如今,许多组织现在意识到DDoS 防御对于维持卓越的客户体验至关重要。为什么?因为没有什么比网络攻击更能减少加载时间或影响最终用户的体验了。
作为访问内容和网络的促进者,代理服务器已成为那些试图通过网络攻击给组织造成悲伤的人的焦点,因为成功的攻击可能会产生后果。
内容交付网络 (CDN) 中的新漏洞让许多人怀疑网络本身是否容易受到各种网络攻击。以下是五个经常受到攻击的网络“盲点”——以及如何降低风险:
动态内容攻击增加。 攻击者发现动态内容请求的处理是 CDN 的一个主要盲点。由于动态内容不存储在 CDN 服务器上,所有对动态内容的请求都发送到源服务器。攻击者正在利用这种行为来生成在 HTTP GET 请求中包含随机参数的攻击流量。CDN 服务器立即将此攻击流量重定向到源站——期望源站的服务器处理请求。然而,在许多情况下,源站的服务器没有能力处理所有这些攻击请求,也无法为合法用户提供在线服务。这会造成拒绝服务的情况。许多 CDN 可以限制对受攻击服务器的动态请求数量。
基于 SSL 的 DDoS 攻击。 基于 SSL 的 DDoS 攻击利用此加密协议来针对受害者的在线服务。这些攻击易于发起且难以缓解,使其成为黑客的最爱。为了检测和缓解基于 SSL 的攻击,CDN 服务器必须首先使用客户的 SSL 密钥解密流量。如果客户不愿意向其 CDN 提供商提供 SSL 密钥,则 SSL 攻击流量将被重定向到客户的来源。这使客户容易受到 SSL 攻击。此类攻击客户来源的攻击很容易使安全的在线服务瘫痪。
在DDoS 攻击期间,当 涉及Web 应用程序防火墙(WAF) 技术时,CDN 在每秒可以处理多少 SSL 连接方面也存在显着的可扩展性弱点。可能会出现严重的延迟问题。PCI 和其他安全合规性问题也是一个问题,因为它们限制了可用于为客户提供服务的数据中心。这可能会增加延迟并导致审计问题。
请记住,这些问题随着从 RSA 算法到基于 ECC 和 DH 的算法的大规模迁移而加剧。
对非 CDN 服务的攻击。 CDN 服务通常只为 HTTP/S 和 DNS 应用程序提供。CDN 不提供客户数据中心中的其他在线服务和应用程序,例如 VoIP、邮件、FTP 和专有协议。因此,到这些应用程序的流量不会通过 CDN 路由。攻击者正在利用这个盲点对此类应用程序发起攻击。他们通过大规模攻击来攻击客户的来源,威胁到客户的互联网管道饱和。一旦互联网管道饱和,客户来源的所有应用程序都对合法用户不可用,包括 CDN 服务的应用程序。
直接IP攻击。 一旦攻击者直接攻击客户数据中心的 Web 服务器的 IP 地址,即使是由 CDN 提供服务的应用程序也可能受到攻击。这些可能是基于网络的洪水攻击,例如 UDP 洪水或 ICMP 洪水,它们不会通过 CDN 服务进行路由,而是直接攻击客户的服务器。这种容量网络攻击可能会使 Internet 管道饱和。这会导致应用程序和在线服务(包括 CDN 提供的服务)退化。
Web应用程序攻击。 针对威胁的 CDN 保护是有限的,并且会使客户的 Web 应用程序暴露于数据泄漏和盗窃以及 Web 应用程序常见的其他威胁。大多数基于 CDN 的 WAF 功能都很小,仅涵盖一组基本的预定义签名和规则。许多基于 CDN 的 WAF 不学习 HTTP 参数,也不创建积极的安全规则。因此,这些 WAF 无法抵御零日攻击和已知威胁。对于确实在其WAF中提供 Web 应用程序调优的公司,要获得这种级别的保护,成本极高。除了确定的重大盲点之外,大多数 CDN 安全服务的响应速度都不够快,导致安全配置需要数小时才能手动部署。安全服务使用的技术(例如,速率限制)近年来被证明效率低下,并且缺乏网络行为分析、挑战-响应机制等功能。
寻找水坑****
水坑攻击向量都是关于寻找技术链中最薄弱的环节。这些攻击的目标通常是被遗忘、忽视或在智力上没有关注自动化流程。它们会导致难以置信的破坏。以下是示例水坑目标列表:
· 应用商店
· 安全更新服务
· 域名服务
· 用于构建网站的公共代码存储库
· 网络分析平台
· 身份和访问单点登录平台
· 厂商常用的开源代码
· 参与网站的第三方供应商
2016 年对 Dyn 的 DDoS 攻击是迄今为止水坑矢量技术的最佳示例。然而,我们相信随着自动化开始渗透到我们生活的方方面面,这一向量将在 2018 年和 2019 年获得动力。
从侧面进攻****
在许多方面,边信道是最模糊和最模糊的攻击媒介。该技术通过多种策略攻击公司网站的完整性:
· DDoS 公司的分析提供商
· 针对所有用户或网站的所有第三方公司的暴力攻击
· 移植管理员的电话并窃取登录信息
· “页面打点”的大量负载
· 大型僵尸网络“学习”网站的来龙去脉
