现在有很多防御或缓解DDoS攻击的服务,但是如何第一时间发现网站被D仍然是个难题。这里我们罗列四个帮助识别DDoS攻击的监测工具和方法。
工具一:内部服务器、网络和基础设施监控
公司有很多监控软件和应用程序可以选择,但是最受欢迎的非Nagios莫属。它能够帮助你监控内部基础设施与应用程序、服务器、操作系统、网络协议、系统度量和网络基础设施等在内的全部内容。
举个例子,监控软件通过检查HTTP服务器来确保网站或者Web服务器的正常运行,如果服务器不能正常运作,大部分的软件会出现实时通知。
大多数的DDoS攻击目标是一个Web服务器或者应用程序端,监控软件可能会发现HTTP服务器速度变慢、CPU高负荷利用或者彻底奔溃的问题,但是这些情况并不能100%确定是遭到了DDoS攻击,这一切还将取决于IT管理员对异常状态的判断。
工具二:外部性能监控
IT管理员可以使用一个外部性能监控解决方案来评估一个潜在发生的DDoS攻击。和安装于用户网络内部的工具不同,外部性能监控解决方案通常由第三方提供,并且影响世界各地的监控地点。
外部监控一般包括以下几个监控方案:
1、使用虚拟浏览器检查网站或者应用程序正常运行的时间及性能 2、使用真实浏览器检查网站或者应用程序的降级性能、错误和服务 3、监控如DNS、FTP和电子邮件的等的网络服务
外部第三方监控解决方案对DDoS来说是很有意义的。这一类型解决方案的目标是持续监控网站、服务器或者应用程序端,当发生机器故障、反应缓慢以及其他的问题,这些都是DDoS攻击的预兆。不过外部解决方案能告诉IT管理员机器性能降低或者彻底崩溃了,但是仍然不能确定原因。
第三方监测的目的是为了保护互联网服务器供应商、托管公司及服务器的正常运作,缓慢的响应时间和机器的中断都表明一个供应商或者服务器被破坏。
在启用DDoS保护服务之前,我们需要做的最重要的就是认真记录所有来自第三方的监控数据。
工具三:Netflow或者Peakflow流量分析
Cisco公司开发的Netlow是另一个监控DDoS的不错选择,其主要用于收集IP流量信息并逐步成为行业标杆,支持多个平台并得到广泛的应用。
Cisco将Netlow定义为一个数据序列包,数据中各字段的含义如下:
源地址|目的地址|源自治域|目的自治域|流入接口号|流出接口号|源端口|目的端口|协议类型|包数量|字节数|流数量
一些防DDoS服务商可以从你的Netflow数据中发现攻击。举个例子, 我们可以通过一段时间内统计的网络数据来定义一个正常状态,也就是建立基线。一旦受到不良因素影响,流量数据就会出现异常高或者低的情况。
我们可以以报警为目的建立低、中、高的阈值。一旦超过阈值,用户就能收到电子邮件、电话或者其他方式的报警。
但这种方案也存在缺陷,比如你根本无法导出Newlow数据,因为这通常要求你拥有或者租赁自己的路由器。
工具四:前置监测
最后一个捕捉DDoS的监控方案涉及到在网络或者数据中心内部安装DDoS监测设备。一些防DDoS服务商提供了这样的解决方案——本地监测和防护设备处理在可用带宽内的DDoS攻击,如果攻击超过带宽,就切换到云防护。
与我们谈论的其他监控选择相比,这种方案肯定是最贵的。所以价格也是我们要考虑的重要因素。
结论
DDoS攻击问题日益严重,几乎所有公司一直努力在做防D保护,而他们现在面临的问题是“那我们如何知道我们受到攻击了呢?”世界上没有完美的解决方案,你需要做的就是根据你的基建、预算以及任何细节找到对业务来说是最佳的选择。
<点击“阅读原文”查看完整报告>
* 参考来源:报告原文,转载请注明来自FreeBuf黑客与极客(FreeBuf.CON)