优化 DDoS 弹性测试的三大策略
网络旨在保护计算机系统和网络免受分布式拒绝服务 (DDoS)等攻击的盗窃、损坏和服务中断 。DDoS 攻击的工作原理是通过大量互联网流量淹没目标或其周围基础设施,从而使目标网站或在线服务脱机。
尽管 DDoS 攻击已经存在 20 多年,但它们仍然是一个移动目标,因为网络犯罪分子经常发现新的攻击媒介和技术并将其武器化,包括:
· 以多向量攻击的形式同时发起不同类型的攻击,例如容量攻击、TCP 状态耗尽攻击和应用层攻击,每个攻击都有的签名。
· 使用不同的僵尸网络来改变攻击源并在被阻止的 IP 地址之前领先一步。
· 使用 DDoS 攻击作为烟幕来分散对正在进行的真实网络犯罪的注意力。DDoS 流量可能包括传入消息、连接请求或虚假数据包。
但这里有一个问题:攻击基于合法流量,很难确定哪些流量是合法的“好”流量,哪些是“坏”流量。因此,您必须不断测试您的 Web 服务器和服务、云产品和网络拓扑,以它们在阻止不良流量的同时允许良好流量通过的能力。
现实情况是,DDoS 攻击只是时间问题,而不是是否会发生。考虑到这一点,我们建议使用以下方法验证您对 DDoS 攻击的弹性:
1. 测试您的解决方案。所有 DDoS 缓解解决方案都经过测试。问题是测试是以主动、可控的方式进行还是通过真正的攻击进行。主动测试是一个更好的计划,因为它让您有机会解决服务可能失败的真实攻击压力之外的问题。所有面向公众的服务都会受到攻击,应该进行测试。除了 Web 服务器之外,这还包括会话边界控制器 (SBC)、统一通信和协作 (UC&C) 系统、边缘路由器等。
2. 定期测试,尤其是在重大升级之后。例如,一家美国服务提供商在向其商业帐户提供基于云的虚拟环境之前测试其弹性和脆弱性。第二家公司——网络设备制造商——在其一系列硬件和软件解决方案中的嵌入式缓解软件的预生产测试期间测试 DDoS 弹性。例如,在一项测试中,该公司发现产品的 CPU(I/O 卡)在仅发送 1 Gbps 的 TCP SYN 流量后就被锁定在 99%,这阻止了正常流量如初预期的那样通过。因此,该公司能够在商业发布之前调整软件。
3. 使用定制的攻击模拟进行测试。检查您的防御措施如何区分好流量和坏流量的佳方法之一是在良好流量的同时发起攻击。可靠的测试工具将使公司能够轻松创建自定义的多向量攻击,并将其集成到现有的测试和缓解基础设施中。发起模拟攻击使公司能够在真正攻击的热潮中发现问题之前发现并修复问题。
DDoS 攻击在频率和规模(消耗的带宽)方面呈指数增长。新的 NETSCOUT 威胁情报报告 强调了 2020 年破纪录的 DDoS 攻击活动,观察到的攻击超过 1000 万次。
此外,DDoS 攻击成本在范围内不断增加。根据近的 NETSCOUT 基础设施报告,与 DDoS 攻击造成的互联网服务中断相关的停机成本为 221,836.80 美元,而 Allianz Global Corporate & Specialty的 一份报告发现,网络犯罪对组织造成的平均成本增加了 70%五年后达到 1300 万美元。您的企业真的可以 不 测试您的 DDoS 弹性吗?
详细了解如何使用 NETSCOUT 的SpectraSecure DDoS 弹性测试工具测试您的节点、端点、Web 服务器或 Web 服务、云产品、应用程序、网络或拓扑的弹性以抵御 DDoS 攻击 。
Mark Gardner 是 NETSCOUT 测试优化业务部门的销售总监。