其他
如何高效选择抗DDoS产品或服务;如何定义明确清晰的网络边界 | FB甲方群话题讨论
▎各位 Buffer 晚上好,FreeBuf 甲方群话题讨论第 225 期来了!FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论,Kiki 群助手每周整理精华、干货讨论内容,为您提供一手价值信息。
本期话题抢先看
1. 大家企业在选用抗DDoS服务时,一般考虑需要抗多大的流量?这个数值如何选择,还是说越大越好?
2. 面对DDoS攻击,目前很多都会采用高防服务器或高防IP进行防御,这其中哪一种效果更好?企业该如何选择?
3. 对于持续性的DDoS攻击,除了“硬刚”,有没有其他可以快速解决的办法?
4. 我们经常讨论边界,那什么算是一个明确而清晰的网络边界?比如什么算是一个明确的清楚的办公网的边界?
话题一
大家企业在选用抗DDoS服务时,一般考虑需要抗多大的流量?这个数值如何选择,还是说越大越好?
一般企业估计都是最低档流量,然后购买弹性扩容包,因为很少看有人经常被攻击的。话说我们领导还在吐槽高防没有产出。
对于应用,采用了云WAF,并没入手高防,能满足业务需求。
云WAF能防DDoS吗?WAF只能防CC吧。
WAF并不能防DDoS,但是WAF可以有抗DDoS的能力。
这个话题说的是买运营商服务还是指买设备?都有的话,如果是部署在第三方云, 一般NGFW或者云WAF都有点这方面能力,小的可以顶一顶,大的云服那边堵死了,会联系你重启的。
抗DDoS攻击,这个我觉得没有最大的数值,也没有最好的方案,点和面都要覆盖的话,安全就是无底洞,合理又可行的投入,我觉得还只能是监控和前期的规避措施做到位,比如尽量避免真实地址的暴露,尽量使用边缘服务,增加多预备入口,及时关闭威胁的服务,转移攻击的目标。
可以基于历史数据和峰值流量考虑一下,根据过去的流量峰值和攻击情况来预估所需的抗DDoS流量,确保系统在平时和特殊情况下都有足够的弹性。
主要还是看业务以及行业,不同行业对抗DDoS的需求可能有所不同,一般金融机构和电商类企业可能需要高防。
Q:面对DDoS攻击,目前很多都会采用高防服务器或高防IP进行防御,这其中哪一种效果更好?企业该如何选择?
高防服务器更好,防御种类更多,针对DDoS和CC攻击。
首先,先弄清楚高防服务器和高防IP概念有什么不同。高防服务器是指独立单个防御50G以上的服务器,根据IDC机房环境,可分为硬防和软防,可以应对SYN、UDP、ICMP、HTTP GET等各类DDoS攻击;高防IP是指高防机房所提供的IP段,针对服务器在遭受大流量DDoS攻击情况下使用,可以通过配置高防IP,将攻击流量引流到高防IP,确保源服务器的正常运行。 如果原服务器遭受DDoS攻击,但又不想迁移数据不想换服务器的,就可以用高防IP 来部署防御和加速,在原有服务器上部署DDoS防御服务。
其实本质上来说,高防服务器与高防IP是存在很多联系的,高防IP属于是高防服务器的一部分,一般高防服务器都是针对IP来进行防御和管理,如果某IP出现异常流量时,高防机房中的硬件防火墙,牵引系统等会对流量进行智能识别,对恶意流量进行过滤,保证正常流量能够对服务器发出请求并得到正常的处理。
高防服务器如果爆掉了就会影响业务,但高防IP在隐藏源IP的基础上,即使单个节点爆了,也不会影响源站。
高防IP一般是增值服务,是在原有服务器上部署DDoS防护来增强防御级别。
之前看过一个总结,对二者总结挺到位的: 1、防御力攻击种类不同,高防IP针对的是DDoS和CC攻击,高防服务器通常集独享带宽、清洗能力、高防IP、流量牵引、专业抗DDoS攻击防御能力等高性能于一体; 2、实际操作方法不同,高防IP没有远程登陆的操作,高防服务器有远程登陆一系列的实际操作; 3、价格不同,高防IP按实际攻击量计费,成本更低,高防服务器硬件成本较高。 所以,如果预算有限就高防IP,不差钱的直接高防服务器吧。
Q:对于持续性的DDoS攻击,除了“硬刚”,有没有其他可以快速解决的办法?
断臂求生,临时下线部分服务。
从理论上来说,如果半吊子黑客动用了国内肉鸡,并且这个肉鸡可溯源,那么是可以找执法部门的,不过这种情况非常非常少。肉鸡没有清理痕迹,进一步被溯源,而且有关部门愿意帮你。
将网络流量通过云托管服务进行过滤和清洗,可以大幅减轻企业自身网络承受的压力。
部署CDN可以将企业的网站内容分发至全球各个节点,提供更快速和高效的访问体验。同时,CDN也能起到一定程度上的DDoS防护作用。CDN具备分布式节点和负载均衡的特点,能够分散攻击流量并过滤掉恶意请求,从而保护企业的网络基础设施。
还有就是流量清洗,将来自网络的所有流量引导至流量清洗中心进行检查和过滤。流量清洗中心通过自动化工具和人工干预,对流量进行实时监测和分析,并过滤掉含有恶意特征的流量,有效地保护企业的网络资源。
话题二
我们经常讨论边界,那什么算是一个明确而清晰的网络边界?比如什么算是一个明确的清楚的办公网的边界?
所有出口已知,没有未知出访链路,网络拓扑清晰,不存在私拉乱接。
安全级别不同,需要部署不同的安全策略的区域之间,存在边界。
边界看怎么说了,角度不同。比如:出口路由是公司与互联网边界,当电脑连接无线,这个边界又模糊了。
1.不对互联网提供访问;
2.服务于各职场办公人员访问的应用及网络段;
3.应用与服务仅承载办公所需生产资料,不承担盈利业务应用的生产数据。
对于办公网的边界,以下几个方面可以帮助定位边界: 1.网络设备:通常,边界位于办公网与外部网络之间的网络设备上,如路由器、防火墙、入侵检测/防御系统等。这些设备负责管理对内部网络的访问和对外部网络的连接。 2.IP地址范围:边界可能通过特定的IP地址范围来标识和定义办公网。这些IP地址往往是私有IP地址(如10.0.0.0/8或192.168.0.0/16),用于内部网络通信,与公共互联网IP地址进行区分。 3.网络策略和访问控制:边界的概念也可以扩展到网络策略和访问控制的层面。通过配置防火墙规则、访问控制列表或虚拟专用网络,可以定义办公网内外不同网络之间的通信规则和权限,以确保安全性和隔离性。 4.安全措施:办公网的边界应该设有安全措施,如防火墙、入侵检测/防御系统和反病毒软件等,以保护办公网免受潜在的威胁和攻击。
这个问题有点本末倒置了,边界应该是组网之前就设计好的,而不是现网套概念出来的。就如同盖一栋楼,各个功能区是设计之初就应该定下来的。
确实,边界的规划应该是在组网之前进行,而不是事后再根据需求进行调整。但有时候由于特定的业务需求、网络演变或组织结构的变化,对现有网络进行边界的调整是不可避免的。在这种情况下,需要对边界的调整进行慎重评估和规划,以避免对整体网络架构造成不必要的影响和漏洞
Q:有没有什么方式拿正在运行Nginx的配置文件内容?
A1: Cat? A2: 本地配置文件已经没了。 A3: 那只能注入一下NG的进程,从内存里拿。 A4: lsof 看iNode拿。 A5: 有道理,Dump一下整个内存,用取证工具看看。 A6: 对的,我现在也这样想的,但是我看网上都是取整个系统内存。这个能拿到文件内容吗? A7: iNode是看原始位置,然后用debugfs工具看,你搜下教程。只要原iNode没有被覆写,内容就还在。 A8: 整个内存可以先Dump留着,万一搞不定后续还可以慢慢想办法。 A9: 嗯,学习一下取证。 A10: 1.获取pid
ps -ef | grep nginx
2.读取内存映射
cat /proc/pid/maps | grep heap
3.使用gdp转存堆内容
gdp -p pid
dump memory /root/nginx-memory 16进制存储地址
4.将转储中获取字符串数据
strings /root/nginx-memory /root/nginx-memory-str
5.获取内存配置文件
grep "http" /root/nginx-memory-strA11: 这也太行了,直接就是答案了。
Q:请问这种垃圾高危漏洞大家都是怎么处理的?
A1: 忽略,无影响。 A2: CSP也是漏洞吗?我觉得只是算没加固。 A3: 严格的说勉强算吧,感觉算没有进行严格的策略执行。 A4: 这个OpenSSL版本过低漏洞是登录检测出的么,用漏扫纯远程扫描能检测出么? A5: 就是Nessus扫出来的,不用登录。 A6: 忽略掉吧,一般都是,能忽略就忽略,能无危害就无危害,如果是客户一定要修,建议让客户丢一份利用成功或者报告出来看看。
Q:群里面谁做过Linux中的IMA策略?这个还是不错的一个东西,不过原生的就是比较难用,定开的话,可以友好性更强一些。
A1: IMA是什么? A2: Linux中的一个安全模块,不过得在内核中编译完成了,才能使用,原生的会难用一些。 A3: 我在想安全的检测设备有哪些,像扫描器、APT攻击检测工具、IPS、蜜罐。各位还有没有补充的呢,EDR? A4: EDR不知道和病毒检测究竟有区别吗? A5: 所有的安全设备都具备检测功能吧。 A6: 那是因为有检测的模块,我在想的是侧重点在检测上的有哪些。 A7: IDS入侵检测,这个是专门做检测的。 A8: 现在都集成到FW上了, 算一个。 A9: 单纯做安全的检测的貌似没了吧,现在基本都是安全模块集成在一个产品上,开啥模块看预算情况了。检测这个功能就是安全产品的基础功能,没这个功能还搞啥安全呢。
应用安全与数据安全的工作边界在哪;甲方如何管控对乙方的授权
活动回顾:
酱香拿铁刷屏后,我们搞了一场“真香”的网安大会
活动预告:
选出你心中的第一名 | WitAwards 2023「大众投票」正式启动!
抽迪士尼门票 | FCIS 2023 大会极客票限时免费领取
最新研究,利用AI可检测和拦截中间人(MitM)攻击 因收到100万美元“侮辱性”赎金,Lockbit泄露经销商巨头CDW内部数据 最新情报,思科0-Day漏洞正在被黑客利用
开源CasaOS云软件发现关键漏洞 攻击者称手握300万条数据,D-Link:只有700条
FreeBuf甲方社群每周开展不同的话题讨论,快来扫码加入我们吧!
【申请流程:扫码申请-后台审核(2-5个工作日)-邮件通知-加入社群】
注:目前1群、2群已满,如有疑问,也可添加Kiki群助手微信:freebuf1024,备注:甲方会员
“FreeBuf甲方群”帮会已建立,该帮会以三大甲方社群为基础,连接1200+甲方,持续不断输出、汇总各行业知识干货,打造网安行业甲方专属资料留存地。现“FreeBuf甲方群”帮会限时开放加入端口,让我们一同加入,共同建设帮会内容体系,丰富学习交流地。
【FreeBuf粉丝交流群招新啦!
在这里,拓宽网安边界
甲方安全建设干货;
乙方最新技术理念;
全球最新的网络安全资讯;
群内不定期开启各种抽奖活动;
FreeBuf盲盒、大象公仔......
扫码添加小蜜蜂微信回复“加群”,申请加入群聊】