安全是有分量的

cc防御_ddos高防服务器_无缝切换

2021-10-14 10:04栏目:网络

cc防御_ddos高防服务器_无缝切换

2020年末,《财富》全球500强中的一家大公司遭到了一个自称为Lazarus集团的组织的勒索DDoS(RDDoS)攻击。Cloudflare很快将他们送到Magic Transit服务,保护他们免受挥之不去的威胁。这一勒索企图是全年展开的更广泛的赎金运动的一部分,针对全球数千家组织。勒索者威胁组织,如果他们不支付赎金,他们将遭受严重的DDoS攻击。

在整个2020年,免费ddos防御墙,Cloudflare通过Magic Transit、Cloudflare针对关键网络基础设施的DDoS保护服务、针对HTTP应用程序的WAF服务,登上并保护了许多组织,以及基于TCP/UDP的应用程序的频谱服务——确保其业务的可用性和连续性。

解除攻击时间表

我与Daniel(化名)及其团队进行了交谈,他们在上述公司的事件响应和取证团队工作。我想了解他们的经验,并与我们的读者分享,这样他们就可以学习如何更好地为这样的活动做准备。该公司要求匿名,因此省略了一些细节以确保这一点。在这篇博文中,我将把它们称为X.

最初,攻击者向X公开列出的几个电子邮件别名发送了勒索电子邮件,如press@、股东@和hostmaster@. 我们从其他客户那里听说,在某些情况下,非技术员工收到该电子邮件并将其视为垃圾邮件而忽略,从而将事件响应团队的反应时间延迟了数小时。然而,对X来说幸运的是,hostmaster@alias的电子邮件列表上的一名网络工程师看到了它,并立即将其转发给Daniel的事件响应团队。

在勒索电子邮件中,攻击者要求20比特币,并给他们一周的时间来支付,否则将发生第二次更大的攻击,勒索将增加到30比特币。丹尼尔说,他们已经为这种情况准备好了应急计划,他们不打算支付。支付赎金为非法活动提供资金,激励攻击者,并不保证他们无论如何都不会攻击。

——赎金说明摘录

应急计划

收到网络工程师的电子邮件后,云安全抗DDOS防御系统,Daniel打电话给他,他们开始梳理网络数据——他们注意到一个全球数据中心的流量显著增加。该攻击者并没有四处游荡,每秒向一台服务器发射千兆比特。这次攻击,防御ddos,尽管只是一个意图证明,但却使该特定数据中心的互联网上行线饱和,导致拒绝服务事件,并产生一系列失败事件。

第一次"挑逗"攻击发生在工作日,接近工作时间结束时,因为人们已经结束了一天的工作。当时,X没有受到Cloudflare的保护,而是依赖于按需DDoS保护服务。Daniel启动了应急计划,该计划依赖于按需清理中心服务。

Daniel联系了他们的DDoS防护服务。他们花了30多分钟激活服务并将X的流量重定向到洗涤中心。激活按需服务会导致网络故障,大规模DDoS攻击最佳防御点,并导致X在各种服务上发生多起事件,即使这些服务没有受到攻击。Daniel说,事后来看是2020年,他意识到,在感受到影响后,始终在线的服务将比按需、反动的控制更有效,而按需、反动的控制需要时间才能实施。网络故障加剧了一小时的攻击,导致事件持续时间远远超过预期。

进入Cloudflare

在最初的攻击之后,Daniel的团队联系了Cloudflare,并希望加入我们的自动全天候DDoS防护服务Magic Transit。目标是在第二次攻击发生之前登上它。Cloudflare解释了入职前的步骤,提供了有关流程的详细信息,并在Daniel定义的流程中帮助X的网络入职"非常无痛而且非常专业。速度和反应速度令人印象深刻。其中一个关键的区别是攻击和流量分析,我们发现我们的现有提供商无法提供这些分析。我们看到了一些我们从未意识到会自动缓解的攻击。"

袭击者承诺进行第二次大规模袭击,但从未发生。也许这只是一个空洞的威胁,也可能是攻击者检测到X受到Cloudflare的保护,从而阻止了他们,因此,决定继续他们的下一个目标?

对组织的建议

我问Daniel是否有任何对企业的建议,以便他们可以从他的经验中学习,被ddos怎么防御,并做好更好的准备,如果他们成为勒索攻击的目标:

1。利用自动始终在线的DDoS保护服务

不要依赖需要人工分析攻击流量的响应式按需SOC DDoS保护服务。只是时间太长了。不要试图使用点播服务:"你得到了所有的痛苦,却没有任何好处"。相反,车载到具有足够网络容量和自动DDoS缓解系统的云服务上。

2。与您的供应商合作建立并了解您的威胁模型

与您的DDoS防护供应商合作,根据您的工作负载定制缓解策略。每个网络都是不同的,在与DDoS抵御系统集成时,每个网络都会带来独特的挑战。

3。制定应急计划并教育员工

做好准备。准备好计划并对团队进行培训。教育所有员工,即使是非技术人员,如果他们收到勒索电子邮件,该怎么办。他们应立即向您的安全事件响应团队报告。