Radware:从一次DDoS攻击测试中学习如何保护VPN

通联网络是国内著名的虚拟主机和域名注册提供商。独创的第6代虚拟主机管理系统,拥有在线数据恢复、Isapi自定义,木马查杀等30余项功能.千M硬件防火墙,为您保驾护航!双线虚拟主机确保南北畅通无阻!

Radware:从一次DDoS攻击测试中学习如何保护VPN

2022年5月30日 主机租用 0

就Radware安全专家而言,已经历了长达15年之久的远程办公,尽管已经不再像10年前那样依赖远程VPN客户端,但在处理许多公司资源时,仍需连接到公司的VPN上,如Radware的黑客实验室。

随着COVID-19的大流行,许多IT企业发现,由于多数员工选择(或被强制)在家工作,他们自己不得不仓促地应对VPN流量的突然激增。遗憾的是,这也为恶意攻击者通过对企业VPN基础架构本身发起各类攻击来破坏目标提供了绝佳机会。

多数企业采用的是陈旧过时的远程VPN应用和运行在星型连接架构中的集线器。这是因为VPN一直被视为IT基础架构中“填补空白”的部分,适合出差的员工或在非工作时间访问公司资源的人使用。预计通过VPN访问的流量只占IT总流量的一小部分。

事实上,Radware在制药行业的一个重要客户已经为应对当前这种情况做好了准备。他们预料到了多数员工不得不在家办公这种情况,并围绕这一设想设计了DDoS防御措施。不仅如此,他们还雇佣了外部的DDoS测试公司攻击VPN基础架构,衡量不同组件的弹性。

即使攻击容量低至1 Mbps,经过优化的TCP混合攻击依然能够让网络防火墙处于无法处理更多新连接的状态,在这些攻击中,攻击者可以发送少量带有SYN标志的TCP数据包、另一批次的带有ACK标志的TCP数据包、另一组URG数据包等。由于没有触发容量阈值,因此多数DDoS防御措施也不会被触发。

为了防御这类攻击,企业需要调整主机、防火墙和DDoS策略。许多网络防火墙都有“SYN防御”或“初始连接”功能,可以防御SYN洪水。针对DDoS策略,可以采用能够进行失灵数据包检测和预防功能。

遭受到攻击时,与基于云的DDoS服务相比,本地DDoS缓解设备通常有更多的优化选项,因为这些策略完全由客户控制,不会与云中的其他客户共享。最后,如果企业采用了速率限制,最好设置与期望的VPN连接数相匹配的阈值;许多缓解设备也都会有一些不适合VPN应用的缺省参数。

其中两个DDoS测试就是SSL洪水攻击的变体。第一个攻击是高容量的SSL连接洪水。此攻击会尝试利用高容量的SSL握手请求来耗尽服务器资源。

为了防御这种攻击,就必须仔细监控防火墙、VPN集线器和负载均衡器等状态设备的TCP会话和状态。此外,创建基线并设置针对此基线的预警将有助于在实际攻击中排除故障。

针对防火墙,可以采用“并发连接限制”之类的功能,减少没有任何数据包连接时的会话超时。针对DDoS策略,可以从给定的源IP地址并发建立数量有限的连接。此外,减少会话超时来释放防火墙中的连接表。

最后,Radware提供了两个有助于解决本地和云端SSL洪水的专利防御机制:DefenseSSL可以利用行为分析识别可疑流量,随后激活盒装式SSL模块进行解密。通过一系列仅用于可疑流量的质询响应机制,可以识别并缓解攻击。如果客户通过了所有质询,就允许后续的HTTPS请求直接到达受保护服务器,从而在客户端和受保护服务器之间创建新的TLS/SSL会话。

这一独特的部署模型使得解决方案可以实现和平时期的零延迟,并在遭到攻击时将延迟降到最低仅限于每个客户端的第一个HTTPS会话。针对无法使用证书解密的情况,可以采用行为SSL保护。这可以在不解密SSL连接的情况下防御SSL洪水。

第二个SSL攻击是SSL重新协商洪水。SSL/TL

发表回复

您的电子邮箱地址不会被公开。