Palo Alto cảnh báo về lỗ hổng tường lửa được sử dụng trong cuộc tấn công DDoS vào nhà cung cấp dịch vụ

“Cần có một cách tự động để định cấu hình nó để giám sát lưu lượng và quyết định xem nào là một cuộc tấn công và. Trong Arbor, bạn cần điều chỉnh và đặt tất cả các tham số theo cách thủ công, trong khi trong bộ bảo vệ DDOS Point Point, bạn có thể chọn các tham số thấp nhất và trong nhiều tuần, kiểm tra bộ bảo vệ DDOS Point.”” Sự hỗ trợ khu vực ở đây tại Châu Phi có thể cải thiện, chẳng hạn như người quản lý tiếp thị và tài khoản.”” Một cải tiến sẽ là cung cấp thông tin về cách thức giá được thực hiện ở các cấp độ khách hàng khác nhau.”” Giải pháp hỗ trợ CNTT cần cải thiện.”” Một vấn đề cần được giải quyết liên quan đến thông tin tôi nhận được về các cuộc tấn công vào radar và arbor, được cho là, không thực hiện bất kỳ hành động nào.”” Giải pháp có thể được bao gồm nhiều hơn để bao gồm các bản ghi mỗi giây và theo dõi đường ống nâng cao cho giấy phép bộ định tuyến.”” Họ nên cải thiện phần báo cáo và làm cho nó chi tiết hơn một chút. Tôi muốn có các báo cáo tốt hơn và chi tiết hơn nhiều.”” Giải mã SSL của Arbor là khó hiểu và cần được cài đặt thẻ bên ngoài trong các thiết bị. Đây không phải là giải pháp tốt nhất từ ​​quan điểm kiến ​​trúc để bảo vệ HTTPS và mọi giao thức khác được mã hóa SSL.”

Tóm tắt bài viết

1. Từ chối dịch vụ (DOS) và các cuộc tấn công từ chối dịch vụ phân tán (DDO) đã trở thành những vấn đề phổ biến đối với các doanh nghiệp thuộc mọi quy mô.

2. Các chiến dịch DDOS thường được sử dụng bởi các nhà hack để phá vỡ các công ty mục tiêu hoặc các cơ quan chính phủ.

3. Botnet do các nhóm tội phạm kiểm soát có thể tuyển dụng hàng ngàn hoặc hàng triệu máy bị nhiễm bệnh cho các cuộc tấn công DDoS toàn cầu.

4. Bảo vệ chống lại các cuộc tấn công DDOS là một phần không thể thiếu trong bất kỳ chiến lược phòng chống mối đe dọa CNTT nào.

5. ISP đóng một vai trò quan trọng trong việc ngăn chặn các cuộc tấn công DDoS bằng cách lọc hoặc lưu lượng màu đen trước khi nó đến mạng mục tiêu.

6. Hồ sơ bảo vệ DDOS trong tường lửa thế hệ tiếp theo của Palo Alto Networks cho phép kiểm soát các loại lũ lụt giao thông khác nhau.

7. Hồ sơ bảo vệ DOS cho phép thiết lập các giới hạn độc lập trên các phiên tổng hợp và cùng nguồn.

số 8. Palo Alto Networks có thể xác định và chặn các công cụ DDOS như Loic, Trinoo và các công cụ khác.

9. Hồ sơ bảo vệ lỗ hổng trong Palo Alto Networks bảo vệ chống lại các khai thác có thể dẫn đến điều kiện DOS.

10. Kiểm soát botnet là điều cần thiết để ngăn chặn đóng góp vào các cuộc tấn công DDoS ở nơi khác.

Câu hỏi và câu trả lời

1. Làm thế nào các cuộc tấn công DDoS có thể được ngăn chặn?

Có thể ngăn chặn các cuộc tấn công của DDoS bằng cách thực hiện chiến lược phòng thủ mạnh mẽ bao gồm các biện pháp chủ động như giám sát lưu lượng và thiết lập các tham số để xác định các cuộc tấn công tự động.

2. Những cải tiến nào là cần thiết trong sự hỗ trợ khu vực của các mạng Palo Alto ở Châu Phi?

Hỗ trợ khu vực ở Châu Phi, đặc biệt là quản lý tài khoản và tiếp thị, cần cải thiện để đảm bảo các dịch vụ và hỗ trợ tốt hơn cho khách hàng.

3. Làm thế nào Palo Alto Networks có thể cung cấp thông tin về giá cả cho các cấp khách hàng khác nhau?

Palo Alto Networks nên cung cấp thông tin chi tiết về cách thực hiện giá cho khách hàng ở các cấp độ khác nhau để cải thiện tính minh bạch và trải nghiệm của khách hàng.

4. Lĩnh vực nào của giải pháp đòi hỏi phải cải thiện về mặt hỗ trợ CNTT?

Hỗ trợ CNTT của giải pháp cần cải thiện để giải quyết bất kỳ vấn đề hoặc mối quan tâm nào một cách kịp thời và hiệu quả.

5. Là arbor có hành động thích hợp để đối phó với các cuộc tấn công được báo cáo?

Đã có báo cáo về việc Arbor không thực hiện bất kỳ hành động nào để đối phó với các cuộc tấn công, điều này làm tăng mối quan tâm và cần được giải quyết để bảo mật tốt hơn.

6. Làm thế nào giải pháp của Arbor có thể được giám sát tốt hơn để theo dõi tốt hơn?

Giải pháp của Arbor có thể chi tiết hơn bằng cách bao gồm các tính năng như nhật ký mỗi giây và theo dõi đường ống nâng cao cho giấy phép bộ định tuyến.

7. Những cải tiến nào là cần thiết trong phần báo cáo của Palo Alto Networks?

Palo Alto Networks nên cải thiện phần báo cáo bằng cách cung cấp các báo cáo chi tiết và toàn diện hơn để phân tích và hiểu biết tốt hơn.

số 8. Làm thế nào để giải mã SSL của Arbor cần cải thiện?

Giải mã SSL của Arbor khó hiểu và yêu cầu cài đặt thẻ bên ngoài trong các thiết bị, đây không phải là giải pháp lý tưởng nhất để bảo vệ HTTPS và các giao thức được mã hóa SSL khác.

– Kinh nghiệm cá nhân: Là một người đã xử lý các cuộc tấn công DDOS, tôi hiểu tầm quan trọng của việc có một chiến lược phòng thủ toàn diện. Thật yên tâm khi biết rằng Palo Alto Networks cung cấp các tính năng như hồ sơ bảo vệ DDOS và khả năng chặn các công cụ DDOS. Ngoài ra, sự nhấn mạnh vào việc làm việc với các ISP để ngăn chặn lưu lượng DDoS tiếp cận mạng là rất quan trọng. Tuy nhiên, những cải tiến trong các lĩnh vực như hỗ trợ khu vực, tính minh bạch về giá, hỗ trợ CNTT và báo cáo có thể tăng cường hơn nữa hiệu quả của giải pháp. Nhìn chung, việc thực hiện các biện pháp phòng ngừa DDoS mạnh là rất cần thiết trong bối cảnh an ninh mạng ngày nay.

Palo Alto cảnh báo về lỗ hổng tường lửa được sử dụng trong cuộc tấn công DDoS vào nhà cung cấp dịch vụ

“Cần có một cách tự động để định cấu hình nó để giám sát lưu lượng và quyết định xem nào là một cuộc tấn công và. Trong Arbor, bạn cần điều chỉnh và đặt tất cả các tham số theo cách thủ công, trong khi trong bộ bảo vệ DDOS Point Point, bạn có thể chọn các tham số thấp nhất và trong nhiều tuần, kiểm tra bộ bảo vệ DDOS Point.”” Sự hỗ trợ khu vực ở đây tại Châu Phi có thể cải thiện, chẳng hạn như người quản lý tiếp thị và tài khoản.”” Một cải tiến sẽ là cung cấp thông tin về cách thức giá được thực hiện ở các cấp độ khách hàng khác nhau.”” Giải pháp hỗ trợ CNTT cần cải thiện.”” Một vấn đề cần được giải quyết liên quan đến thông tin tôi nhận được về các cuộc tấn công vào radar và arbor, được cho là, không thực hiện bất kỳ hành động nào.”” Giải pháp có thể được bao gồm nhiều hơn để bao gồm các bản ghi mỗi giây và theo dõi đường ống nâng cao cho giấy phép bộ định tuyến.”” Họ nên cải thiện phần báo cáo và làm cho nó chi tiết hơn một chút. Tôi muốn có các báo cáo tốt hơn và chi tiết hơn nhiều.”” Giải mã SSL của Arbor là khó hiểu và cần được cài đặt thẻ bên ngoài trong các thiết bị. Đây không phải là giải pháp tốt nhất từ ​​quan điểm kiến ​​trúc để bảo vệ HTTPS và mọi giao thức khác được mã hóa SSL.”

Nhận một tay cầm trên DDoS

Từ chối dịch vụ (DOS) và các cuộc tấn công từ chối dịch vụ phân tán (DDoS) đã trở thành một vấn đề ngày càng phổ biến đối với các doanh nghiệp thuộc mọi quy mô. Các chiến dịch DDOS thường được sử dụng bởi các nhà hack để xấu hổ hoặc phá vỡ một công ty mục tiêu hoặc cơ quan chính phủ. Thật không may, vấn đề không’T dừng ở đó. Botnet được kiểm soát bởi các nhóm tội phạm có thể tuyển dụng hàng ngàn và thậm chí hàng triệu máy bị nhiễm bệnh để tham gia vào một cuộc tấn công DDoS toàn cầu thực sự. Bất kể nguồn nào, bảo vệ một mạng khỏi các cuộc tấn công DDoS này đã trở thành một phần không thể thiếu trong bất kỳ chiến lược phòng chống mối đe dọa CNTT nào. Trong khi chúng tôi không’T tự xưng là một giải pháp đầu cuối để ngăn chặn các cuộc tấn công DDoS (không có gì thực sự là), có nhiều tính năng trong tường lửa thế hệ tiếp theo của Palo Alto mà các nhóm bảo mật nên tích hợp vào chiến lược phản công của họ. Cho phép’S Hãy xem nhanh về cách một chiến lược DDOS tổng thể có thể trông.

Giữ các cuộc tấn công DOS càng xa mạng càng tốt
Tất nhiên, chúng tôi có xu hướng tập trung vào các biện pháp bảo vệ mà chúng tôi có thể cung cấp tại Palo Alto Networks, điều rất quan trọng là phải thừa nhận rằng bảo vệ DDOS phải bắt đầu trước khi lưu lượng truy cập đến mạng của bạn. ISP đang ngày càng quan trọng trong cuộc chiến chống lại DDO và họ có khả năng giữ cho một số lưu lượng DDoS tiếp cận mục tiêu dự định. ISP có thể theo dõi các liên kết Internet và có thể lọc hoặc lưu lượng truy cập blackhole để bảo vệ mạng khách hàng. Chuẩn bị cho DDO thực sự đòi hỏi phải nhìn xa hơn chu vi của chúng tôi và việc làm việc với ISP của bạn là một cách tuyệt vời để giữ lưu lượng DOS càng xa mạng của bạn càng tốt.

Hồ sơ bảo vệ DDOS
Tất nhiên, các nỗ lực DOS cuối cùng sẽ kết thúc trước cửa nhà bạn và bạn sẽ cần phải đẩy lùi cuộc tấn công và bảo vệ tài sản của bạn. Đây là nơi hồ sơ bảo vệ DOS trong tường lửa thế hệ tiếp theo đặc biệt mạnh mẽ. Hồ sơ DOS cho phép bạn kiểm soát các loại lũ lụt khác nhau như Lũ lụt Syn, UDP và Lũ ICMP. Bạn cũng có thể đặt quy tắc cho số lượng phiên đồng thời tối đa để đảm bảo rằng các phiên có thể’T vượt quá các nguồn lực. Tuy nhiên, sức mạnh thực sự của hồ sơ bảo vệ DOS là khả năng đặt giới hạn độc lập đối với các phiên tổng hợp cũng như cùng nguồn. Ví dụ, bạn có thể đặt một mức trần tổng thể của các gói syn được phép áp dụng cho tất cả các thiết bị được bảo vệ bởi một quy tắc cụ thể. Sau đó, bạn có thể đặt một quy tắc được nhắm mục tiêu nhiều hơn cho các gói tổng hợp được phép đi đến một địa chỉ IP cụ thể. Bạn có thể áp dụng những thứ này “phân loại” Các quy tắc dựa trên IP nguồn, IP đích hoặc cặp xác định nguồn gốc. Bằng cách kết hợp các biện pháp bảo vệ DOS tổng hợp và phân loại, bạn có thể xây dựng rất nhiều bảo vệ không chỉ cho mạng nói chung mà còn cả các hệ thống và dịch vụ quan trọng mà mạng có thể’t sống mà không có.

Phát hiện các công cụ DDOS
Bước tiếp theo là xác định và chặn các công cụ DDOS được sử dụng bởi những kẻ tấn công. Các nhóm hacktivist thường sẽ dựa vào các công cụ rất đơn giản hoặc dễ dàng phân phối các tập lệnh có thể được sử dụng bởi người dùng có các kỹ năng máy tính cơ bản. LOIC (Pháo ion có quỹ đạo thấp) đã là một công cụ phổ biến trong các dự án ẩn danh khác nhau cũng như các hoạt động hacktivist khác. Palo Alto Networks có thể xác định các cuộc tấn công do Loic, Trinoo và những người khác điều khiển và tự động chặn lưu lượng DDoS của họ tại tường lửa.

Chặn khai thác dos
Bước đơn giản nhất là chặn khai thác có thể dẫn đến các điều kiện DOS. Palo Alto Networks Hồ sơ bảo vệ lỗ hổng cung cấp bảo vệ nội tuyến khỏi hơn 400 lỗ hổng khác nhau trong cả máy chủ và máy khách gây ra tình trạng dịch vụ từ chối. Bảo vệ chống lại các loại lỗ hổng này là tương đối đơn giản và có khả năng đã là một thành phần của IPS và hồ sơ phòng chống mối đe dọa của bạn trên các thiết bị mạng Alto của bạn.

Kiểm soát botnet để kiểm soát DDoS
Mặc dù điều tối quan trọng của nó được chuẩn bị cho DDoS so với mạng của bạn, nhưng điều quan trọng là phải đảm bảo rằng mạng của bạn không’T đóng góp cho một cuộc tấn công ở nơi khác. Nhiều cuộc tấn công DDoS là công việc của botnet tận dụng một đội quân bị nhiễm bệnh để gửi lưu lượng truy cập đến một nguồn cụ thể. Palo Alto Networks cung cấp chặn lưu lượng truy cập lệnh và kiểm soát phần mềm độc hại và cung cấp báo cáo botnet hành vi để hiển thị các thiết bị trong mạng có khả năng bị nhiễm bot. Những nỗ lực này sẽ đảm bảo bạn không’t vô tình đóng góp cho một cuộc tấn công DDoS.

Khi nói đến DDOS luôn rất quan trọng để nhớ rằng có khả năng sẽ không bao giờ có một viên đạn bạc nào. Dừng các cuộc tấn công DDoS đòi hỏi sự pha trộn của các biện pháp kiểm soát an ninh địa phương mạnh mẽ cũng như các nỗ lực để giảm thiểu cuộc tấn công ngược dòng. Sử dụng các kỹ thuật này theo cách phối hợp sẽ giúp bạn xây dựng một cách tiếp cận tổng thể để đối phó với một cuộc tấn công DDOS.

Palo Alto cảnh báo về lỗ hổng tường lửa được sử dụng trong cuộc tấn công DDoS vào nhà cung cấp dịch vụ

Palo Alto Networks đang kêu gọi khách hàng vá một dòng sản phẩm tường lửa sau khi thấy rằng lỗ hổng đã được sử dụng trong một cuộc tấn công từ chối dịch vụ phân tán (DDoS).

Vào ngày 19 tháng 8, công ty đã cung cấp tất cả các bản vá có sẵn cho CVE-2022-0028-ảnh hưởng đến sê-ri PA, VM-series và CN-series của phần mềm tường lửa PAN-OS.

Palo Alto Networks cho biết gần đây họ đã biết rằng một nỗ lực phản ánh từ chối dịch vụ-một phiên bản của một cuộc tấn công DDOS-đã được xác định bởi một nhà cung cấp dịch vụ và tận dụng các tường lửa nhạy cảm từ nhiều nhà cung cấp, bao gồm cả Palo Alto Networks.

Một cuộc tấn công khuếch đại phản xạ

Công ty bảo mật Netscout đã mô tả một cuộc tấn công khuếch đại phản xạ như một kỹ thuật được sử dụng bởi tin tặc để “Cả hai đã phóng đại lượng lưu lượng độc hại mà họ có thể tạo ra và che khuất các nguồn của giao thông tấn công.

Loại DDO này tấn công lấn át mục tiêu, gây ra sự gián đoạn hoặc ngừng hoạt động của các hệ thống và dịch vụ, theo NetScout.

Công ty nói thêm rằng các cuộc tấn công khuếch đại phản xạ là nguy hiểm vì các máy chủ được sử dụng cho các loại tấn công này “có thể là máy chủ thông thường mà không có dấu hiệu rõ ràng về việc bị xâm phạm, gây khó khăn cho việc ngăn chặn chúng.”

Họ đã trở thành một chiến thuật ưa thích giữa các tội phạm mạng trong những năm gần đây vì chúng đòi hỏi nỗ lực tối thiểu để tiến hành và tạo ra các cuộc tấn công thể tích khổng lồ bằng cách sử dụng một nguồn bot khiêm tốn hoặc một máy chủ mạnh mẽ duy nhất, NetScout giải thích.

Được ghi lại lần đầu tiên vào đầu những năm 2000, các cuộc tấn công của DDoS ban đầu được thực hiện bằng cách cướp máy tính gia đình để khởi động các yêu cầu đến các trang web, tất cả cùng một lúc, để áp đảo nạn nhân’S lưu trữ cơ sở hạ tầng.

Nhiều năm trôi qua, các phương pháp để thực hiện các cuộc tấn công DDoS cũng đa dạng. Một trong những phương pháp nguy hiểm nhất trong số này là cái gọi là “DDOS tấn công khuếch đại phản xạ.” Điều này xảy ra khi kẻ tấn công gửi các gói mạng đến máy chủ của bên thứ ba trên internet, máy chủ xử lý và tạo gói phản hồi lớn hơn nhiều, sau đó nó gửi cho nạn nhân thay vì kẻ tấn công (nhờ một kỹ thuật được gọi là giả mạo IP).

Kỹ thuật cho phép những kẻ tấn công phản ánh/trả lại và khuếch đại lưu lượng truy cập vào nạn nhân thông qua điểm trung gian.

Trong hai năm qua, các học giả từ Đại học Maryland và Đại học Colorado Boulder cho biết họ đã phát hiện ra cách lạm dụng tường lửa và các Middle Networkboxes khác để khởi động các cuộc tấn công DDOS khổng lồ chống lại bất kỳ mục tiêu nào trên Internet.

Trong lời khuyên của mình, Palo Alto Networks đã mô tả một tình huống mà kẻ tấn công có thể sử dụng CVE-2022-0028, có điểm CVSS là 8.6, đến “Tiến hành các cuộc tấn công từ chối dịch vụ (RDO) phản ánh và khuếch đại” cái đó “sẽ xuất hiện từ một sê-sê pa-series (phần cứng), sê-ri VM (ảo) và CN-series (container).”

Cơ quan an ninh cơ sở hạ tầng và an ninh mạng đã thêm CVE-2022-0028 vào danh sách các lỗ hổng bị khai thác đã biết vào thứ Hai và ra lệnh cho các cơ quan dân sự liên bang vá lỗi trước ngày 12 tháng 9.

Cơ quan chỉ thêm các lỗi đang bị khai thác đang hoạt động.

Các cuộc tấn công phá kỷ lục

Bud Broomhead, CEO tại công ty bảo mật IoT Viakoo, cho biết khả năng sử dụng tường lửa Palo Alto Networks để thực hiện các cuộc tấn công được phản ánh và khuếch đại là “Một phần của xu hướng tổng thể để sử dụng khuếch đại để tạo ra các cuộc tấn công DDoS lớn.”

Anh ấy tiếp tục tham khảo Google’Thông báo gần đây rằng một trong những khách hàng của mình đã được nhắm mục tiêu với cuộc tấn công DDoS lớn nhất từng được ghi nhận, đạt đỉnh 46 triệu yêu cầu mỗi giây.

Để đặt nó vào quan điểm, họ đã so sánh cuộc tấn công với “Nhận tất cả các yêu cầu hàng ngày cho Wikipedia (một trong 10 trang web bị buôn bán hàng đầu trên thế giới) chỉ trong 10 giây.”

Viakoo nói rằng tấn công và những người khác sẽ “tập trung nhiều hơn vào các hệ thống có thể được khai thác để cho phép mức độ khuếch đại đó.”

Palo Alto lưu ý trong bản phát hành rằng cuộc tấn công kết quả có thể “giúp làm xáo trộn danh tính của kẻ tấn công và ngụ ý tường lửa là nguồn gốc của cuộc tấn công.”

Công ty đã cung cấp một loạt các giải pháp giải pháp và giảm thiểu cùng với các bản vá. Vấn đề được phát hiện bởi công ty an ninh mạng-Dịch vụ xuất sắc.MỘT. Có trụ sở tại Luxembourg và Bỉ.

Vào tháng 6, Cloudflare tuyên bố họ đã dừng cuộc tấn công từ chối dịch vụ phân tán HTTPS (DDoS) lớn nhất từng được ghi nhận ở mức 26 triệu yêu cầu mỗi giây, vượt qua cuộc tấn công kỷ lục sau đó là 17.2 triệu yêu cầu, vào thời điểm đó lớn hơn gần gấp ba lần so với bất kỳ cuộc tấn công DDoS thể tích nào trước đây từng được báo cáo trong phạm vi công cộng.

Cả Cloudflare và Google đều bày tỏ lo ngại về sự phát triển của các cuộc tấn công DDoS trong những năm gần đây khi chúng tăng tần số và theo cấp số nhân về kích thước.

“Kích thước tấn công sẽ tiếp tục phát triển và chiến thuật sẽ tiếp tục phát triển,” Các nhà nghiên cứu từ Google cho biết vào thứ Sáu tuần trước.

Jonathan Greig

Jonathan Greig là một phóng viên tin tức vui. Jonathan đã làm việc trên toàn cầu với tư cách là một nhà báo kể từ năm 2014. Trước khi quay trở lại thành phố New York, anh đã làm việc cho các cửa hàng tin tức ở Nam Phi, Jordan và Campuchia. Trước đây anh ấy đã bảo vệ an ninh mạng tại ZDNet và TechRepublic.

Phân tán từ chối tấn công dịch vụ (DDoS) là gì?

Một cuộc tấn công từ chối phân tán dịch vụ (DDoS) là một biến thể của một cuộc tấn công DOS sử dụng số lượng rất lớn các máy tính tấn công để áp đảo mục tiêu với lưu lượng không có thật. Để đạt được quy mô cần thiết, DDO thường được thực hiện bởi các botnet có thể chọn hàng triệu máy bị nhiễm bệnh để vô tình tham gia vào cuộc tấn công, mặc dù chúng không phải là mục tiêu của chính cuộc tấn công. Thay vào đó, kẻ tấn công tận dụng các máy bị nhiễm bệnh lớn để làm ngập mục tiêu từ xa với giao thông và gây ra một dos.

Mặc dù cuộc tấn công DDOS là một loại tấn công DOS, nhưng nó phổ biến hơn đáng kể trong việc sử dụng do các tính năng phân biệt và củng cố nó với các loại tấn công DOS khác:

• Bên tấn công có thể thực hiện một cuộc tấn công theo quy mô đột phá do mạng lưới lớn các máy tính bị nhiễm bệnh, một cách hiệu quả
• Phân phối (thường xuyên trên toàn thế giới) của các hệ thống tấn công khiến cho việc phát hiện vị trí của nhóm tấn công thực tế là rất khó khăn
• Máy chủ đích khó nhận ra lưu lượng là bất hợp pháp và từ chối nó là một mục vì sự phân phối dường như ngẫu nhiên của các hệ thống tấn công
• Các cuộc tấn công DDoS khó đóng cửa hơn nhiều so với các cuộc tấn công khác dos do số lượng máy phải ngừng hoạt động, trái ngược với chỉ một

Các cuộc tấn công DDoS thường nhắm mục tiêu các tổ chức cụ thể (doanh nghiệp hoặc công chúng) vì lý do cá nhân hoặc chính trị hoặc để tống tiền mục tiêu để đổi lấy cuộc tấn công DDoS. Các thiệt hại của một cuộc tấn công DDoS thường đúng thời gian và tiền bị mất từ ​​thời gian chết và mất năng suất.

Ví dụ về các cuộc tấn công DDoS rất nhiều. Vào tháng 1 năm 2012, nhóm người mạng Hacktivist đã tiến hành một cuộc tấn công nhiều người ủng hộ chính của Đạo luật vi phạm bản quyền trực tuyến dừng (SOPA). Trong sự bất đồng quan điểm của SOPA, các cuộc tấn công DDoS đã thực hiện ẩn danh vô hiệu hóa các trang web của Bộ Tư pháp Hoa Kỳ, Cục Điều tra Liên bang (FBI), Nhà Trắng, Hiệp hội Điện ảnh Hoa Kỳ (MPAA), Hiệp hội Công nghiệp Ghi âm Hoa Kỳ (RIAA). Để tạo điều kiện cho cuộc tấn công, ẩn danh đã xây dựng botnet của mình bằng cách sử dụng mô hình độc đáo cho phép người dùng muốn hỗ trợ tổ chức cung cấp máy tính của họ như một bot cho các cuộc tấn công. Người dùng muốn hỗ trợ tình nguyện có thể tham gia botnet ẩn danh bằng cách nhấp vào các liên kết mà tổ chức đã đăng ở nhiều địa điểm khác nhau, chẳng hạn như Twitter.

Cuộc tấn công DDoS cũng được tận dụng như một vũ khí chiến tranh mạng. Ví dụ, vào năm 2008 trong Chiến tranh Nam Ossetia, các trang web của chính phủ Gruzia đã bị tê liệt bởi những gì được dự kiến ​​là các băng đảng tội phạm Nga dưới sự bảo trợ của các dịch vụ an ninh Nga. Cuộc tấn công được thực hiện ngay trước Nga’s Các cuộc tấn công ban đầu vào đất Georgia.

Có một số kỹ thuật giảm thiểu DDoS mà các tổ chức có thể thực hiện để giảm thiểu khả năng tấn công. Cơ sở hạ tầng bảo mật mạng nên bao gồm các công cụ phát hiện DDoS có thể xác định và chặn cả hai khai thác và công cụ mà những kẻ tấn công sử dụng để khởi động một cuộc tấn công. Ngoài ra, các quản trị viên mạng có thể tạo hồ sơ để quan sát và kiểm soát các trận lụt lưu lượng cụ thể (i.e. Lũ lụt đồng bộ, UDP và Lũ ICMP). Thông qua việc xem xét tất cả lưu lượng truy cập trong tổng hợp, các ngưỡng có thể được đặt để theo dõi và cắt các hành vi cho thấy một cuộc tấn công DDoS có thể.

Arbor ddos ​​vs palo alto networks so sánh

Chúng tôi đã thực hiện một so sánh giữa Arbor DDoS và Palo Alto Networks Wildfire dựa trên đánh giá người dùng Peerspot thực sự.

Tìm hiểu những gì các đồng nghiệp của bạn đang nói về Cloudflare, Imperva, Netscout và những người khác trong việc từ chối phân tán dịch vụ (DDoS).

Để tìm hiểu thêm, hãy đọc Báo cáo bảo vệ từ chối phân tán chi tiết của chúng tôi (DDoS) (Cập nhật: tháng 4 năm 2023).

701.600 chuyên gia đã sử dụng nghiên cứu của chúng tôi từ năm 2012.

Đánh giá nổi bật

Yassine-Ibnoucheikh

Giám đốc kỹ thuật khu vực tại HTBS

Ahmadzakwan

Chuyên gia tư vấn chính tại Securelytics

Trích dẫn từ các thành viên

Chúng tôi đã yêu cầu các chuyên gia kinh doanh xem xét các giải pháp họ sử dụng.
Dưới đây là một số trích đoạn về những gì họ đã nói:

“Sự ổn định là ổn và chúng tôi đã không gặp phải vấn đề với giải pháp.”” Arbor DDOS cung cấp các tính năng bảo mật tự động phát hiện và ngăn chặn các cuộc tấn công DDoS.”” Định dạng thiết bị không trạng thái có nghĩa là hộp rất mạnh để ngăn chặn các cuộc tấn công DDoS.”” Arbor DDOS rất dễ sử dụng, cung cấp chặn các cuộc tấn công DDOS hiệu quả và có thể được sử dụng cho DNS, Web và máy chủ chính. Ngoài ra, giải pháp này dễ vận hành hơn nhiều so với các giải pháp khác, chẳng hạn như Fortinet DDoS.”” Báo cáo khá tốt. Có một số trang báo cáo về các cuộc tấn công DDoS và bạn có thể tìm thấy tất cả các chi tiết mà bạn cần.”” Tính năng tốt nhất của Arbor DDOS là chúng ta có thể đưa chứng chỉ vào và nó sẽ xem xét Lớp bảy và lưu lượng được mã hóa và thực hiện tín hiệu cần thiết.”” Tính năng có giá trị nhất là giảm thiểu.”” Các công ty sống từ sự hiện diện của họ trên Internet sẽ nhận được lợi tức đầu tư rất cao từ Arbor.”

“Sự ổn định không bao giờ là một mối quan tâm.”” Tôi thích ý tưởng của Palo Alto Networks cháy rừng. Nó hướng đến việc ngăn chặn phần mềm độc hại hơn. Nếu máy tính xách tay hoặc điện thoại của ai đó bị nhiễm phần mềm độc hại, công cụ sẽ ngăn không cho nó tải lên dữ liệu công ty có giá trị bên ngoài mạng lưới công ty. Đó là những gì tôi yêu thích ở Palo Alto Networks cháy rừng. Nó dừng phần mềm độc hại trong các bài hát của nó.”” Nó đưa ra đánh giá chính xác hơn về virus về việc nó có thực sự là virus, phần mềm độc hại hay dương tính giả. Chúng tôi có một số phần mềm kế thừa có thể bật lên như một thứ gì đó là phần mềm độc hại. Wildfire đi qua và kiểm tra nó, và sau đó nó trở lại và cho chúng tôi biết nếu đó là một dương tính giả. Thông thường, khi nó phát hiện ra rằng nó không phải là virus, nó cho chúng tôi biết rằng nó lành tính và nó có thể loại trừ nó khỏi bản quét đó, điều đó có nghĩa là tôi thậm chí không phải lo lắng về điều đó.”” Các tính năng có giá trị nhất của Palo Alto Networks Wildfire là phân tích tệp và URL tốt. Nó có các giao diện khác nhau, chẳng hạn như REST, giao thức SMTP và HTTPS. Các sự cố an ninh và quản lý sự kiện rất tốt. Ngoài ra, có nhiều loại tệp được hỗ trợ và không có giới hạn về số lượng tệp mà nó có thể xử lý đồng thời. Nó tích hợp tốt với các giải pháp SIEM.”” Các tính năng có giá trị nhất của giải pháp là thân thiện với người dùng, giá cả, bảo mật tốt và các tùy chọn liên quan đến đám mây.”” Mã hóa ứng dụng của Wildfire rất hữu ích.”” Giải pháp có nhiều tính năng.”” Chúng tôi đã phát hiện ra rằng cháy ảnh Palo Alto Networks có khả năng mở rộng. Chúng tôi hiện có sáu nghìn người dùng cho sản phẩm.”

“Cần có một cách tự động để định cấu hình nó để giám sát lưu lượng và quyết định xem nào là một cuộc tấn công và. Trong Arbor, bạn cần điều chỉnh và đặt tất cả các tham số theo cách thủ công, trong khi trong bộ bảo vệ DDOS Point Point, bạn có thể chọn các tham số thấp nhất và trong nhiều tuần, kiểm tra bộ bảo vệ DDOS Point.”” Sự hỗ trợ khu vực ở đây tại Châu Phi có thể cải thiện, chẳng hạn như người quản lý tiếp thị và tài khoản.”” Một cải tiến sẽ là cung cấp thông tin về cách thức giá được thực hiện ở các cấp độ khách hàng khác nhau.”” Giải pháp hỗ trợ CNTT cần cải thiện.”” Một vấn đề cần được giải quyết liên quan đến thông tin tôi nhận được về các cuộc tấn công vào radar và arbor, được cho là, không thực hiện bất kỳ hành động nào.”” Giải pháp có thể được bao gồm nhiều hơn để bao gồm các bản ghi mỗi giây và theo dõi đường ống nâng cao cho giấy phép bộ định tuyến.”” Họ nên cải thiện phần báo cáo và làm cho nó chi tiết hơn một chút. Tôi muốn có các báo cáo tốt hơn và chi tiết hơn nhiều.”” Giải mã SSL của Arbor là khó hiểu và cần được cài đặt thẻ bên ngoài trong các thiết bị. Đây không phải là giải pháp tốt nhất từ ​​quan điểm kiến ​​trúc để bảo vệ HTTPS và mọi giao thức khác được mã hóa SSL.”

“Về những gì tôi muốn thấy trong bản phát hành tiếp theo của Palo Alto Networks Wildfire, mỗi bản phát hành đều dựa trên phần mềm độc hại đã được xác định. Vấn đề chính là trung bình sáu tháng kể từ khi phần mềm độc hại được ghi cho đến khi nó được phát hiện và một chữ ký được tạo ra cho nó. Lời khuyên duy nhất mà tôi có thể đưa ra là để họ rút ngắn khung thời gian đó. Tôi không biết làm thế nào họ sẽ làm điều đó, nhưng nếu họ rút ngắn điều đó, ví dụ, cắt nó làm đôi, họ sẽ làm cho mình nổi tiếng hơn.”” Trong tương lai, Palo Alto có thể giảm thời gian cần thiết để xử lý tệp.”” Các tính năng hiển thị và pháp y của an ninh mạng để nhận thêm thông tin về các sự cố có thể cải thiện trong Palo Alto Networks cháy rừng.”” Cấu hình nên được thực hiện dễ dàng hơn một chút. Tôi hiểu tại sao nó như vậy, nhưng sẽ có một cách để giúp nó dễ dàng hơn từ phía người dùng.”” Việc tự động hóa và đáp ứng cần cải thiện.”” Các tính năng có tính khả dụng cao đang thiếu.”” Tính năng sản phẩm toàn cầu cần cải thiện, VPN và chúng tôi cần một số tính năng nâng cao.”” Vấn đề duy nhất với giải pháp này là chi phí. Nó đắt tiền.”

Giá cả và tư vấn chi phí

Sử dụng công cụ đề xuất miễn phí của chúng tôi để tìm hiểu các giải pháp bảo vệ từ chối dịch vụ (DDoS) phân phối nào là tốt nhất cho nhu cầu của bạn.

701.600 chuyên gia đã sử dụng nghiên cứu của chúng tôi từ năm 2012.

Câu hỏi từ cộng đồng

Câu trả lời hàng đầu: Tôi sẽ nói nếu nó’S ASP sẽ xây dựng một trung tâm chà, NetScout/Arbor là một giải pháp tốt. Trong tất cả các giải pháp khác, Imperva là một lựa chọn tuyệt vời.

Câu trả lời hàng đầu: Arbor sẽ là giá thầu tốt nhất, ngoài Arbor, Palo Alto và Fortinet có giải pháp tốt. Vì đây là một ISP, tôi thích arbor.

Câu trả lời hàng đầu: Arbor DDOS cung cấp các tính năng bảo mật tự động phát hiện và ngăn chặn các cuộc tấn công DDoS.

Câu trả lời hàng đầu: Tường lửa NgfW của Cisco Fire là một phần mềm chống vi-rút rất mạnh mẽ và rất phức tạp. Khi một người xem xét thực tế đó, tất cả đều ấn tượng hơn khi thiết lập là một khá nhiều »

Câu trả lời hàng đầu: FortiGate có rất nhiều thứ cho nó và tôi coi đó là tường lửa tốt nhất, thân thiện nhất với người dùng ngoài kia. Điều tôi thích nhất về nó là nó có một bảng điều khiển web hấp dẫn với rất dễ dàng »

Câu trả lời hàng đầu: Khi tìm cách thay đổi tường lửa ASA của chúng tôi, chúng tôi đã nhìn vào Palo Alto’S cháy rừng. Nó hoạt động đặc biệt trong việc ngăn chặn phần mềm độc hại nâng cao và khai thác không ngày với trí thông minh thời gian thực. Tính năng hộp cát khác nhiều hơn »

Trong số 43 trong bảo vệ từ chối dịch vụ phân tán (DDO)

So sánh

Từ trung bình cho mỗi đánh giá

Trong số 30 in ATP (bảo vệ mối đe dọa nâng cao)

So sánh

Từ trung bình cho mỗi đánh giá

So sánh

So sánh 15% thời gian.

So sánh 11% thời gian.

So sánh 7% thời gian.

So sánh 7% thời gian.

So sánh 6% thời gian.

So sánh 23% thời gian.

So sánh 13% thời gian.

So sánh 10% thời gian.

So sánh 8% thời gian.

So sánh 2% thời gian.

Còn được biết là

Arbor Networks SP, Arbor Networks TMS, Arbor Cloud cho ENT

Tìm hiểu thêm

Arbor Networks, bộ phận bảo mật của NetScout, được điều khiển để bảo vệ cơ sở hạ tầng và hệ sinh thái của Internet. Đó là nguyên tắc mà chúng tôi được thành lập vào năm 2000; và vẫn là chủ đề chung chạy qua tất cả những gì chúng ta làm hôm nay. Cây thông’Cách tiếp cận S bắt nguồn từ nghiên cứu lưu lượng mạng. Cây thông’S Suite về khả năng hiển thị, bảo vệ DDOS và các giải pháp đe dọa nâng cao cung cấp cho khách hàng một cái nhìn vi mô về mạng lưới của họ được tăng cường bởi một cái nhìn vĩ mô về lưu lượng truy cập internet toàn cầu và các mối đe dọa mới nổi thông qua cơ sở hạ tầng Atlas của chúng tôi. Có nguồn gốc từ hơn 300 khách hàng của nhà cung cấp dịch vụ, Atlas cung cấp trí thông minh dựa trên cái nhìn sâu sắc về khoảng 1/3 lưu lượng truy cập internet toàn cầu. Được hỗ trợ bởi Arbor’S Đội Kỹ thuật & Phản hồi bảo mật (ASERT), Quy trình công việc thông minh và bối cảnh người dùng phong phú, Arbor’Những hiểu biết về mạng S giúp khách hàng nhìn, hiểu và giải quyết những thách thức bảo mật phức tạp và hậu quả nhất mà các tổ chức của họ phải đối mặt.

Với các DDO Arbor, bạn có thể tự động xác định và dừng tất cả các loại tấn công DDoS và các mối đe dọa mạng khác trước khi chúng tác động đến sự sẵn có của các dịch vụ quan trọng kinh doanh.

Arbor DDOS là sự kết hợp tự động thông minh giữa bảo vệ tấn công DDoS và tại chỗ, liên tục được hỗ trợ bởi trí thông minh và chuyên môn về mối đe dọa toàn cầu.

Các tính năng và lợi ích của Arbor DDOS:

• Bảo vệ DDOS toàn cầu: Arbor DDOS là một giải pháp tất cả trong một cung cấp bảo vệ DDOS toàn cầu, toàn cầu, được hỗ trợ bởi trí thông minh an ninh đẳng cấp thế giới cũng như các sản phẩm bảo vệ DDOS hàng đầu trong ngành.
• Các trung tâm chà trên toàn thế giới: Arbor DDOS cung cấp sự bảo vệ toàn diện khỏi các cuộc tấn công DDOS lớn nhất.
• Chỉ có đám mây và/hoặc bảo vệ lai: Giải pháp cung cấp sự linh hoạt để thiết kế bảo vệ DDoS toàn diện phù hợp với môi trường cụ thể của bạn. Nó có thể được triển khai dưới dạng một đám mây và/hoặc một sự kết hợp thông minh giữa bảo vệ DDoS trong đám mây và tại chỗ.
• Trí thông minh mối đe dọa toàn cầu: Bảo vệ Arbor DDOS liên tục được trang bị trí thông minh mối đe dọa toàn cầu mới nhất từ ​​Netscout’Đội phản ứng S.
• Phát hiện và giảm thiểu tấn công DDoS tự động: Các cuộc tấn công DDoS có thể được tự động phát hiện và chuyển đến các trung tâm chà toàn cầu trên đám mây để giảm thiểu.
• Dịch vụ được quản lý: Để quản lý và tối ưu hóa bảo vệ DDoS tại chỗ của bạn, bạn có thể dựa vào chuyên môn hàng đầu trong ngành của các mạng Arbor.
• Cách tiếp cận nhiều lớp: Là một phần của cách tiếp cận nhiều lớp để bảo vệ DDoS, Arbor Cloud cung cấp bảo vệ trong đám mây khỏi các cuộc tấn công DDOS cao cấp và cao. Đám mây arbor’S Dịch vụ cọ xát giao thông tự động hoặc theo yêu cầu bảo vệ chống lại các cuộc tấn công DDoS thể tích quá lớn để được giảm thiểu tại cơ sở.

Đánh giá từ người dùng thực:

Dưới đây là một số trong nhiều lý do tại sao người dùng PeerSpot đang cho Arbor DDoS 8 trên 10 xếp hạng:

“Chúng tôi sử dụng nó không chỉ để phát hiện và bảo vệ DDoS mà còn sử dụng nó để phân tích giao thông và lập kế hoạch năng lực. Chúng tôi cũng đã có thể mở rộng việc sử dụng nó cho các biện pháp bảo mật khác trong công ty của chúng tôi, phòng thủ tuyến đầu, không chỉ cho DDO, mà đối với bất kỳ loại phần mềm độc hại nào có thể được chọn. Nó cũng được sử dụng cho các cuộc tấn công bên ngoài, điều này đã giúp chúng tôi giảm thiểu những điều đó và giảm chi phí băng thông của chúng tôi.” – La Mã L, SR. Kỹ sư bảo mật tại Rackspace

“Chúng tôi đã thực hiện đăng ký đám mây Arbor, điều này thực sự hữu ích vì bạn đảm bảo bản thân cho bất cứ điều gì ngoài khả năng giảm thiểu hiện tại của bạn. Đây là một tính năng thực sự tốt của arbor có sẵn.” – Trợ lý Tổng Giám đốc tại Nhà cung cấp dịch vụ Comms

“Nó đang giảm thiểu hoàn toàn các cuộc tấn công. Chúng tôi đã xử lý những người khác mà chúng tôi không nhất thiết phải thấy điều đó. Phát hiện rất tốt. Nó cũng rất đơn giản để sử dụng. Arbor là một khung kính duy nhất, trong khi với các giải pháp khác, bạn có thể có một khung thủy tinh phát hiện và sau đó phải đi đến một giao diện riêng biệt để đối phó với việc giảm thiểu. Khung kính đơn đó làm cho nó đơn giản hơn nhiều.” – Erik n., Quản lý sản phẩm, Dịch vụ bảo mật MSX tại TPX Communications

Palo Alto Networks Wildfire là một giải pháp bảo vệ mối đe dọa tiên tiến dựa trên đám mây hiệu quả cao (ATP) mà các tổ chức trong nhiều lĩnh vực tin cậy để giúp họ giữ an toàn khỏi các mối đe dọa kỹ thuật số. Nó được thiết kế để cho phép các doanh nghiệp đối mặt với ngay cả những mối đe dọa lảng tránh nhất và giải quyết chúng. Nó kết hợp nhiều kỹ thuật để tối đa hóa mức độ bảo vệ đe dọa có sẵn cho người dùng.

Palo Alto Networks Lợi ích cháy rừng

Một số cách mà các tổ chức có thể hưởng lợi bằng cách chọn triển khai cháy rừng bao gồm:

Chủ động phòng chống mối đe dọa thời gian thực. Các tổ chức sử dụng Wildfire có thể thực hiện một cách tiếp cận chủ động đối với bảo mật mạng của họ. Lửa cháy rừng’Phần mềm quét bảo mật S được hỗ trợ bởi tự động hóa mạnh mẽ cho phép nó chạy nhanh hơn 180 lần so với các giải pháp tương tự khác. Nó cũng tận dụng việc học máy phát hiện và giải quyết phần mềm độc hại nhiều hơn hai lần so với các đối thủ cạnh tranh. Người dùng có thể giải quyết các vấn đề khi chúng phát sinh, điều này ngăn họ bị tổn hại nghiêm trọng.

Một cách tiếp cận toàn diện để bảo mật. Wildfire tận dụng nhiều tính năng và đặc điểm bảo mật có thể được tìm thấy trong một số giải pháp bảo mật hiệu quả nhất theo cách cung cấp cho người dùng một tấm chăn bảo vệ mạnh mẽ. Nó kết hợp những thứ như học máy, phân tích năng động và tĩnh và môi trường phân tích được xây dựng tùy chỉnh và cho phép người dùng bao gồm nhiều con đường tấn công tiềm năng khác nhau. Theo cách này, các tổ chức có thể dễ dàng phát hiện và ngăn chặn ngay cả những mối đe dọa tinh vi nhất gây hại cho họ.

Giảm chi phí chi phí. Sử dụng Wildfire cắt giảm các chi phí mà một doanh nghiệp phải chịu. Kiến trúc của nó dựa trên đám mây và kết quả là người dùng không phải mua phần cứng để chạy nó. Ngoài ra, những người dùng đó không phải trả bất cứ thứ gì ngoài phí đăng ký sản phẩm. Họ có thể mở rộng quy mô nó như họ muốn và không có chi phí bổ sung.

Palo Alto Networks Tính năng cháy rừng

Một số trong nhiều tính năng cung cấp Wildfire bao gồm:

Tích hợp của bên thứ ba. Wildfire cho phép người dùng truy cập vào các tích hợp có thể cho phép họ kết hợp cháy rừng’S Security Suite với các công cụ bên ngoài. Nếu một tổ chức nghĩ rằng họ đang thiếu một cái gì đó, họ có thể dễ dàng sử dụng cháy rừng’Các tích hợp của bên thứ ba để củng cố khả năng của họ. Các tích hợp này có thể kết nối với nhiều loại công cụ khác nhau, như thông tin bảo mật hoặc hệ thống quản lý sự kiện.

Lọc URL. Các tổ chức có thể sử dụng tính năng lọc URL để bảo vệ bản thân trước các mối đe dọa đã biết. Khi tính năng này hoạt động, nó sẽ quét lưu lượng truy cập đến từ các URL cụ thể được biết là độc hại. Điều này khiến họ đi trước một bước so với những mối đe dọa mà họ biết về.

Phân tích sâu. Wildfire đi kèm với khả năng cung cấp cho người dùng phân tích chi tiết về bất kỳ mối đe dọa nào mà nó tìm thấy trên tất cả các môi trường mạng của họ. Nó cung cấp cho người dùng cái nhìn sâu sắc về mọi thứ, từ bản chất của họ đến các hành động mà họ đã thực hiện.

Đánh giá từ người dùng thực

Wildfire là một giải pháp nổi bật khi so sánh với các đối thủ cạnh tranh chính của nó. Hai lợi thế chính mà nó mang lại là tốc độ cao mà nó có thể phân tích lưu lượng mạng cho các mối đe dọa và độ chính xác mà nó có thể chọn ra các mối đe dọa chính hãng từ các dương tính giả.

Ahmad z., Chuyên gia tư vấn chính tại Securelytics, viết, “Phân tích rất nhanh. Không liên tục là một phần nghìn giây và có thời gian phản hồi nhanh chóng.”

Christopher b., Quản trị viên hệ thống cao cấp tại một cơ quan chính phủ, cho biết, “Nó đưa ra đánh giá chính xác hơn về virus về việc nó có thực sự là virus, phần mềm độc hại hay dương tính giả. Chúng tôi có một số phần mềm kế thừa có thể bật lên như một thứ gì đó là phần mềm độc hại. Wildfire đi qua và kiểm tra nó, và sau đó nó trở lại và cho chúng tôi biết nếu đó là một dương tính giả. Thông thường, khi nó phát hiện ra rằng nó không phải là virus, nó cho chúng tôi biết rằng nó lành tính và nó có thể loại trừ nó khỏi bản quét đó, điều đó có nghĩa là tôi thậm chí không phải lo lắng về điều đó.”

Bảo vệ khỏi các cuộc tấn công DDoS của DOS và thể tích

Triệu chứng
Các cuộc tấn công lũ lụt mạng có thể áp đảo các thành phần CPU hoặc bộ nhớ, điều khiển tường lửa hoặc máy chủ phía sau nó để dừng lại.

Môi trường
Pan-os> = 7.1

Gây ra
Lũ mạng

Nghị quyết
Bước đầu tiên để hiểu làm thế nào để bảo vệ chống lại một cuộc tấn công DOS là xác định những đặc điểm của nó.

Theo số nguồn tấn công:

• Các cuộc tấn công của DDoS: Cuộc tấn công là đa nguồn (phân phối).
• Các cuộc tấn công của DOS: Cuộc tấn công có nguồn gốc một nguồn.

Bằng cách lưu lượng truy cập được xử lý bởi tường lửa:

• Đường dẫn chậm: Các gói tấn công dẫn đến việc tạo ra các phiên mới. Điều này có nghĩa là các gói đi theo đường dẫn chậm, trong đó mỗi gói cần chạy tra cứu chính sách và cài đặt phiên.
• Đường dẫn nhanh: Các gói tấn công chỉ tạo một phiên và các gói liên tiếp tiếp tục khớp với phiên duy nhất đó. Điều này có nghĩa là gói đi theo đường dẫn nhanh, nơi không cần đánh giá đối sánh chính sách.

Bởi những gì đang bị tấn công:

• Bị ràng buộc trên máy chủ: Mục tiêu của cuộc tấn công là một địa chỉ IP thuộc sở hữu của tường lửa
• Máy chủ phía sau tường lửa: Mục tiêu của cuộc tấn công là địa chỉ IP thuộc sở hữu của một thiết bị phía sau tường lửa.

Những gì bảo vệ nên được sử dụng

Các cuộc tấn công DDoS thể tích

Tường lửa Palo Alto Networks không được định vị để bảo vệ chống lại các cuộc tấn công DDoS thể tích, tuy nhiên, bảo vệ khu vực có thể giúp bảo vệ tài nguyên tường lửa.

Các chính sách của DOS theo dõi tỷ lệ kết nối trên mỗi giây theo nguồn-IP và trong các cuộc tấn công phân tán, các nguồn rất nhiều.

Với bảo vệ vùng, toàn bộ tỷ lệ kết nối trên mỗi thứ hai đến các giao diện trong vùng có thể được tổng hợp bất kể nguồn gốc của Source-IP và vùng Internet có thể bị hy sinh để tiếp tục cho phép lưu lượng giữa các vùng tường lửa khác. Bảo vệ khu vực sẽ đóng cửa giao thức đang được tận dụng cho cuộc tấn công, có nghĩa là mạng DDOS lũ của kẻ tấn công sẽ thành công trong việc đưa ra kết nối Internet.

Cho rằng bảo vệ khu vực sẽ đưa giao thức được sử dụng bởi các gói, điều này có nghĩa là nếu cuộc tấn công dựa trên ICMP, thì bảo vệ khu vực có thể giúp giảm bớt các cuộc tấn công DDoS ICMP, đồng thời tiếp tục cho phép TCP, UDP và lưu lượng truy cập khác từ Internet.

Lý do tại sao bảo vệ vùng không nên được sử dụng để bảo vệ các máy chủ phía sau tường lửa là vì nó chỉ đơn giản là hạ thấp ngưỡng thành công của cuộc tấn công-nó sẽ gây ra sự từ chối dịch vụ ở tốc độ kết nối thấp hơn so với máy chủ ứng dụng có thể làm trắng, vì vậy nó sẽ giúp kẻ tấn công đạt được mục tiêu của họ với nỗ lực thấp hơn với nỗ lực thấp hơn.

Để bảo vệ đúng chống lại các cuộc tấn công DDoS thể tích, nên sử dụng một thiết bị DDoS chuyên dụng. Thay vào đó, phần lớn ISP sẽ cung cấp bảo vệ DDoS tùy chọn. Kiểm tra với ISP của bạn nếu đó là một dịch vụ họ cung cấp.

Trong một cuộc tấn công đang hoạt động, có thể ước tính tỷ lệ kết nối trên mỗi giây bằng cách truy vấn một giây nhật ký lưu lượng truy cập và đếm số lượng mục nhập. Kỹ thuật này cũng có thể được sử dụng để xác định xem cuộc tấn công là đa hay có nguồn gốc.

Slow Path dos tấn công vào tường lửa

Để bảo vệ tài nguyên tường lửa khỏi cuộc tấn công DOS Path Slow, hãy sử dụng bảo vệ khu vực – Bảo vệ lũ lụt.

Tường lửa Palo Alto Networks có thể theo dõi các tỷ lệ kết nối trên mỗi giây để thực hiện các lần loại bỏ thông qua Drop sớm ngẫu nhiên (màu đỏ) hoặc cookie đồng bộ (nếu cuộc tấn công là một trận lụt SYN).

Syn Cookies là một kỹ thuật sẽ giúp đánh giá nếu gói Syn nhận được là hợp pháp, hoặc một phần của lũ lụt mạng. Tường lửa sẽ loại bỏ gói Syn, mã hóa nó thành số thứ tự ban đầu trong một syn-ack được chế tạo và chỉ xây dựng lại cái bắt tay ba chiều nếu nhận được ACK hợp lệ từ nguồn.

Bảo vệ khu vực-Trình theo dõi lũ lụt kết nối trên mỗi giây đến một khu vực. Nó tổng hợp tất cả các tỷ lệ kết nối trên mỗi giây (cho mỗi giao thức) xuất hiện trên tất cả các giao diện được gắn với vùng được bảo vệ. Bảo vệ khu vực không áp dụng cho các gói phù hợp với phiên hoạt động. Mục đích của sự bảo vệ này là để bảo vệ tài nguyên tường lửa. Ý tưởng là ‘hy sinh’ một khu vực để các khu vực khác trong tường lửa có thể tiếp tục trao đổi lưu lượng, mặc dù nếu cuộc tấn công DDos đến từ Internet, dịch vụ Internet có thể bị ảnh hưởng trong thời gian tấn công (nếu bạn đang cố gắng bảo vệ. Điều quan trọng cần lưu ý là một trong những lợi thế tiềm năng của bảo vệ khu vực đối với giảm thiểu DDoS, là việc tắt giao thông xảy ra trên mỗi giao thức. .

Bất cứ khi nào một bảo vệ mạng bảo vệ khu vực được kích hoạt, nguồn của cuộc tấn công không được ghi vào nhật ký (không có một nguồn nào). Thuộc tính trong các cuộc tấn công DOS thường không hữu ích, vì những kẻ tấn công thường sẽ giả mạo địa chỉ nguồn.

Các mục nhật ký mối đe dọa bảo vệ khu vực sẽ chỉ ra “từ vùng” và “đến vùng” và cả hai sẽ là cùng một vùng (biểu thị vùng xâm nhập của lũ lụt). Tên “quy tắc” sẽ trống.

Lưu ý: Không bao giờ sử dụng các giá trị ngưỡng mặc định để cảnh báo, kích hoạt và tối đa vì điều này có thể dẫn đến việc ngừng hoạt động tự gây ra (cài đặt được đặt quá thấp sẽ dẫn đến việc loại bỏ lưu lượng hợp pháp). Tìm các giá trị phù hợp không phải là một nhiệm vụ tầm thường cũng như hành động đã thiết lập và quyết định và sẽ yêu cầu thử nghiệm và lỗi bằng cách đặt các giá trị kích hoạt và tối đa thành cài đặt cao nhất và tận dụng tốc độ cảnh báo để đánh giá các đỉnh lưu lượng hợp pháp tối đa. Có thể có các sự kiện mạng đặc biệt hoặc theo mùa như bán hàng kỳ nghỉ, sao lưu mạng hoặc những thứ tương tự sẽ đẩy lưu lượng truy cập hợp pháp cao hơn, vì vậy các giá trị này sẽ giải thích cho sự tăng trưởng lưu lượng mạng trong tương lai và tăng đột biến hợp pháp.

Đường dẫn chậm tấn công chống lại các tài nguyên phía sau tường lửa

Để bảo vệ các nguồn lực đằng sau tường lửa khỏi cuộc tấn công chậm DOS, hãy sử dụng các chính sách của DOS – Bảo vệ lũ lụt.

Chính sách DOS: Tổng hợp
Theo dõi tỷ lệ kết nối trên mỗi giây phù hợp với chính sách DOS. Nó tổng hợp tất cả các tỷ lệ kết nối trên mỗi giây phù hợp với chính sách DOS. Mục đích của sự bảo vệ này là cung cấp một phòng thủ toàn cầu hơn cho các dịch vụ được lưu trữ * phía sau * tường lửa.

Bất cứ khi nào chính sách DOS: Bảo vệ tổng hợp được kích hoạt, nguồn của cuộc tấn công không được ghi vào nhật ký (không có một nguồn nào).

Tổng hợp các chính sách DOS Các mục nhật ký mối đe dọa không cho biết “từ vùng” và “đến vùng” và thay vào đó sẽ chỉ ra tên “quy tắc” chính sách DOS.

Chính sách DOS: Phân loại – Theo dõi theo nguồn

Theo dõi tỷ lệ kết nối trên mỗi giây phù hợp với chính sách DOS. Nó tổng hợp tất cả các tốc độ kết nối trên mỗi giây khớp với lưu lượng truy cập trên mỗi nguồn IP với bất kỳ IP đích nào. Mục đích của sự bảo vệ này là cung cấp một phòng thủ chi tiết hơn.

Bất cứ khi nào một chính sách DOS: Bảo vệ phân loại được kích hoạt, nguồn của cuộc tấn công được ghi vào nhật ký. Hãy ghi nhớ sự phân bổ là không thể vì nguồn thường bị giả mạo, tuy nhiên bạn có thể tận dụng IP nguồn để PBF lưu lượng truy cập để loại bỏ hoặc chuyển nó sang chính sách DOS tích cực hơn.

Chính sách DOS: Phân loại-Theo dõi theo nguồn và điểm.

Theo dõi tỷ lệ kết nối trên mỗi giây phù hợp với chính sách DOS. Nó tập hợp tất cả các mức kết nối trên mỗi giây phù hợp với lưu lượng truy cập trên mỗi nguồn IP với IP đích cụ thể. Mục đích của sự bảo vệ này là cung cấp phòng thủ chi tiết nhất.

Bất cứ khi nào một chính sách DOS: Bảo vệ phân loại được kích hoạt, nguồn của cuộc tấn công được ghi vào nhật ký. Hãy ghi nhớ sự phân bổ là không thể vì nguồn thường bị giả mạo, tuy nhiên bạn có thể tận dụng IP nguồn để PBF lưu lượng truy cập để loại bỏ, chuyển nó sang chính sách DOS tích cực hơn.

Trong một cuộc tấn công DOS đang hoạt động, bạn có thể định cấu hình chính sách được phân loại DOS để phát hiện phạm vi vi phạm IP của Nguồn và chuyển thủ công những kẻ tấn công sang một chính sách hạn chế hơn. Trong một cuộc tấn công DDoS, điều này thường không hiệu quả vì nguồn tấn công có thể đến từ hàng trăm nguồn.

Đường dẫn nhanh dos tấn công

Để bảo vệ tài nguyên tường lửa khỏi cuộc tấn công DOS PATH FAST, hãy sử dụng bảo vệ bộ đệm gói.

Trong các đường dẫn nhanh tấn công, tốc độ kết nối trên mỗi giây gần với 0, bởi vì các gói liên tiếp khớp với kết nối hoạt động và nó không triển khai các phiên mới., Do đó, các biện pháp bảo vệ dựa trên ngưỡng kết nối trên mỗi giây không áp dụng.

Nếu đó là một cuộc tấn công đường dẫn nhanh có nguồn gốc, bạn sẽ thấy một phiên duy nhất với số lượng byte khá lớn. Chỉ cần nhớ rằng các mục nhật ký lưu lượng truy cập được viết khi phiên kết thúc, vì vậy nếu cuộc tấn công đang hoạt động, nó có thể không hiển thị trong nhật ký lưu lượng cho đến khi phiên kết thúc. Bạn có thể xóa tất cả các phiên (với khách hàng’S Quyền) Để buộc nó kết thúc và viết các mục nhật ký. Một số phiên tồn tại lâu dài cũng có thể cho bạn ấn tượng sai rằng có rất nhiều byte được chuyển qua một phiên xóa và nó có thể được suy ra là liên quan đến cuộc tấn công, vì vậy hãy chú ý đến dấu thời gian bắt đầu trong phiên (có thể thêm ngày bắt đầu làm bộ lọc truy vấn bổ sung).

Nếu có sự cạn kiệt bộ đệm gói, bạn có thể triển khai PBP để bảo vệ tường lửa nếu cuộc tấn công đang tận dụng một hoặc rất ít phiên cho phép tấn công

Một số loại lưu lượng có thể xả các mô tả gói trước khi bộ đệm gói và trong trường hợp đó, nếu tường lửa chạy pan-os> = 10.0 Bạn có thể thay đổi chế độ PBP để tận dụng độ trễ của gói thay vì sử dụng bộ đệm gói, điều này có thể dẫn đến giảm thiểu hiệu quả hơn.