防御分布式拒绝服务(DDoS)攻击
甚麽是分布式拒绝服务攻击?
拒绝服务攻击是指在网络世界里试图令目标电脑或网络资源不能提供正常服务予用家。而分布式拒绝服务(DDoS)攻击是此类攻击的变种,透过多过一台来自不同地方的电脑向目标同时发动拒绝服务攻击,以及输送大量虚假的网络流量,以致目标不胜负荷。网络攻击者发动分布式拒绝服务攻击的背后动机,一般是勒索丶破坏竞争对手的声誉丶宣示黑客主义等等。分布式拒绝服务攻击基本上会消耗目标机构的频宽和伺服器资源。大规模的分布式拒绝服务攻击通常透过殭尸网络发动,令大量分布在世界各地受到病毒感染的电脑在不知不觉间被操纵而参与攻击。
如何侦测分布式拒绝服务攻击?
监测内部网络流量和伺服器资源的使用情况,例如域名系统(DNS)伺服器和网站伺服器,及早发现网络流量出现的突变和系统资源的异常使用情况。
与互联网服务供应商(ISP)或资讯保安服务供应商合作,利用他们的操作中心监测互联网通讯情况。
记录保安事宜,并检查各保安系统,例如网络入侵侦测系统(IDS)或网络入侵防御系统(IPS)丶防恶意软件解决方案丶互联网通讯闸和防火墙等所发出的警告,及早侦测可疑的网络活动。
我可以怎样减低分布式拒绝服务攻击所带来的风险?
考虑将网络分隔,将重要的和一般的服务归纳于不同的网络。
使用至少两条由不同互联网服务供应商提供的网络连线接驳至互联网,提高对分布式拒绝服务攻击的承受能力。
考虑采用第三方所提供的防御分布式拒绝服务攻击的服务,例如内容分发网络服务及分布式域名系统伺服器服务。
与你的互联网服务供应商或保安服务供应商合作,使用他们的操作中心处理大量互联网数据,并对分布式拒绝服务的数据作出分析及堵截。
制定业务应变计划及就如何应对分布式拒绝服务攻击进行定期演习。
向有关机构报告情况及征求意见,例如 香港电脑保安事故协调中心(HKCERT) 及 香港警务处网络安全及科技罪案调查科。
采用最佳作业模式对抗网络攻击
为电脑和网络装置安装最新的安全更新和修补程式,及时修复已知的保安漏洞。
采用保安解决方案,如网络入侵侦测系统或网络入侵防御系统丶防恶意软件解决方案及防火墙等,以保护电脑和网络系统。
为与互联网连接的伺服器建立网络隔离区(Demilitarised Zone, DMZ),并把内部电脑设备放置于防火墙之后。
妥善配置网络装置,阻截不必要的网络通讯。例如,阻挡不必要的 ping 通讯和未经授权的网络埠要求。
定期进行保安风险评估及审计,确保已采取足够的保安措施。
