分布式拒絕服務(wù) (DDoS) 攻擊是一種網(wǎng)絡(luò)攻擊,源自分布式網(wǎng)絡(luò),旨在拒絕來自您的服務(wù)的響應(yīng)。DDoS 攻擊旨在通過非法請求壓倒您的系統(tǒng)來使您的服務(wù)無響應(yīng)。
越來越多的企業(yè)和網(wǎng)站所有者在問自己,什么是 DDoS?他們已經(jīng)看到其他公司成為網(wǎng)絡(luò)攻擊的犧牲品,并想知道如何防止這種攻擊發(fā)生在他們身上。
2020 年 2 月,Amazon Web Services 遭受了持續(xù)近三天的大規(guī)模 DDoS 攻擊,還影響了無數(shù)其他依賴 AWS 的發(fā)布商和網(wǎng)站所有者。目標(biāo) IP 地址比正常發(fā)送的數(shù)據(jù)量增加了 56-70 倍。
2018 年,GitHub 遭受了當(dāng)時有記錄以來最大的 DDoS 攻擊。盡管每秒 1.3 TB 的數(shù)據(jù)(Tbps)和每秒 126.9 個數(shù)據(jù)包(Pps)淹沒了 GitHub 的服務(wù)器,但由于 Github 強大的 DDoS 保護措施,這次攻擊僅使 GitHub 離線 20 分鐘。
這種高度可變的效力和風(fēng)險水平表明,公司必須優(yōu)先考慮減輕潛在 DDoS 攻擊造成的損害。隨著越來越多的流量在線以及敏感數(shù)據(jù)和服務(wù)繼續(xù)保值,這些網(wǎng)絡(luò)攻擊只會越來越多。
在這篇文章中,我們將按照DDoS的思路介紹以下領(lǐng)域:
- 什么是 DDoSing?
- 如何檢測攻擊?
- 有哪些DDoS 攻擊的例子?
- 有哪些不同類型的攻擊?
- 如何防范這些攻擊?
防御 DDoS 的最重要方面可能是早期檢測。如果您的組織可以及早識別 DDoS 攻擊,您可以采取措施減輕損害、限制流量并提高未來的安全性。
如何檢測 DDoS 攻擊
那么,什么是 DDoSing,如何檢測它?DDoS 是指當(dāng)您的服務(wù)器、網(wǎng)站、應(yīng)用程序、基礎(chǔ)設(shè)施或其他資產(chǎn)充斥著來自惡意行為者的請求,這些請求試圖關(guān)閉或使您的服務(wù)脫機時,就會發(fā)生 DDoS。盡管托管解決方案的安全措施各不相同,但即使是最堅固的專用服務(wù)器托管也可能仍然容易受到 DDoS 攻擊。
很難確定 DDoS 攻擊何時發(fā)生而不是合法的服務(wù)故障。DDoS 攻擊通常表現(xiàn)為合法流量或服務(wù)器停機。為了確定地識別攻擊,使用分析工具進行進一步調(diào)查可以幫助發(fā)現(xiàn)DDoS 的一些跡象:
- 對單個頁面的請求出現(xiàn)可疑峰值。
- 沒有妥協(xié)歷史的應(yīng)用程序或服務(wù)器被關(guān)閉。
- 來自單個 IP 地址或一系列 IP 地址的大量流量。
- 來自具有相似特征的用戶的流量。
- 您的業(yè)??務(wù)或網(wǎng)站在奇數(shù)時間或其他非典型流量模式的流量模式峰值。
檢測 DDoS 還與意識有關(guān),并確保您熟悉一些攻擊示例。讓我們分解幾種類型的 DDoS 攻擊來展示 DDoS 保護的工作原理。
DDoS 攻擊示例
現(xiàn)實世界中的 DDoS 是什么?我們已經(jīng)提到了一些針對 Amazon 和 GitHub 的高調(diào)攻擊。這些真實世界的例子可以讓我們更好地了解網(wǎng)絡(luò)犯罪分子的趨勢以及我們?nèi)绾卧谖磥砑訌?DDoS 保護。
最早記錄的 DDoS 攻擊之一發(fā)生在 2000 年,當(dāng)時一名化名為“MafiaBoy ”的青少年黑客能夠以巨大的流量淹沒許多大學(xué)和企業(yè)。可以公平地說,從那時起,DDoS 已經(jīng)呈指數(shù)級發(fā)展,并且至今仍在影響著主要行業(yè)。
在 2020 年 2 月針對 AWS 的網(wǎng)絡(luò)攻擊僅幾個月后,谷歌就披露了針對其服務(wù)的 DDoS 攻擊的詳細(xì)信息,并以 2.6 Tbps 的速度注冊了更高的攻擊速度。各種規(guī)模的公司都面臨著這種日益增長的網(wǎng)絡(luò)威脅的風(fēng)險。
DDoS 攻擊可以根據(jù)它們針對的服務(wù)層分為三大類:容量攻擊、協(xié)議攻擊和應(yīng)用程序攻擊。讓我們逐一檢查并了解它們?nèi)绾斡绊懢哂蠽PS DDoS 保護的站點。
體積攻擊
當(dāng)大量非法流量淹沒您的服務(wù)器、網(wǎng)站或其他資源時,就會發(fā)生容量攻擊。也稱為基于容量的攻擊,容量攻擊以每秒比特數(shù) (BPS) 為單位。幾種類型的容量攻擊包括用戶數(shù)據(jù)報協(xié)議 (UDP)、互聯(lián)網(wǎng)控制消息協(xié)議 (ICMP) 和垃圾泛濫攻擊。
簡單地說,什么是基于容量的 DDoS 攻擊?容量攻擊就像交通堵塞。想象一下,去上班并駛上匝道,卻發(fā)現(xiàn)高速公路上的每條車道都擠滿了汽車。你被卡住了,無法上路。然而,與交通擁堵不同的是,交通不僅僅是排隊等候。用戶會看到可怕的“無連接錯誤”,或者加載時間會減慢到令人沮喪的程度,導(dǎo)致用戶放棄最初的請求。
協(xié)議攻擊
當(dāng)您的基礎(chǔ)設(shè)施或部分基礎(chǔ)設(shè)施被過多的數(shù)據(jù)包淹沒時,就會發(fā)生協(xié)議攻擊。也稱為網(wǎng)絡(luò)層攻擊,協(xié)議 DDoS 攻擊以每秒數(shù)據(jù)包數(shù) (Pps) 為單位。不同類型的協(xié)議攻擊包括 Smurf DDoS、TCP 連接攻擊或 TCP SYN 洪水。
SYN 洪水(也稱為 TCP 連接攻擊)針對所謂的三向握手連接。這個常見的 TCP 連接點就是攻擊所利用的漏洞。在 SYN Flood 期間,“握手”請求被發(fā)送到目標(biāo)服務(wù)器,但從未完成。然后目標(biāo)端口將無法響應(yīng)任何請求。隨著越來越多的請求被發(fā)送,攻擊從那里蔓延,直到服務(wù)器關(guān)閉。
應(yīng)用層攻擊
答案 – 什么是 DDoS?– 如果不看看攻擊對應(yīng)用程序的影響,就不會完整。應(yīng)用層攻擊用惡意請求淹沒應(yīng)用程序,影響生成網(wǎng)頁和發(fā)出 HTTP 請求的服務(wù)層。這些應(yīng)用程序 DDoS 攻擊以每秒請求數(shù) (RPS) 為單位。
與傳統(tǒng)的容量攻擊相比,應(yīng)用層攻擊的發(fā)展速度往往較慢。這種較慢的速率允許請求看起來是合法的,直到它們足以使應(yīng)用程序不堪重負(fù)。
重要的是要記住,這些不同類型的攻擊通常相互協(xié)同工作。網(wǎng)絡(luò)犯罪分子很少會將所有精力集中在一個端點上。例如,初始應(yīng)用層攻擊之后可能是容量攻擊。站點所有者必須對所有端點進行防御,以確保檢測到每種類型的 DDoS 攻擊。
如何防御 DDoS 攻擊
到目前為止,我們已經(jīng)回答了——什么是 DDoS 攻擊?我們已經(jīng)研究了不同類型的攻擊和檢測。但是 DDoS 保護如何工作?在保護您的服務(wù)器免受潛在的 DDoS 攻擊時,從主動的角度保持警惕非常重要。在 DDoS 保護領(lǐng)域需要考慮的一些有用概念包括:
- 了解您的流量模式:在網(wǎng)絡(luò)和服務(wù)器監(jiān)控工具的幫助下,您需要了解典型的入站流量。當(dāng)它急劇上升或超過正常范圍時,您可以采取適當(dāng)?shù)拇胧V档靡惶岬氖牵€應(yīng)該監(jiān)控攻擊期間的活動,以幫助破譯攻擊背后的原因。
- 安全勝于抱歉:除了緩解工具和過度配置帶寬外,考慮使用入侵檢測系統(tǒng) (IDS)和入侵保護系統(tǒng) (IPS) 進行早期攻擊檢測、過濾器以阻止來自常見嫌疑人的數(shù)據(jù)包、丟棄所有格式錯誤/欺騙的數(shù)據(jù)包,并降低 SYN、ICMP 和 UDP 洪水丟棄的閾值。
- DDoS 緩解工具必不可少:對于大型或特別復(fù)雜的 DDoS 攻擊,緩解平臺和設(shè)備通常配備強大的基礎(chǔ)設(shè)施和先進的檢測和監(jiān)控技術(shù)。當(dāng)假設(shè)的攻擊成為現(xiàn)實時,你會讓事情變得更容易,并感謝你所做的。
