DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > 高防服务器 > 正文

ddos清洗_ddos盾眼_秒解封

ddos清洗_ddos盾眼_秒解封

这个博客最初出现在网站上,免费的ddos防御,Managed Sentinel-现在是一家BlueVoyant公司。 云计算正在兴起,或者人们更愿意说,云计算作为IT资源随需应变的可扩展性和弹性的灵丹妙药已经出现很久了,世界各地的组织正在以前所未有的速度利用它。这种可扩展性是有代价的,如果云资源管理不当,可能会导致巨大的成本,从而严重影响业务功能以及在云中部署资源的原因。可靠的DevOps设计/架构以及一致的实施可以优化云资源的使用。然而,有些因素不在组织的控制范围内,EDoS或经济拒绝可持续性攻击成为现实。云服务的成本通常是由使用情况决定的,人为地保持资源繁忙是导致服务无利可图或运行成本过高的一种非常有效的方法。 基于云的SIEM正在成为一个新的现实,传统供应商将其现有的on-prem解决方案和原生的、在云环境中诞生的产品(如azuresentinel)正在席卷SIEM市场。除了一些例外,此类SIEM解决方案的定价模型基于每天/每月接收的日志数据量。从供应商的角度来看,这非常有意义,因为他们必须处理日志数据的接收、存储和处理。客户还可以通过不断优化日志数据摄取来利用此模型,以便在日志数据摄取和这些日志的潜在价值之间实现完美平衡(从网络威胁可见性的角度)。 在过去的几个月里,我们遇到了一些情况,我们的一些Azure Sentinel客户受到了EDoS攻击,我们部署了缓解控制,以尽量减少其影响。在所有这些情况下,情况都是一样的:恶意参与者从大量远程主机启动对客户公共IP地址的广泛扫描扫描击中客户的防火墙,在防火墙日志中触发大量拒绝防火墙日志被发送到Azure Sentinel SIEM,导致日志卷摄取量大幅增加客户的Azure使用账单显著增加 最近的一次是在10月8日检测到的,我们发现了4个子网,ddos防御配置,在24小时内导致大量拒绝消息: 对AbuseIPDb的快速检查清楚地表明,这一攻击影响了广泛的组织:在这些拒绝日志后面加上一些成本数字,一个日志条目(对于这种特定类型的防火墙)的成本大约为0.000004美元,cc防御盾,这似乎可以忽略不计,但是如果将它们加起来进行30天的持续攻击,则日志摄取成本最终会增加约2000美元。对于一个非常大的组织来说,这可能不是一个问题,但对于中小型企业来说,这不是一个不容忽视的数字。您可以通过拒绝日志条目的数量在Sentinel中快速可视化:或者按日志的数量(直接以美元表示):一个典型的组织几乎无法控制远程攻击者可以做什么,那么有什么选择可以减轻这种攻击的后果?根据我们的Azure Sentinel实践(尽管这适用于任何类型的SIEM,无论是在本地还是在云端),我们建议如下:优化日志摄取-了解每种类型的日志条目带来的价值,如果它不是可操作的,则评估在日志摄取/许可上花费的美元是否值得从这些日志条目中获取的信息。在这种情况下,您从记录外部主机拒绝的日志条目中获得了多少价值?在Sentinel实现过程中,我们与客户一起针对每种类型的日志源进行此练习。持续监控日志量,部署警报以识别日志量和云成本中的异常值。在Azure Sentinel中,Kusto查询语言(KQL)提供了对异常检测的内置支持,允许我们部署多个警报来检测数据集中的异常值,例如防火墙拒绝、入站/出站流量、网站错误数、登录次数、日志摄取成本的增加,这种探测的唯一限制是可用于建立基线的数据的可用性。设计一个过程来最小化此类攻击的影响-在这种情况下,可以创建一个防火墙规则来阻止这些子网,而不必为它们创建日志条目,或者将这些日志发送到一个廉价的临时日志收集器(即,ddos防御经验,一个基本的syslog服务器,带有一些存储以在需要时收集数据)。理想情况下,实现SOAR来检测这种情况,并自动配置防火墙规则来应用建议3。(只要防火墙支持自动化或可动态更新的规则,ddos云服务器的防御,如Palo Alto EDLs,Sentinel就可以做到这一点)。对每日日志摄取量设置上限。这是有争议的,因为它可能会导致一些日志数据被丢弃,但它可能会被预算非常紧张的组织使用。每天的上限可能会高出几个数量级,所以只有在极端情况下才会停止伐木。理论上讲,基于云的SIEM(取决于云后端的稳固程度)只会受到成本增加的影响,而内部部署的SIEM最终可能需要增加许可(可能是基于EPS或GB/天)和性能的影响,这需要进一步分析。 来自Azure Sentinel的警报示例:日志摄取成本增加异常检测:CommonSecurityLog(使用公共事件格式存储日志项的Sentinel表)中异常检测的日志条目数:这种探测还可以防止内部异常日志源。在一个实例中,一个配置错误的网络设备在被防火墙阻止的同时,试图针对基于Internet的AAA服务器进行身份验证,从而导致日志量大幅增加。这种类型的事件通常不会受到严格审查(从安全角度看,价值很低——它们是操作问题),因此它们可以长期处于监视之下。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos/69631.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 9215701访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X