DDoS代表分布式拒絕服務(wù)。因?yàn)樗赡墚a(chǎn)生的巨大破壞性,對(duì)企業(yè)和組織構(gòu)成了嚴(yán)重威脅。
DDoS攻擊能做什么?
可使用看起來(lái)有效但不存在或充斥數(shù)據(jù)的網(wǎng)站的請(qǐng)求轟炸網(wǎng)站和云縣服務(wù)器。DDoS攻擊集中并自動(dòng)嘗試使目標(biāo)網(wǎng)絡(luò)超載,其中包含大量無(wú)用的請(qǐng)求。黑客通過以非??焖俚叵蚰繕?biāo)計(jì)算機(jī)系統(tǒng)發(fā)送一系列數(shù)據(jù)包來(lái)實(shí)現(xiàn)這一目標(biāo),直到它開始滯后或完全使對(duì)方宕機(jī)。
什么情況下會(huì)有人發(fā)起DDoS攻擊?
DDoS攻擊發(fā)起的原因有多種。長(zhǎng)期以來(lái),在線游戲行業(yè)一直是DDoS攻擊的受害者。還有DDoS用于租用服務(wù),攻擊競(jìng)爭(zhēng)對(duì)手的網(wǎng)站以試圖降低它。當(dāng)然也有其他的原因。
為什么發(fā)起DDoS攻擊?
網(wǎng)絡(luò)犯罪分子有時(shí)候會(huì)使用DDoS攻擊作為偽裝,以引起企業(yè)的注意力遠(yuǎn)離更重要的安全漏洞。DDoS被用作"煙霧彈"以掩飾其針對(duì)另一個(gè)漏洞發(fā)起攻擊的目的。因此,在這樣的攻擊中,攻擊者會(huì)在目標(biāo)上發(fā)起多種看似不同的攻擊。黑客已將其轉(zhuǎn)變?yōu)閺?fù)雜的轉(zhuǎn)移攻擊,以掩蓋其他攻擊。
大多數(shù)情況下,處理大量數(shù)據(jù)的金融服務(wù)公司容易受到此類攻擊。最近,有人針對(duì)許多歐洲銀行的IT管理員進(jìn)行了網(wǎng)絡(luò)釣魚攻擊。啟動(dòng)惡意軟件以滲透銀行系統(tǒng)并竊取其登錄憑據(jù)。一旦犯罪分子訪問登錄詳細(xì)信息,他們就會(huì)對(duì)銀行發(fā)起DDoS攻擊并讓他們忙于處理DDoS攻擊。
這不是網(wǎng)絡(luò)犯罪分子發(fā)動(dòng)DDoS攻擊的唯一方式。家庭路由器,IP攝像機(jī)和其他受惡意軟件感染的物聯(lián)網(wǎng)設(shè)備也可能被用于發(fā)起DDoS攻擊。攻擊者已開始對(duì)Android設(shè)備做同樣的事情。他們使用托管在Google Play和其他第三方應(yīng)用商店中的惡意應(yīng)用來(lái)實(shí)現(xiàn)此目的。
來(lái)自RiskIQ,Team Cymru,Cloudflare,Akamai和Flashpoint的安全團(tuán)隊(duì)進(jìn)行了聯(lián)合調(diào)查,發(fā)現(xiàn)一個(gè)由超過100個(gè)國(guó)家的100,000多個(gè)Android設(shè)備構(gòu)建的大型僵尸網(wǎng)絡(luò)。此次調(diào)查的起因是大量DDoS攻擊襲擊了一些內(nèi)容傳送網(wǎng)絡(luò)和提供商。特定的Android僵尸網(wǎng)絡(luò)(WireX)用于發(fā)送數(shù)以萬(wàn)計(jì)的HTTP請(qǐng)求。這些請(qǐng)求看似來(lái)自合法的瀏覽器,但其實(shí)并不是。
通常,啟動(dòng)此類攻擊的目的是使云縣服務(wù)器充斥著虛假的流量并使用其可用的互聯(lián)網(wǎng)Android,RAM或CPU,以便他們無(wú)法再為用戶提供請(qǐng)求。它背后可能還有其他一些動(dòng)機(jī)。由于受感染的應(yīng)用程序在安裝期間請(qǐng)求設(shè)備管理員權(quán)限,因此即使這些應(yīng)用程序本身未被主動(dòng)使用或設(shè)備被鎖定,它們也允許它們啟動(dòng)后臺(tái)服務(wù)并參與DDoS攻擊。
DDoS攻擊受害者是誰(shuí)?
DDoS是大規(guī)模攻擊,他們的受害者大多是巨型企業(yè)組織,甚至是各州政府。但是,也有消費(fèi)者級(jí)別的產(chǎn)品(潛伏在用戶設(shè)備內(nèi)),它可以很好地按照黑客設(shè)定好的去做一些其他的事情,但一般規(guī)模較小。間諜應(yīng)用程序,包括Xnspy,TrackmyFone等,其中一些名稱可以與遠(yuǎn)程類似移動(dòng)黑客或移動(dòng)間諜的一些東西產(chǎn)生共鳴。這些東西安裝在手機(jī)上時(shí)可以允許第三人遠(yuǎn)程訪問存儲(chǔ)在設(shè)備上的所有內(nèi)容。它不能與DDoS攻擊相提并論,而是用于發(fā)起DDoS攻擊的惡意軟件。
DDoS攻擊的類型
下面列出了DoS和DDoS攻擊的主要形式:
基于Volume
基于Volume的攻擊涉及發(fā)送到目標(biāo)系統(tǒng)的大量請(qǐng)求。系統(tǒng)將這些請(qǐng)求視為有效(欺騙數(shù)據(jù)包)或無(wú)效請(qǐng)求(格式錯(cuò)誤的數(shù)據(jù)包)。黑客為了壓倒網(wǎng)絡(luò)容量而進(jìn)行這種攻擊。
這些請(qǐng)求可以跨系統(tǒng)上的各種端口。黑客使用的方法之一是UDP放大攻擊,其中它們向第三方云縣服務(wù)器發(fā)送數(shù)據(jù)請(qǐng)求,然后他們將服務(wù)器的IP地址偽裝成返回地址。然后,第三方服務(wù)器將大量數(shù)據(jù)發(fā)送到服務(wù)器作為響應(yīng)。
這樣,黑客只需要調(diào)度請(qǐng)求,但是受害者的服務(wù)器會(huì)受到來(lái)自第三方服務(wù)器的放大數(shù)據(jù)的攻擊。在這種形式的攻擊中,這種形式的攻擊可能涉及數(shù)十,數(shù)百甚至數(shù)千個(gè)系統(tǒng)。
基于應(yīng)用程序
在這種形式的攻擊中,黑客利用Web服務(wù)器軟件或應(yīng)用程序軟件中的漏洞導(dǎo)致Web服務(wù)器掛起或崩潰。常見類型的基于應(yīng)用程序的攻擊涉及將部分請(qǐng)求發(fā)送到服務(wù)器,用以嘗試使服務(wù)器的整個(gè)數(shù)據(jù)庫(kù)連接池忙,以便阻止合法請(qǐng)求。
基于協(xié)議
這些攻擊針對(duì)服務(wù)器或負(fù)載平衡器,這些服務(wù)器或負(fù)載平衡器利用系統(tǒng)用于彼此通信的方法。數(shù)據(jù)包可能被設(shè)計(jì)為使服務(wù)器在常規(guī)握手協(xié)議(如SYN泛洪)期間等待不存在的響應(yīng)。
預(yù)防DDoS攻擊和緩解策略
購(gòu)買更多帶寬
為防止DDoS攻擊并使您的基礎(chǔ)設(shè)施DDoS抵抗,您必須采取的第一步是確保您有足夠的帶寬來(lái)處理可能由于惡意活動(dòng)而導(dǎo)致的流量高峰。
過去可以通過確保您擁有更多帶寬來(lái)避免DDoS攻擊,但隨著放大攻擊的出現(xiàn),這已不再實(shí)用。擁有更多帶寬實(shí)際上提高了攻擊者在啟動(dòng)成功的DDoS攻擊之前必須克服的障礙。這是一種安全措施,但不是DDoS攻擊解決方案。
針對(duì)DDoS攻擊的網(wǎng)絡(luò)硬件配置
一些非常簡(jiǎn)單的硬件配置更改可以幫助您防止DDoS攻擊。例如,如果您將路由器或防火墻配置為從網(wǎng)絡(luò)外部刪除DNS響應(yīng)或丟棄傳入的ICMP數(shù)據(jù)包,這可以幫助您在一定程度上防止某些DNS和基于ping的容量攻擊。
保護(hù)DNS服務(wù)器
攻擊者可以通過攻擊您的DNS服務(wù)器來(lái)使您的網(wǎng)站和Web服務(wù)器脫機(jī)。因此,請(qǐng)確保您的DNS服務(wù)器具有冗余。DNS就像是互聯(lián)網(wǎng)的電話簿,它被用來(lái)匹配尋求具有正確IP地址的用戶的網(wǎng)站名稱,有超過3億個(gè)域名,使全球數(shù)百萬(wàn)互聯(lián)網(wǎng)用戶保持聯(lián)系。沒有它,互聯(lián)網(wǎng)就無(wú)法真正發(fā)揮作用。這就是為什么它是攻擊者的關(guān)鍵目標(biāo)。
對(duì)您的DNS基礎(chǔ)架構(gòu)的DDoS攻擊可能導(dǎo)致您的應(yīng)用程序或網(wǎng)站完全無(wú)法訪問。因此,網(wǎng)絡(luò)運(yùn)營(yíng)商需要充分保護(hù)其DNS基礎(chǔ)設(shè)施,以保護(hù)其免受DDoS攻擊。
除此之外,如果您不想讓攻擊者成功地針對(duì)您的服務(wù)器成功發(fā)起DDoS攻擊,請(qǐng)將您的服務(wù)器分布在多個(gè)數(shù)據(jù)中心。您可以將這些數(shù)據(jù)中心設(shè)置在不同的國(guó)家/地區(qū),或至少在同一個(gè)國(guó)家/地區(qū)的不同地區(qū)。
如果您希望此策略效果更好,則必須將所有數(shù)據(jù)中心連接到不同的網(wǎng)絡(luò),并且不存在網(wǎng)絡(luò)瓶頸或這些網(wǎng)絡(luò)上的單點(diǎn)故障。當(dāng)您在地理位置和地理位置分布服務(wù)器時(shí),攻擊者很難成功攻擊超過部分服務(wù)器。此外,它會(huì)使其他服務(wù)器不受影響,并使它們能夠承受受影響的服務(wù)器正常處理之外的一些額外流量。
透明緩解
黑客可能會(huì)啟動(dòng)DDos以使您的使用者無(wú)法訪問您的網(wǎng)站。當(dāng)您的站點(diǎn)受到攻擊時(shí),您必須使用緩解技術(shù)使人們能夠繼續(xù)使用它而不會(huì)使其變的不可用,并且不會(huì)讓他們看到啟動(dòng)屏幕和過時(shí)的緩存內(nèi)容。一旦黑客發(fā)現(xiàn)您沒有受到攻擊影響并且您的用戶仍然可以訪問該網(wǎng)站,他可能會(huì)停止攻擊。
Anti-DDoS硬件和軟件模塊
除了讓您的服務(wù)器受到網(wǎng)絡(luò)防火墻和其他專用Web應(yīng)用程序防火墻的保護(hù)外,您還必須使用負(fù)載平衡器。您還可以將軟件模塊添加到另一個(gè)Web服務(wù)器軟件以進(jìn)行DDoS預(yù)防。例如,Apache 2.2.15附帶了一個(gè)mod_reqtimeout,可以保護(hù)您免受像Slowloris這樣的應(yīng)用程序?qū)庸?。它們通過發(fā)送部分請(qǐng)求來(lái)盡可能長(zhǎng)時(shí)間地保持與Web服務(wù)器的連接,直到服務(wù)器無(wú)法接受任何新的連接請(qǐng)求為止。
您還可以使用帶有軟件保護(hù)的硬件模塊來(lái)抵御DDoS協(xié)議攻擊,例如SYN泛洪攻擊。這可以通過監(jiān)視存在多少不完整的連接來(lái)完成,然后您可以在數(shù)量達(dá)到可配置的閾值時(shí)刷新它們。
在DDoS攻擊期間該做什么?
為了確保您的網(wǎng)站或應(yīng)用程序可以承受在短時(shí)間內(nèi)受到的攻擊,您必須制定積極的緩解策略。以下是您可以遵循的行動(dòng)方案:
在單獨(dú)的信譽(yù)良好的主機(jī)提供商上擁有備份靜態(tài)"暫時(shí)不可用"網(wǎng)站。確保他們提供自己的DDoS緩解服務(wù)。
將您的商店DNS重定向到臨時(shí)站點(diǎn),并與您的員工,利益相關(guān)者和合作伙伴一起確定如何處理易受攻擊的服務(wù)器。
以上文章來(lái)源于網(wǎng)絡(luò),如有侵權(quán)請(qǐng)聯(lián)系創(chuàng)一網(wǎng)的客服處理。謝謝!