡目標的資源。它們還可以利用 IP 欺騙等技術來偽裝流量的來源。
DoS 和 DDoS 攻擊都可以是體積性的(旨在消耗目標的可用頻寬或系統資源)、基於協定的(利用網路協定或服務中的漏洞進行破壞)和應用程式層的(針對特定應用程式或服務中的漏洞)。
為了將 DDoS 攻擊造成的潛在損害降到最低,建議組織進行風險評估,以找出網路中的潛在弱點,實施網路監控工具,定期分析流量,實施 Captcha 和事件回應計畫,評估其頻寬容量,實施負載平衡,並設定防火牆來過濾或封鎖可疑或有害的流量。
此外,他們應該定期更新和修補其系統和應用程式,評估其網路應用程式,實施備援網路基礎架構,定期備份重要資料,教育員工有關 DDoS 攻擊的知識,並在發生攻擊時制定溝通計畫。
撰寫機構指出,正在進行的 DDoS 攻擊跡象包括網站或服務無法使用、網路流量增加、異常的流量模式、伺服器和應用程式崩潰、網路資源消耗增加、垃圾郵件突然激增(這可能是協調 DDoS 攻擊的一部分)、通訊中斷,以及如果已啟用,則會收到 DDoS 防護服務的通知。
作為回應,組織應啟動其事件回應計畫,通知網路服務供應商 (ISP) 或託管供應商,收集證據,實施流量過濾,在可用的情況下啟用 DDoS 緩解服務,擴充頻寬等資源,啟用內容傳遞網路 (CDN) 服務,並與內部團隊和外部利害關係人保持溝通。
該指南是由 Akamai、Cloudflare 和 Google 合作編寫的,還提供了遭受 DDoS 攻擊後應採取的步驟的建議,並建議組織向 CISA、FBI 或 MS-ISAC 報告此類事件。