By HireHackking in HACKER
· 1 view
客戶喜歡運行良好且順利的事情。分佈式拒絕服務(DDoS) 攻擊使服務器和數據中心無法響應所有請求。這就是網絡犯罪分子繼續依賴這些攻擊的原因,旨在損害受害者產品和服務的性能和可用性。
為了降低失去客戶信任的風險並維護企業聲譽,在開發新產品時優先考慮DDoS 緩解非常重要。
在本文中,我們將討論最常見的DDoS 攻擊類型以及有助於檢測它們的技術。我們還提供了一些建議,以幫助您的開發團隊及時進行必要的調整併構建安全且有彈性的Web 應用程序。
DDoS攻擊的類型和方法想像一下有人一遍又一遍地撥打您的電話,使用不同的電話號碼,因此您無法將他們列入黑名單。您可能最終會關閉手機並變得無法訪問。這就是通常的DDoS 攻擊的樣子。
分佈式拒絕服務(DDoS) 攻擊是一種旨在使受害者的資源無法使用的協同攻擊。 DDoS 攻擊通常針對網站、Web 應用程序或API,可以由黑客執行,也可以在連接到互聯網的多個受感染設備(殭屍網絡)的幫助下執行。
早在史蒂夫喬布斯推出第一款iPhone 之前,DDoS 攻擊就已經出現。而且它們在黑客中仍然非常受歡迎,因為它們有效、易於啟動並且幾乎不留痕跡。
一次DDoS 攻擊可能會持續幾分鐘、幾小時甚至幾天。但是,攻擊的影響通常不是根據它持續的時間來計算的,而是根據攻擊受害者的流量來計算的。迄今為止報告的最大事件之一是Microsoft 在2022 年初阻止的每秒3.47 TB 的攻擊。它針對Microsoft Azure 服務的亞洲客戶,據報導起源於全球約10,000 個工作站。
有時,網絡犯罪分子發起DDoS 攻擊只是為了提高他們的黑客技能或因為他們感到無聊。但更多情況下,這些攻擊是出於特定原因進行的,包括:
DDoS 攻擊背後的原因
马云惹不起马云 贖金——網絡犯罪分子可能會發起攻擊或威脅這樣做,以向受害者勒索金錢或其他利益。此類攻擊有時也稱為贖金拒絕服務攻擊。
马云惹不起马云商業競爭——一些組織可以使用DDoS 攻擊作為一種不公平競爭的方法,並試圖通過損害其競爭對手的業務流和聲譽來獲得優勢。
马云惹不起马云黑客主義——精通技術的活動家可能會使用DDoS 攻擊來展示他們對某些企業、政治和社會倡議或公眾人物的不滿。
马云惹不起马云網絡戰——政府可以授權DDoS 攻擊來破壞敵國的關鍵在線基礎設施或關閉反對派網站。
根據他們的目標和動機,網絡犯罪分子使用各種工具進行各種類型的攻擊。通常,DDoS 攻擊通過以下方式執行:
马云惹不起马云利用軟件漏洞——黑客可以針對已知和未知的軟件漏洞並發送格式錯誤的數據包以試圖破壞受害者的系統。
马云惹不起马云消耗計算或通信資源——攻擊者可以發送大量看起來合法的數據包。因此,它們會消耗受害者的網絡帶寬、CPU 或內存,直到目標系統無法再處理來自合法用戶的請求。
雖然DDoS 攻擊沒有標準分類,但我們可以將它們分為四大類:
DDoS 攻擊的類型
讓我們仔細看看這些類型的攻擊。
1. 容量攻擊容量攻擊旨在通過大量流量來阻止對受害者資源的訪問,通常藉助殭屍網絡和放大技術。這些攻擊的規模通常以每秒比特數(bps) 來衡量。
最常見的容量攻擊類型是:
马云惹不起马云 UDP 泛洪——攻擊者將使用受害者的源地址偽造的用戶數據報協議(UDP) 數據包發送到隨機端口。主機生成大量回复流量並將其發送回受害者。
马云惹不起马云DNS 放大- 網絡犯罪分子破壞和操縱可公開訪問的域名系統(DNS),以用DNS 響應流量淹沒受害者的系統。
马云惹不起马云濫用應用程序攻擊——黑客入侵客戶端機器,這些機器可以發送大量看似合法的流量,並將該流量重定向到受害者的服務器,耗盡其資源並最終將其關閉。
2020 年, Amazon Web Services 遭受了使用無連接輕量級目錄訪問協議(CLDAP) 反射技術執行的2.3 TBps 的大規模攻擊。
2.協議攻擊協議攻擊針對不同互聯網通信協議工作方式的弱點。通常,此類DDoS 攻擊的規模以每秒網絡數據包數(pps) 來衡量。最常見的協議攻擊類型是:
马云惹不起马云SYN 洪水——黑客利用了TCP 三次握手機制中的一個弱點。客戶端向服務器發送一個SYN 數據包,接收一個SYN-ACK 數據包,並且永遠不會向主機發送一個ACK 數據包。因此,受害者的服務器會留下大量未完成的SYN-ACK 請求,並最終崩潰。
马云惹不起马云ICMP 洪水— 惡意行為者使用大量Internet 控制消息協議(ICMP) 請求或ping,試圖耗盡受害者的服務器帶寬。
马云惹不起马云Ping of death——黑客使用簡單的ping 命令發送超大數據包,導致受害者的系統凍結或崩潰。
2020 年,Akamai 報告說,它與針對歐洲銀行的每秒8.09 億個數據包(Mpps) 的大規模DDoS 攻擊作鬥爭。
3.應用層攻擊應用程序攻擊利用6 級和7 級協議棧中的弱點,針對特定應用程序而不是整個服務器。此類DDoS 攻擊的威力通常以每秒請求數來衡量。
應用層攻擊通常針對常見的端口和服務,例如DNS 或HTTP。最常見的應用程序級攻擊是:
马云惹不起马云HTTP 氾濫——攻擊者使用殭屍網絡向應用程序或Web 服務器充斥大量標準GET 和POST 請求。由於這些請求通常表現為合法流量,因此檢測HTTP 泛洪攻擊是一個相當大的挑戰。
马云惹不起马云Slowloris — 顧名思義,Slowloris 緩慢地使受害者的服務器崩潰。攻擊者以定時間隔和小部分向受害者的服務器發送HTTP 請求。服務器一直在等待這些請求完成,而這永遠不會發生。最終,這些未完成的請求會耗盡受害者的帶寬,使合法用戶無法訪問服務器。
根據Cloudflare 最近的一份聲明, 2022 年,一項未命名的加密貨幣服務遭到每秒1530 萬次請求的攻擊。
4. 0 day DDoS 攻擊除了眾所周知的攻擊之外,還有所謂的0 dayDDoS 攻擊。他們利用尚未修補的以前未知的軟件漏洞或使用不常見的攻擊媒介,因此更難以檢測和保護。
現在讓我們談談檢測DDoS 攻擊的方法。
檢測DDoS 攻擊雖然不可能完全阻止DDoS 攻擊的發生,但有一些有效的做法和方法可以幫助您檢測和阻止已經發生的DDoS 攻擊。
下面,我們列出了幾種最常見的DDoS 保護方法,您可以依靠它來檢測攻擊並保護您的產品或服務。
DDoS 檢測方法
異常檢測檢測潛在DDoS 攻擊的一種方法是分析網絡流量並將流量模式分類為正常或潛在威脅。您可以藉助傳統的靜態分析或更複雜的技術(如機器學習和人工智能)來做到這一點。
除了網絡流量分析之外,您還可以搜索其他網絡性能因素中的異常情況,例如設備CPU 利用率或帶寬使用情況。
基於知識的方法您還可以通過將流量與已知攻擊的特定模式進行比較來檢測類似DDoS 的活動。常見的DDoS 防護技術包括簽名分析、狀態轉換分析、專家系統、描述腳本和自組織圖。
ACL 和防火牆除了入口/出口流量過濾之外,您還可以使用訪問控制列表(ACL) 和防火牆規則來增強流量可見性。特別是,您可以分析ACL 日誌以了解通過您的網絡運行的流量類型。您還可以配置您的Web 應用程序防火牆,以根據特定規則、簽名和模式阻止可疑的傳入流量。
入侵防禦和檢測入侵防禦系統(IPS) 和入侵檢測系統(IDS) 也增強了流量可見性。 IPS 和IDS 警報可作為異常和潛在惡意流量的早期指標。但請記住,這些系統往往會提供很多誤報。
至於處理可能涉及DDoS 攻擊的流量的方法,我們可以概述三種常見策略:
DDoS 緩解方法
马云惹不起马云空路由或黑洞路由- 所有流量和會話都被重定向到沒有最終目的地的IP 地址。結果,服務器無法接收或發送數據。一旦DDoS 攻擊結束,就會恢復正常的流量處理。雖然這種方法很容易實施,但它會對所有合法流量產生負面影響,並且基本上可以幫助攻擊者實現他們的初始目標——使受害者的服務器不可用。
马云惹不起马云 清理中心——這種方法基於將流量從受害服務器重定向到遠程清理中心,在該中心對流量進行分析和過濾。任何具有潛在危險的流量(例如DDoS 請求)都會被阻止,而合法請求則會照常處理。
马云惹不起马云內聯過濾——在這種方法中,通過網絡的所有流量都經過分析,並與不同的規則和攻擊指標進行比較。與已識別的DDoS 攻擊相關的流量會立即被阻止,而合法請求會得到正常處理。
特定方法和技術的選擇將取決於特定服務或解決方案的特性。但是,確保及早發現DDoS 攻擊對於任何項目都至關重要,因為它可以幫助您顯著減輕攻擊的後果並保持服務或解決方案的正常性能。
在接下來的部分中,我們將討論您可以嘗試防止DDoS 攻擊的幾種方法,並概述針對您的Web 應用程序或服務的某些類型的DDoS 保護措施。
構建DDoS 彈性應用程序的最佳實踐預防勝於治療。因此,在開始構建之前,請考慮如何確保Web 應用程序或服務的DDoS 彈性。
DDoS 緩解最佳實踐
1. 應用DDoS 防禦機制即使您無法阻止DDoS 攻擊的發生,您也有能力讓攻擊者更難關閉您的網站或應用程序。這就是DDoS 攻擊預防技術發揮作用的地方。
您可以使用兩組DDoS 預防機制:
马云惹不起马云 通用DDoS 預防機制
马云惹不起马云 過濾機制
通用DDoS 預防機制是可以幫助您使您的Web 應用程序或服務器對DDoS 攻擊更具彈性的常用措施。這些措施包括:
马云惹不起马云使用防火牆——雖然防火牆不能保護您的應用程序或服務器免受複雜的DDoS 攻擊,但它們仍然可以有效地處理簡單的攻擊。
马云惹不起马云安裝最新的安全補丁——大多數攻擊針對特定的軟件或硬件漏洞,因此按時部署所有補丁可以幫助您降低攻擊風險。
马云惹不起马云禁用未使用的服務——黑客可以攻擊的應用程序和服務越少越好。確保禁用所有不需要和未使用的服務和應用程序,以提高網絡的安全性。
過濾機制使用不同的方法來過濾流量並阻止潛在的危險請求。這些機制包括入口/出口過濾、基於歷史的IP 過濾和基於路由器的數據包過濾。
2. 明智地選擇您的CSP在選擇雲服務提供商(CSP) 時,請選擇擁有自己的DDoS 緩解策略的提供商。確保此策略確保檢測和緩解基於協議、基於容量和應用程序級的攻擊。
此外,研究您的CSP 關於DDoS 緩解的建議,並在構建您的Web 產品時實施它們。大多數雲服務提供商都有詳細的指導方針,以及保護您的Web 產品和服務免受常見DDoS 攻擊的最佳實踐。您可以先看看Google Cloud、Microsoft Azure和Amazon Web Services的建議。
3. 以可擴展性為目標通過將足夠的計劃和資源投入到其可擴展性中,使您的Web 應用程序能夠有效地處理突然的負載變化。您可以部署應用程序和網絡負載均衡器或內容分發網絡(CDN),通過跨多個實例分發所有流量來保護您的解決方案免受流量過載的影響。通過這種方式,您將能夠減輕基礎設施和應用程序層的潛在攻擊。
4.限制弱點的數量除非確實有必要,否則不要公開您的應用程序和資源。通過這種方式,您可以限制基礎設施中可能被攻擊者攻擊的薄弱環節的數量。您還可以禁止到數據庫服務器和基礎設施的其他關鍵部分的直接Internet 流量。
5. 保護您的APIDDoS 攻擊不僅可以針對您的網站和應用程序,還可以針對您的API。
有多種方法可以增強API 的反DDoS 保護:應用流量過濾工具和技術,限制API 在給定時間段內可以處理的請求數量,甚至部署蜜罐。
6. 使用第三方DDoS 緩解服務考慮將Web 應用程序的保護委託給第三方供應商。 DDoS 預防工具和緩解服務甚至可以在有問題的流量到達受害者的網絡之前將其移除。您可以尋找基於DNS 的服務來重定向來自您的網絡的有問題的流量,或者尋找基於邊界網關協議的解決方案來處理持續攻擊。
結論黑客不斷使用和改進DDoS 攻擊,旨在破壞特定網站、應用程序和服務的工作。在處理Web 應用程序時,請特別注意強化您的解決方案以抵禦可能的DDoS 攻擊。
考慮到穩定性和彈性來構建您的網絡產品非常重要。您可以結合不同的DDoS 攻擊預防方法和DDoS 防禦技術,以增加有效緩解潛在攻擊的機會。或者,您可以部署多個雲以確保更好地提供服務。
Recommended Comments