隨著COVID-19的大流行，許多IT企業(yè)發(fā)現(xiàn)，由于多數(shù)員工選擇（或被強制）在家工作，他們自己不得不倉促地應對VPN流量的突然激增。遺憾的是，這也為惡意攻擊者通過對企業(yè)VPN基礎架構本身發(fā)起各類攻擊來破壞目標提供了絕佳機會。

　　多數(shù)企業(yè)采用的是陳舊過時的遠程VPN應用和運行在星型連接架構中的集線器。這是因為VPN一直被視為IT基礎架構中“填補空白”的部分，適合出差的員工或在非工作時間訪問公司資源的人使用。預計通過VPN訪問的流量只占IT總流量的一小部分。

　　事實上，Radware在制藥行業(yè)的一個重要客戶已經(jīng)為應對當前這種情況做好了準備。他們預料到了多數(shù)員工不得不在家辦公這種情況，并圍繞這一設想設計了DDoS防御措施。不僅如此，他們還雇傭了外部的DDoS測試公司攻擊VPN基礎架構，衡量不同組件的彈性。

　　以下就是他們在對VPN基礎架構的DDoS攻擊中得到的經(jīng)驗教訓。

　　即使是低容量攻擊，也可以輕易耗盡VPN集線器和防火墻中的資源。

　　即使攻擊容量低至1 Mbps，經(jīng)過優(yōu)化的TCP混合攻擊依然能夠讓網(wǎng)絡防火墻處于無法處理更多新連接的狀態(tài)，在這些攻擊中，攻擊者可以發(fā)送少量帶有SYN標志的TCP數(shù)據(jù)包、另一批次的帶有ACK標志的TCP數(shù)據(jù)包、另一組URG數(shù)據(jù)包等。由于沒有觸發(fā)容量閾值，因此多數(shù)DDoS防御措施也不會被觸發(fā)。

　　為了防御這類攻擊，企業(yè)需要調整主機、防火墻和DDoS策略。許多網(wǎng)絡防火墻都有“SYN防御”或“初始連接”功能，可以防御SYN洪水。針對DDoS策略，可以采用能夠進行失靈數(shù)據(jù)包檢測和預防功能。

　　遭受到攻擊時，與基于云的DDoS服務相比，本地DDoS緩解設備通常有更多的優(yōu)化選項，因為這些策略完全由客戶控制，不會與云中的其他客戶共享。最后，如果企業(yè)采用了速率限制，最好設置與期望的VPN連接數(shù)相匹配的閾值；許多緩解設備也都會有一些不適合VPN應用的缺省參數(shù)。

　　SSL VPN很容易遭受SSL洪水攻擊，Web服務器也一樣。

　　其中兩個DDoS測試就是SSL洪水攻擊的變體。第一個攻擊是高容量的SSL連接洪水。此攻擊會嘗試利用高容量的SSL握手請求來耗盡服務器資源。

　　為了防御這種攻擊，就必須仔細監(jiān)控防火墻、VPN集線器和負載均衡器等狀態(tài)設備的TCP會話和狀態(tài)。此外，創(chuàng)建基線并設置針對此基線的預警將有助于在實際攻擊中排除故障。

　　針對防火墻，可以采用“并發(fā)連接限制”之類的功能，減少沒有任何數(shù)據(jù)包連接時的會話超時。針對DDoS策略，可以從給定的源IP地址并發(fā)建立數(shù)量有限的連接。此外，減少會話超時來釋放防火墻中的連接表。

　　最后，Radware提供了兩個有助于解決本地和云端SSL洪水的專利防御機制：DefenseSSL可以利用行為分析識別可疑流量，隨后激活盒裝式SSL模塊進行解密。通過一系列僅用于可疑流量的質詢響應機制，可以識別并緩解攻擊。如果客戶通過了所有質詢，就允許后續(xù)的HTTPS請求直接到達受保護服務器，從而在客戶端和受保護服務器之間創(chuàng)建新的TLS/SSL會話。

　　這一獨特的部署模型使得解決方案可以實現(xiàn)和平時期的零延遲，并在遭到攻擊時將延遲降到最低——僅限于每個客戶端的第一個HTTPS會話。針對無法使用證書解密的情況，可以采用行為SSL保護。這可以在不解密SSL連接的情況下防御SSL洪水。

　　第二個SSL攻擊是SSL重新協(xié)商洪水。SSL/TLS重新協(xié)商攻擊利用了在服務器端協(xié)商安全TLS連接所需的處理能力。它向服務器發(fā)送虛假數(shù)據(jù)，或不斷請求重新協(xié)商TLS連接，超出服務器極限之后就會耗盡服務器資源。

　　為了防御這種攻擊，請禁用服務器上的SSL重新協(xié)商。還應該禁用弱密碼套件。另一個選擇就是采用SSL卸載，利用高容量的外部負載均衡器釋放防火墻或VPN集線器資源。Radware可以在本地和基于云的部署中防御這類攻擊。

　　VPN很容易遭受UDP洪水攻擊。

　　其中兩個攻擊場景都包括UDP洪水。一個是隨機UDP洪水，第二個是IKE洪水。IKE可以用在IPSec VPN中，用于身份驗證和加密。

　　由于UDP端口數(shù)是隨機的，可以采用基于行為的DDoS防御機制，如Radware的BDoS，能夠利用實時特征碼生成檢測UDP洪水。

　　必須進行監(jiān)控和預警。

　　緩解多個攻擊需要對DDoS策略、網(wǎng)絡防火墻和VPN集線器的實時可見性并調整調整其參數(shù)。為了準確調整閾值，就必須全面了解企業(yè)正常的VPN流量，包括容量（以Mbps或Gbps計）和預期的正常連接數(shù)。利用SIEM可以更容易監(jiān)控不同設備上的連接。此外，如果了解正常基線，減少會話超時和速率限制等實時措施是最好的。

　　雖然上述經(jīng)驗教訓來自于一個可控的DDoS測試，但測試中使用的多個攻擊矢量都與人們可以預期的來自惡意實體的攻擊矢量類似。當企業(yè)爭相增加VPN容量來支持越來越多的遠程員工時，切記不要忘記部署DDoS防護措施。

　　確保企業(yè)安然無恙——希望企業(yè)在安全加密鏈路的另一端也變得更強大。