分布式拒绝服务(DDoS)攻击。你需要知道什么
分布式拒绝服务(DDoS)攻击正在迅速增长,不仅在攻击数量上,而且在强度上。
DDoS攻击的突飞猛进
分布式拒绝服务(DDoS)攻击正在迅速增长,不仅仅是攻击的数量,而且强度也在不断增加。2022年中期,Cloudflare阻止了一次 2600万rps(每秒请求)的DDoS企图。那次Cloudflare事件是已知最大的DDoS企图,直到2022年8月中旬,谷歌阻止了已知最大的第7层DDoS企图,达到4600万rps。在这里查看2022年更多的DDoS攻击(到目前为止)。
关于DDoS攻击的迷人的视觉效果,请看NETSCOUT的实时地图。
什么是DDoS攻击?
DDoS试图通过制造大量的虚假网站流量来阻止正常的网站流量。大多数情况下,它是恶意的,就像愤怒的购物者阻止进入一家百货公司。有时,它是非常偶然的,例如当几个网络开发人员对一个应用程序进行压力测试时,该应用程序失败。但我们在这里要谈的是恶意的那种。
通过这种简化的解释,它听起来不一定那么糟糕。一个网站瘫痪几分钟有什么问题?每次我的网络连接出现故障时,似乎都会发生这种情况,我不得不重新启动我的ISP的路由器。
DDoS往往不仅仅是试图阻止流量,而是要让流量停止一会儿。对一个供应商的攻击最终可能使整个企业瘫痪数小时。太多的流量和数据包的制作方式会导致服务器因重启或失败而 "倾覆"。
有3种常见的DDoS类型
- 体积攻击创造的网络流量看似合法,但旨在淹没网络。
- 协议 攻击是试图淹没边缘设备(如防火墙)以破坏连接。
- 应用 攻击(第7层)冒充合法用户行为,以耗尽网络服务器的资源。一个例子是HTTP Flood,即一个机器人向一个网页发送了过多的GET请求。Cloudflare和谷歌的攻击就属于这种类型,只不过它们是HTTPS而不是HTTP。
攻击中使用的设备是DDoS的一个有趣(和令人不安)的变化。从历史上看,其策略是通过大量受感染的计算机创建一个僵尸网络,然后从僵尸中发动攻击。最近这些巨大的HTTPS攻击是由犯罪分子使用他们自己的设备发起的。这种规模需要大量的计算机能力,这就需要大量的资金。虽然许多DDoS企图将继续依靠 受感染的僵尸网络,但一些攻击者不必依靠其他人,这使得几乎不可能使用类似MITRE ATT&CK框架来预测此类攻击。应用安全 (AppSec)团队继续有他们的工作要做!
这听起来可能是技术性的,而且只与那些在AppSec工作的人有关,但这里有几个成功的DDoS攻击的商业和具体影响:
- 由于缺乏销售,立即造成经济损失
- 声誉损失--通常被认为是最大的风险--以及随之而来的因不信任而造成的销售损失
- 数据损失(恢复起来绝非易事,也非易事)。
- 系统恢复(数据恢复很难;系统恢复可能更难)
在更大的范围内,DDoS攻击,即使是暂时的,使关键的基础设施服务瘫痪,也会破坏食品供应,导致停电,破坏水的净化,甚至造成生命损失。
可以做什么?
约瑟夫-斯大林说过一句话:"数量有其自身的质量"。DDoS所涉及的一吨简单的比特和字节的涌入,足以使最好的机构瘫痪,或者在上面提到的案例中,足以需要紧急响应(雪灾和沙尘暴是恰当的比喻)。在DDoS袭击前和袭击时,可以做些什么?这里有一些策略。
了解你的端点
清查、清查、清查。如果它是面向公众的,它就是一个会被发现和利用的目标。
记住API
端点不仅仅是网站、页面和应用程序。"每家公司的平均API数量在12个月内增加了221%" - API无处不在。也正因为如此,它们很容易被忽视,甚至被遗忘。
速率限制
速率限制和节流是技术的奇迹 - 慷慨而明智地使用它们。它们需要测试,但实际上,测试、启用并看到它们真的起作用是很有趣的
DDoS保护
许多供应商提供DDoS保护;一些供应商将其包含在他们的服务中。尽可能早地把它落实到位。即使保护是有成本的,但由于流量的增加,DDoS会增加公司的成本,而这个成本可能会大于保护的成本(想想保险)。
模式验证
无论有什么工具或文件,都要尽最大努力来验证模式。100%的模式验证可能成本太高,但任何东西都是进步。
评估DDoS保护策略
一张图片胜过千言万语;一个好的问题胜过一千张图片。因此,这里有一些问题可以帮助评估DDoS保护策略:
- 你的供应商能否检测和补救DDoS攻击?
- 你的公司能多快地检测、分析和缓解攻击?
- 如果你被DDoS攻击,你的关键应用程序会保持运行吗?
- 会有附带损害吗?
- 有多少真正的用户会受到影响?
将安全作为优先事项
根据不同的情况,确保应用程序的安全似乎是一场马拉松,就像西西弗斯不断地把石头推上山,就像一个迷宫,或者像移动的沙子。但有一点是肯定的--安全永远是季节性的。
