DDoS的含义:什么是DDoS?DoS 与 DDoS,DDoS僵尸网络:发动大规模攻击

美梦收藏家
289 阅读12分钟

携手创作,共同成长!这是我参与「掘金日新计划 · 8 月更文挑战」的第16天,点击查看活动详情

分布式拒绝服务 (DDoS)

DDoS的含义:什么是DDoS?

分布式拒绝服务 (DDoS) 攻击是拒绝服务 (DoS) 攻击的子类。DDoS攻击涉及多个连接的在线设备,统称为僵尸网络,用于用虚假流量淹没目标网站。

与其他类型的网络攻击不同,DDoS攻击不会试图破坏您的安全边界。相反,DDoS攻击旨在使您的网站和服务器对合法用户不可用。DDoS还可以用作其他恶意活动的烟幕,并摧毁安全设备,从而破坏目标的安全边界。

成功的分布式拒绝服务攻击是影响整个在线用户群的高度明显的事件。这使得它成为黑客活动家,网络破坏者,勒索主义者和其他任何希望提出观点或支持事业的人的热门选择武器。

DDoS攻击可以在短时间内爆发或重复攻击,但无论哪种方式,随着组织试图恢复,对网站或企业的影响都可能持续数天,数周甚至数月。这可能会使DDoS对任何在线组织造成极大的破坏。除其他事项外,DDoS攻击可能导致收入损失,侵蚀消费者信任,迫使企业在补偿中花费大量资金并造成长期声誉损害。

DoS 与 DDoS

常规拒绝服务攻击和分布式拒绝服务攻击之间的差异是实质性的。在 DoS 攻击中,犯罪者使用单个 Internet 连接来利用软件漏洞或用虚假请求淹没目标— 通常是为了耗尽服务器资源(例如 RAM 和 CPU)。

另一方面,分布式拒绝服务(DDoS)攻击是从分布在Internet上的多个连接设备发起的。这些多人,多设备的弹幕通常更难偏转,主要是由于涉及的设备数量庞大。与单源DoS攻击不同,DDoS攻击倾向于针对网络基础设施,试图用大量流量使其饱和。

DDoS攻击的执行方式也有所不同。从广义上讲,拒绝服务攻击是使用自制脚本或DoS工具(例如,低轨道离子佳能)发起的,而DDoS攻击是从僵尸网络(大型连接设备集群(例如手机,PC或路由器))发起的,这些设备感染了恶意软件,允许攻击者进行远程控制。

DDoS僵尸网络:发动大规模攻击

僵尸网络是用于网络攻击的被劫持连接设备的集合,这些设备从命令与控制中心(C&C)远程控制。这些通常包括个人计算机,移动电话,不安全的物联网设备,甚至来自公共云服务的资源。攻击者使用恶意软件和其他技术来破坏设备,将其变成攻击者僵尸网络中的“僵尸”。

僵尸网络使攻击者能够通过利用许多机器的强大功能并掩盖流量来源来执行DDoS攻击。由于流量是分布式的,因此安全工具和团队很难检测到DDoS攻击正在发生,直到为时已晚。

要了解有关大规模 DDoS 基础架构的更多信息,请参阅我们关于 DDoS 僵尸网络的文章

DDoS 攻击的类型

DoS 攻击可分为两大类:应用层攻击和网络层攻击。这些类型的DDoS攻击中的每一种都定义了攻击期间使用的某些参数和行为,以及攻击的目标。

  1. 应用层攻击(又称第 7 层攻击)可以是 DoS 或 DDoS 威胁,它们试图通过发送大量需要资源密集型处理和处理的请求来使服务器过载。在其他攻击媒介中,此类别包括HTTP洪水,慢速攻击(例如,Slowloris或RUDY)和DNS查询洪水攻击。

游戏网站遭遇了大规模的DNS泛滥,峰值达到每秒超过2500万个数据包

游戏网站遭遇了大规模的DNS泛滥,峰值达到每秒超过2500万个数据包

应用层攻击的大小通常以每秒请求数 (RPS) 来衡量,大多数中型网站不需要超过 50 到 100 个 RPS。

  1. 网络层攻击(又名第 3–4 层攻击)几乎总是 DDoS 攻击,旨在堵塞连接网络的“管道”。此类别的攻击媒介包括 UDP 泛洪、SYN 泛洪、NTP 放大和 DNS 放大攻击等。

其中任何一个都可以用来防止访问您的服务器,同时也会导致严重的操作损害,例如帐户暂停和巨额超额费用。

DDoS攻击几乎总是高流量事件,通常以千兆位/秒(Gbps)或每秒数据包(PPS)为单位。最大的网络层攻击可能超过数百 Gbps;但是,20到40 Gbps足以完全关闭大多数网络基础设施。

DDoSing的原因:攻击者的动机

“DDoSsing”描述了执行DDoS攻击的行为。拒绝服务攻击是由个人,企业甚至民族国家发起的,每个国家都有自己的动机。

黑客行动主义

黑客主义者使用DoS攻击作为表达他们对一切事物的批评的手段,来自政府和政客,包括“大企业”和时事。如果黑客主义者不同意你的观点,你的网站就会崩溃(又名“探戈下降”)。

与其他类型的攻击者相比,黑客激进主义者的技术水平较低,他们倾向于使用预制工具对目标进行攻击。匿名者也许是最著名的黑客组织之一。他们负责2015年2月针对ISIS的网络攻击,此前ISIS对[《查理周刊》巴黎办事处的恐怖袭击,以及2014年6月对巴西政府和世界杯赞助商的袭击。

黑客激进主义者的典型攻击方法:DoS和DDoS。

网络破坏

网络破坏者通常被称为“脚本小子”,因为他们依赖预制的脚本和工具来给互联网公民带来悲伤。这些破坏者通常是无聊的青少年,他们正在寻找肾上腺素激增,或者试图发泄他们对机构(例如学校)或他们认为冤枉他们的人的愤怒或沮丧。当然,有些人只是在寻找同龄人的关注和尊重。

除了预先制作的工具和脚本外,网络破坏者还会导致使用DDoS租用服务(又名引导者或压力者),这些服务可以在线购买,价格低至19美元。

勒索

DDoS攻击的一个越来越流行的动机是敲诈勒索,这意味着网络犯罪分子需要金钱以换取阻止(或不执行)严重的DDoS攻击。包括MeetUp,Bitly,Vimeo和Basecamp在内的几家着名的在线软件公司一直处于这些DDoS笔记的接收端,其中一些公司在拒绝屈服于勒索者的威胁后下线。

与网络破坏类似,这种类型的攻击是由压力源和引导程序服务的存在实现的。

勒索者的典型攻击方法:DDoS。

商业竞争

DDoS攻击越来越多地被用作一种有竞争力的商业工具。其中一些攻击旨在防止竞争对手参与重大事件(例如,网络星期一),而其他攻击则旨在完全关闭在线业务数月。

无论如何,这个想法是造成破坏,鼓励您的客户涌向竞争对手,同时也造成财务和声誉损害。组织遭受DDoS攻击的平均成本可能为每小时40,000美元。

商业争斗攻击通常由专业的“雇佣枪手”提供充足的资金和执行,他们进行早期侦察并使用专有工具和资源来维持极其激进和持久的DDoS攻击。

商业竞争对手使用的典型攻击方法:DDoS。

网络战

国家支持的DDoS攻击被用来压制政府批评者和内部反对派,以及破坏敌对国家关键金融,健康和基础设施服务的手段。

这些攻击得到了民族国家的支持,这意味着它们是由精通技术的专业人士执行的资金充足和精心策划的运动。

作为网络战采用的典型攻击方法:DDoS。

个人竞争

DoS攻击可用于解决个人分数或破坏在线比赛。这种攻击通常发生在多人在线游戏的背景下,玩家相互攻击,甚至对游戏服务器发起DDoS弹幕,以获得优势或通过“翻转桌子”来避免即将到来的失败。

对玩家的攻击通常是DoS攻击,使用广泛使用的恶意软件执行。相反,针对游戏服务器的攻击很可能是由压力者和引导者发起的DDoS攻击。

个人对手的典型攻击方法:DoS,DDoS。

如何阻止DDoS攻击:DIY

您无法阻止 DoS 攻击。网络犯罪分子将进行攻击。有些人会击中他们的目标,无论防御措施如何。但是,您可以自己采取一些预防措施:

  • 监控您的流量以查找异常情况,包括无法解释的流量峰值以及来自可疑IP地址和地理位置的访问。所有这些都可能是攻击者在进行全面攻击之前执行“试运行”以测试您的防御措施的迹象。认识到这些是什么可以帮助你为随之而来的猛攻做好准备。
  • 密切关注社交媒体(尤其是Twitter)和公共垃圾箱(例如,Pastebin.com),以发现可能暗示即将到来的攻击的威胁,对话和吹嘘。
  • 考虑使用第三方 DDoS 测试(即渗透测试)来模拟针对您的 IT 基础架构的攻击,以便在关键时刻到来时做好准备。当您执行此操作时,请针对各种攻击进行测试,而不仅仅是您熟悉的攻击。
  • 制定响应计划和快速响应团队,即指定一组人员,其工作是将攻击的影响降至最低。在进行规划时,请为客户支持和沟通团队制定程序,而不仅仅是为 IT 专业人员制定程序。

DDoS 缓解:DDoS 防护如何工作?

选择 DDoS 缓解解决方案的第一步是评估您的风险。重要的基本问题包括:

  • 哪些基础设施资产需要保护?
  • 什么是软点或单点故障?
  • 需要什么才能将它们取下?
  • 您如何以及何时知道自己是目标?会不会太晚了?
  • 长期中断的影响(财务和其他方面)是什么?

有了这些信息,就可以确定您的问题优先级,在安全预算框架内检查各种DDoS缓解选项。

如果您正在运行商业网站或在线应用程序(例如,SaaS应用程序,网上银行,电子商务),则可能需要24×7,始终在线的保护。另一方面,一家大型律师事务所可能比其网站更有兴趣保护其基础设施(包括电子邮件服务器、FTP服务器和后台平台)。这种类型的企业可能会选择“按需”解决方案。

第二步是选择部署方法。在整个子网中为核心基础架构服务部署按需 DDoS 保护的最常用和有效方法是通过边界网关协议 (BGP) 路由。但是,这只能按需工作,要求您在发生攻击时手动激活安全解决方案。

因此,如果您需要为Web应用程序提供始终在线的DDoS保护,则应使用DNS重定向通过DDoS保护提供商的网络(通常与内容交付网络集成)重新路由所有网站流量(HTTP / HTTPS)。此解决方案的优点是,大多数 CDN 都提供随叫随到的可扩展性,以吸收容量耗尽攻击,同时最大限度地减少延迟并加速内容交付。

缓解网络层攻击

处理所需的网络层攻击需要额外的可扩展性 , 超出您自己的网络所能提供的可扩展性。

因此,在发生攻击时,会发布BGP公告,以确保所有传入流量都通过一组清理中心进行路由。其中每个都能够处理价值数百 Gbps 的流量。然后,位于清理中心的强大服务器将过滤掉恶意数据包,仅通过GRE隧道将干净的流量转发到源服务器。

这种缓解方法可针对直接到 IP 的攻击提供保护,并且通常与所有类型的基础结构和通信协议(例如,UDP、SMTP、FTP、VoIP)兼容。

防范 NTP 放大攻击:180Gbps 和每秒 5000 万个数据包

防范 NTP 放大攻击:180Gbps 和每秒 5000 万个数据包

缓解应用层攻击

缓解应用层攻击依赖于可按需扩展的流量分析解决方案,同时还能够区分恶意机器人和合法网站访问者。

对于流量分析,最佳实践要求基于签名和基于行为的启发式方法,并结合 IP 信誉评分和逐步使用安全挑战(例如,JS 和 Cookie 挑战)。 缓解长达八天的 HTTP 泛滥:来自 180,000 个僵尸网络 IP 的 6.9 亿个 DDoS 请求

缓解长达八天的 HTTP 泛滥:来自 180,000 个僵尸网络 IP 的 6.9 亿个 DDoS 请求

总之,它们可以准确地过滤掉恶意机器人流量,防止应用层攻击,而不会对合法访问者产生任何影响。

avatar
文章
阅读
粉丝