拒絕服務 (DoS) 事件是一種網(wǎng)絡攻擊,其中黑客或網(wǎng)絡犯罪分子試圖使其目標用戶無法使用主機、在線服務或網(wǎng)絡資源。分布式拒絕服務攻擊可能是最著名的黑客事件類型——2018 年的 GitHub 和 2016 年的 Dyn DDoS 攻擊最為突出——但還有許多其他類型的拒絕服務攻擊不一定涉及分布式或僵尸網(wǎng)絡方法。然而,在幾乎所有情況下,拒絕服務事件的特點是目標機器或服務被傳入流量淹沒,以至于處理或??帶寬資源不堪重負并脫機。
拒絕服務威脅的起源
在傳統(tǒng)的拒絕服務攻擊中,黑客使用虛構的返回 Internet 協(xié)議 (IP) 地址向目標機器或服務發(fā)送多個請求。當服務器嘗試對這些地址進行身份驗證時,它會遇到一波錯誤代碼響應,從而引發(fā)一連串重復的 SMTP 流量鏈,這些流量會迅速使服務器飽和。同樣,在 Smurf 攻擊中,黑客會將數(shù)據(jù)包廣播到具有屬于這些目標計算機的欺騙 IP 地址的多個主機。當接收主機響應時,它們有效地用響應的數(shù)據(jù)包流量淹沒自己。
在 SYN 洪水中,攻擊者利用 TCP 3 次握手(SYN、SYN-ACK、ACK)過程使服務脫機。在 3-Way Handshake 中,服務器 A 會向服務器 B 發(fā)起 TCP SYNchronize 請求消息。主機 B(目標機器)收到請求后,會向服務器 A 發(fā)送一個 SYNchronize-ACKnowledgement 數(shù)據(jù)包。此時拒絕服務攻擊發(fā)生。在建立 TCP 套接字連接的合法交換中,下一步是主機 A 向主機 B 發(fā)送 ACKnowledge 消息,但是當控制主機 A 的黑客阻止這種情況發(fā)生時,握手無法完成。結果是主機 B 有一個連接的端口,無法用于其他請求。當攻擊者重復發(fā)送這種性質的請求時,
不斷演變的拒絕服務威脅
SYN 洪水、香蕉攻擊和其他類型的傳統(tǒng) DoS 黑客攻擊至今仍在使用——當然,由僵尸網(wǎng)絡驅動的 DDoS 攻擊仍然是一個持續(xù)的威脅。但近年來,惡意黑客擴大了他們所針對的機器和服務的數(shù)量,并大大擴大了威脅面。組織越來越多地成為低強度“服務降級”攻擊的目標,這種攻擊會導致代價高昂的服務減速,而無需完全離線資源。隨著越來越多的組織開始依賴亞馬遜網(wǎng)絡服務 (AWS) 和類似的云產(chǎn)品來支持其網(wǎng)絡運營,這種攻擊方法變得越來越普遍。
當大型零售商、金融服務提供商、消費者品牌或類似的商業(yè)企業(yè)在 AWS、Microsoft Azure 或其他云運營商上托管其網(wǎng)站時,該安排將受服務水平協(xié)議的約束。實際上,云運營商以給定的價格承諾提供該網(wǎng)站所需的處理資源、帶寬和支持基礎設施,以支持 X 數(shù)量的網(wǎng)絡流量,其中 X 將被測量為千兆字節(jié)的數(shù)據(jù)、零售數(shù)量交易、正常運行時間和相關指標。如果流量負載超過商定的水平,如果流量是合法的,這將是積極的,網(wǎng)站所有者將以更高的費率收取費用。
代價高昂的服務貶損
正如人們可能想象的那樣,不良行為者可以通過將非法流量引導到目標網(wǎng)站來將自己注入這些關系,并輕松增加目標組織的業(yè)務成本。在這種攻擊中經(jīng)常使用發(fā)送間歇性流量突發(fā)的脈沖“僵尸”服務器。由于有問題的流量負載是偶爾出現(xiàn)的,而且顯然不是來自惡意來源,它們看起來非常像合法流量,這意味著網(wǎng)絡安全人員很難發(fā)現(xiàn)和阻止它們。
在這種類型的拒絕服務或服務降級事件中使用的另一個工具集是所謂的“壓力源”應用程序,最初旨在幫助網(wǎng)站所有者識別其 Web 基礎設施中的弱點。這些應用程序(包括 WebHive)易于獲取且易于使用,可以安裝在多個云實例上,以構建強大的 DDoS 功能。通過這種方式協(xié)同工作,這些攻擊工具可以使大型商業(yè)網(wǎng)站長時間離線。
拒絕服務的關鍵要點
多年來,拒絕服務攻擊發(fā)生了變化和變化,但造成的損害繼續(xù)增加。Ponemon Institute 對多個行業(yè)的大型企業(yè)進行的一項調查發(fā)現(xiàn),典型的公司每年都會遭受四次拒絕服務事件,每年處理 DoS 的平均總成本約為 150 萬美元。建立使您能夠檢測、預防和響應 DoS 攻擊的安全架構是任何有效網(wǎng)絡安全計劃的關鍵步驟。
