DDoS代表分布式拒絕服務。因為它可能產(chǎn)生的巨大破壞性,對企業(yè)和組織構(gòu)成了嚴重威脅。
DDoS攻擊能做什么?
可使用看起來有效但不存在或充斥數(shù)據(jù)的網(wǎng)站的請求轟炸網(wǎng)站和土耳其服務器。DDoS攻擊集中并自動嘗試使目標網(wǎng)絡超載,其中包含大量無用的請求。黑客通過以非??焖俚叵蚰繕擞嬎銠C系統(tǒng)發(fā)送一系列數(shù)據(jù)包來實現(xiàn)這一目標,直到它開始滯后或完全使對方宕機。
什么情況下會有人發(fā)起DDoS攻擊?
DDoS攻擊發(fā)起的原因有多種。長期以來,在線游戲行業(yè)一直是DDoS攻擊的受害者。還有DDoS用于租用服務,攻擊競爭對手的網(wǎng)站以試圖降低它。當然也有其他的原因。
為什么發(fā)起DDoS攻擊?
網(wǎng)絡犯罪分子有時候會使用DDoS攻擊作為偽裝,以引起企業(yè)的注意力遠離更重要的安全漏洞。DDoS被用作"煙霧彈"以掩飾其針對另一個漏洞發(fā)起攻擊的目的。因此,在這樣的攻擊中,攻擊者會在目標上發(fā)起多種看似不同的攻擊。黑客已將其轉(zhuǎn)變?yōu)閺碗s的轉(zhuǎn)移攻擊,以掩蓋其他攻擊。
大多數(shù)情況下,處理大量數(shù)據(jù)的金融服務公司容易受到此類攻擊。最近,有人針對許多歐洲銀行的IT管理員進行了網(wǎng)絡釣魚攻擊。啟動惡意軟件以滲透銀行系統(tǒng)并竊取其登錄憑據(jù)。一旦犯罪分子訪問登錄詳細信息,他們就會對銀行發(fā)起DDoS攻擊并讓他們忙于處理DDoS攻擊。
這不是網(wǎng)絡犯罪分子發(fā)動DDoS攻擊的唯一方式。家庭路由器,IP攝像機和其他受惡意軟件感染的物聯(lián)網(wǎng)設備也可能被用于發(fā)起DDoS攻擊。攻擊者已開始對Android設備做同樣的事情。他們使用托管在Google Play和其他第三方應用商店中的惡意應用來實現(xiàn)此目的。
來自RiskIQ,Team Cymru,Cloudflare,Akamai和Flashpoint的安全團隊進行了聯(lián)合調(diào)查,發(fā)現(xiàn)一個由超過100個國家的100,000多個Android設備構(gòu)建的大型僵尸網(wǎng)絡。此次調(diào)查的起因是大量DDoS攻擊襲擊了一些內(nèi)容傳送網(wǎng)絡和提供商。特定的Android僵尸網(wǎng)絡(WireX)用于發(fā)送數(shù)以萬計的HTTP請求。這些請求看似來自合法的瀏覽器,但其實并不是。
通常,啟動此類攻擊的目的是使土耳其服務器充斥著虛假的流量并使用其可用的互聯(lián)網(wǎng)Android,RAM或CPU,以便他們無法再為用戶提供請求。它背后可能還有其他一些動機。由于受感染的應用程序在安裝期間請求設備管理員權(quán)限,因此即使這些應用程序本身未被主動使用或設備被鎖定,它們也允許它們啟動后臺服務并參與DDoS攻擊。
DDoS攻擊受害者是誰?
DDoS是大規(guī)模攻擊,他們的受害者大多是巨型企業(yè)組織,甚至是各州政府。但是,也有消費者級別的產(chǎn)品(潛伏在用戶設備內(nèi)),它可以很好地按照黑客設定好的去做一些其他的事情,但一般規(guī)模較小。間諜應用程序,包括Xnspy,TrackmyFone等,其中一些名稱可以與遠程類似移動黑客或移動間諜的一些東西產(chǎn)生共鳴。這些東西安裝在手機上時可以允許第三人遠程訪問存儲在設備上的所有內(nèi)容。它不能與DDoS攻擊相提并論,而是用于發(fā)起DDoS攻擊的惡意軟件。
DDoS攻擊的類型
下面列出了DoS和DDoS攻擊的主要形式:
基于Volume
基于Volume的攻擊涉及發(fā)送到目標系統(tǒng)的大量請求。系統(tǒng)將這些請求視為有效(欺騙數(shù)據(jù)包)或無效請求(格式錯誤的數(shù)據(jù)包)。黑客為了壓倒網(wǎng)絡容量而進行這種攻擊。
這些請求可以跨系統(tǒng)上的各種端口。黑客使用的方法之一是UDP放大攻擊,其中它們向第三方土耳其服務器發(fā)送數(shù)據(jù)請求,然后他們將服務器的IP地址偽裝成返回地址。然后,第三方服務器將大量數(shù)據(jù)發(fā)送到服務器作為響應。
這樣,黑客只需要調(diào)度請求,但是受害者的服務器會受到來自第三方服務器的放大數(shù)據(jù)的攻擊。在這種形式的攻擊中,這種形式的攻擊可能涉及數(shù)十,數(shù)百甚至數(shù)千個系統(tǒng)。
基于應用程序
在這種形式的攻擊中,黑客利用Web服務器軟件或應用程序軟件中的漏洞導致Web服務器掛起或崩潰。常見類型的基于應用程序的攻擊涉及將部分請求發(fā)送到服務器,用以嘗試使服務器的整個數(shù)據(jù)庫連接池忙,以便阻止合法請求。
基于協(xié)議
這些攻擊針對服務器或負載平衡器,這些服務器或負載平衡器利用系統(tǒng)用于彼此通信的方法。數(shù)據(jù)包可能被設計為使服務器在常規(guī)握手協(xié)議(如SYN泛洪)期間等待不存在的響應。
預防DDoS攻擊和緩解策略
購買更多帶寬
為防止DDoS攻擊并使您的基礎設施DDoS抵抗,您必須采取的第一步是確保您有足夠的帶寬來處理可能由于惡意活動而導致的流量高峰。
過去可以通過確保您擁有更多帶寬來避免DDoS攻擊,但隨著放大攻擊的出現(xiàn),這已不再實用。擁有更多帶寬實際上提高了攻擊者在啟動成功的DDoS攻擊之前必須克服的障礙。這是一種安全措施,但不是DDoS攻擊解決方案。
針對DDoS攻擊的網(wǎng)絡硬件配置
一些非常簡單的硬件配置更改可以幫助您防止DDoS攻擊。例如,如果您將路由器或防火墻配置為從網(wǎng)絡外部刪除DNS響應或丟棄傳入的ICMP數(shù)據(jù)包,這可以幫助您在一定程度上防止某些DNS和基于ping的容量攻擊。
保護DNS服務器
攻擊者可以通過攻擊您的DNS服務器來使您的網(wǎng)站和Web服務器脫機。因此,請確保您的DNS服務器具有冗余。DNS就像是互聯(lián)網(wǎng)的電話簿,它被用來匹配尋求具有正確IP地址的用戶的網(wǎng)站名稱,有超過3億個域名,使全球數(shù)百萬互聯(lián)網(wǎng)用戶保持聯(lián)系。沒有它,互聯(lián)網(wǎng)就無法真正發(fā)揮作用。這就是為什么它是攻擊者的關鍵目標。
對您的DNS基礎架構(gòu)的DDoS攻擊可能導致您的應用程序或網(wǎng)站完全無法訪問。因此,網(wǎng)絡運營商需要充分保護其DNS基礎設施,以保護其免受DDoS攻擊。
除此之外,如果您不想讓攻擊者成功地針對您的服務器成功發(fā)起DDoS攻擊,請將您的服務器分布在多個數(shù)據(jù)中心。您可以將這些數(shù)據(jù)中心設置在不同的國家/地區(qū),或至少在同一個國家/地區(qū)的不同地區(qū)。
如果您希望此策略效果更好,則必須將所有數(shù)據(jù)中心連接到不同的網(wǎng)絡,并且不存在網(wǎng)絡瓶頸或這些網(wǎng)絡上的單點故障。當您在地理位置和地理位置分布服務器時,攻擊者很難成功攻擊超過部分服務器。此外,它會使其他服務器不受影響,并使它們能夠承受受影響的服務器正常處理之外的一些額外流量。
透明緩解
黑客可能會啟動DDos以使您的使用者無法訪問您的網(wǎng)站。當您的站點受到攻擊時,您必須使用緩解技術(shù)使人們能夠繼續(xù)使用它而不會使其變的不可用,并且不會讓他們看到啟動屏幕和過時的緩存內(nèi)容。一旦黑客發(fā)現(xiàn)您沒有受到攻擊影響并且您的用戶仍然可以訪問該網(wǎng)站,他可能會停止攻擊。
Anti-DDoS硬件和軟件模塊
除了讓您的服務器受到網(wǎng)絡防火墻和其他專用Web應用程序防火墻的保護外,您還必須使用負載平衡器。您還可以將軟件模塊添加到另一個Web服務器軟件以進行DDoS預防。例如,Apache 2.2.15附帶了一個mod_reqtimeout,可以保護您免受像Slowloris這樣的應用程序?qū)庸?。它們通過發(fā)送部分請求來盡可能長時間地保持與Web服務器的連接,直到服務器無法接受任何新的連接請求為止。
您還可以使用帶有軟件保護的硬件模塊來抵御DDoS協(xié)議攻擊,例如SYN泛洪攻擊。這可以通過監(jiān)視存在多少不完整的連接來完成,然后您可以在數(shù)量達到可配置的閾值時刷新它們。
在DDoS攻擊期間該做什么?
為了確保您的網(wǎng)站或應用程序可以承受在短時間內(nèi)受到的攻擊,您必須制定積極的緩解策略。以下是您可以遵循的行動方案:
在單獨的信譽良好的主機提供商上擁有備份靜態(tài)"暫時不可用"網(wǎng)站。確保他們提供自己的DDoS緩解服務。
將您的商店DNS重定向到臨時站點,并與您的員工,利益相關者和合作伙伴一起確定如何處理易受攻擊的服務器。
以上文章來源于網(wǎng)絡,如有侵權(quán)請聯(lián)系創(chuàng)一網(wǎng)的客服處理。謝謝!