来自 安全 2021-04-08 02:11 的文章

被流量攻击_简述_ddos预警与抵御

被流量攻击_简述_ddos预警与抵御

我在西班牙的同事最近写了一篇内容丰富的文章,介绍了DNS保护为什么是任何公司都必须具备的安全解决方案。在这个话题的基础上,我想具体看看教育市场,以及如果DNS可见性不被认真对待会产生什么后果。我还将分享我们在与客户进行概念验证时通常看到的结果的一些见解。结束这个博客我想分享一些信息,从一个客户和他们的生产结果。那么,教育间谍问题到底有多严重?以错误的理由登上新闻永远都不好,不幸的是,最近有两所大学成为攻击目标。当然,目标不仅仅是在澳大利亚,其他大学也遇到了同样的问题。在澳大利亚,联邦政府宣布成立大学外国干涉特别工作组,目的是了解外国干涉在国立大学的水平。但是我想特别关注DNS,你可能会想,服务器怎么有效防御ddos,ddos防御在哪,不是每个组织都已经在监视DNS了吗?如果我必须在这上面写一个数字,我会说大概99%的与我交谈过的组织没有积极地监控DNS。几乎所有合法的通信和恶意活动,包括恶意软件和网络钓鱼,都是从DNS查找开始的,因此部署一个针对DNS的精简安全层确实很有意义。这个DNS安全层应该延伸到所有用户及其无数设备和数据中心。让我们开始看看一些结果。。。如果您从未听说过域生成算法(DGA),那么我向客户解释这一点的方式是想象一只猫在您的键盘上走过来生成域名。猫的努力的结果可能是这样的:图1。由DGA生成的域我保证你的恶意软件作者不会使用猫来编写他们的代码,但他们会使用DGA作为一种规避你的安全的方法。有趣的是,根据我们看到的结果,DGA检测事件不是偶尔发生的,而是每天都有对这些DGA域的调用,如下面的图2所示。隐藏在这些DGA域后面的可能是命令和控制服务器,或者DGA域可以用于通过DNS请求过滤敏感信息。图2。每日DGA活动所以我提到我们不应该忘记数据中心。除了敏感信息可以通过DNS过滤的事实之外-是的,我在一所大学看到过-计算资源可能被误用为邪恶的原因,例如挖掘加密货币。它当然不需要量子计算机来计算这个网络上有一个严重的问题,基于web的ddos攻击与防御,如图3所示。当然,恶意软件在这里是用来进行挖掘的,真正的风险是,其他系统可能会因为这类恶意软件在网络上活动而受到危害。图3。加密挖掘域活动我在这里只略过表面的结果和一些其他恶意域名活动,可以预期包括:浏览器劫持键入域名目标钓鱼域特洛伊木马活动,如宙斯/Zbot蠕虫活动,如Palevo不用说,它需要一些非常聪明的算法才能准确地检测到这些恶意域。同时,我可以说,我们都知道,cc如何防御,除了拔掉电缆外,没有什么是完美的安全。幸运的是,Akamai的Enterprise Threat Protector提供的DNS安全的准确性是一流的。当客户使用新的安全产品进行概念验证时,他们非常谨慎,因为他们希望将帮助台电话因用户投诉而响起的几率降到最低。为了进一步量化这一点,让我分享一个客户案例。最近一些客户测试ETP服务,在30天的时间内检测到近100000个恶意DNS相关事件。我去和客户一起查看结果,我几乎要从椅子上摔下来,因为他们告诉我,他们将政策从监控模式转移到阻止模式,用户基数为几千个端点,没有用户投诉,ddos防御系统安装在哪,这证明了ETP的假阳性结果非常低另一位目前正在生产中运行ETP的客户在最初的24小时内成功阻止:超过800000次尝试连接到恶意域和钓鱼网站超过300000个试图绕过过滤的连接如果你还不确定你需要一个DNS可见性解决方案,也许一些DGA艺术会改变你的想法。