想象一下,有人一次又一次地用不同的电话号码给你打电话,你不能把他们列入黑名单。最后,你可能会选择关闭手机以避免骚扰。这种场景是常见的分布式拒绝服务(DDoS)攻击的样子。
乔布斯(Steve Jobs)推出第一款iPhone之前,DDoS攻击已经存在了。它们很受黑客欢迎,因为它们非常有效,容易启动,几乎没有痕迹。那么如何防御呢?DDoS攻击呢?你能保证对你有好处吗?web为服务器和应用程序提供高程序DDoS在本文中,我们将讨论如何如何DDoS攻击,并将介绍一些特定的DDoS保护和预防技术。
DDoS攻击的类型和方法
分布式拒绝服务攻击(以下简称DDoS)它是一种协同攻击,旨在使受害者的资源无法使用。它可以由一个黑客组织,也可以使用连接到互联网的多个损坏设备。这些在攻击者控制下的设备通常被称为僵尸网络。有多种执行DDoS攻击工具:例如Trinoo,Stacheldraht,Shaft,Knight,Mstream等等。这些工具的可用性是DDoS攻击如此广泛和流行的原因之一。
DDoS攻击可以持续数百小时
DDoS攻击可能持续几分钟、几个小时甚至几天。卡巴斯基实验室的一份报告显示,近年来最长的时间DDoS2018年1月发生了近300个小时的攻击。
发起DDoS有两种常见的攻击方法:
- 使用软件漏洞。黑客可以将格式错误的数据包发送给已知和未知的软件漏洞,以试图破坏受害者的系统。
- 消耗计算或通信资源。黑客可以发送大量合法的数据包来消耗受害者的网络带宽CPU或内存,直到目标系统无法处理合法用户的任何请求。
- 能耗尽攻击
- 协议攻击
- 攻击应用程序
- 0 day漏洞DDoS攻击
图1. DDoS攻击的分类
让我们仔细研究一下每种类型的攻击。
能耗尽攻击
能耗尽攻击(Volumetric attacks)通常借助僵尸网络和放大技术,通过向终端资源注入大量流量来阻止对终端资源的访问。最常见的能耗尽攻击类型有:
- UDP洪水攻击。黑客向协议发送用户数据(UDP)将受害者的源地址伪造到随机端口。主机产生大量的回复流,并将其发送回受害者。
- ICMP洪水攻击。黑客使用大量互联网控制消息协议(ICMP)请求或ping试图耗尽受害者的服务器带宽。
协议攻击
根据Verisign 2018年第1季度DDoS在趋势报告中,协议攻击针对的是协议工作模式的漏洞,这是第二大最常见的攻击媒介。最常见的协议攻击类型有:
- SYN洪水攻击。黑客用三向握手TCP机制漏洞。客户端将是客户端SYN数据包发送到服务器,接收SYN-ACK数据包,永远不会ACK数据包发送回主机。因此,受害者的服务器留下了许多未完成的服务器SYN-ACK请求最终导致崩溃。
- 死亡之Ping。攻击–黑客使用简单Ping命令发送超大数据包,导致受害者系统冻结或崩溃。
攻击应用程序
应用程序攻击使用协议栈(6)、协议栈(7)中的漏洞,针对特定的应用程序而不是整个服务器。它们通常针对公共端口和服务,如DNS或HTTP。最常见的应用攻击包括:
- HTTP洪水攻击。攻击者使用大量标准GET和POST要求淹没应用程序或web服务器。因为这些请求通常显示为合法流量,所以检测HTTP洪水攻击是一个相当大的挑战。
- Slowloris。正如其名,Slowloris慢慢崩溃受害者的服务器。攻击者将时间间隔和一小部分发送给受害者的服务器HTTP请求。服务器一直在等待这些请求完成,但永远不会发生。最终,这些未完成的请求耗尽了受害者的带宽,使合法用户无法访问服务器。
0 day漏洞DDoS攻击
除了众所周知的攻击,还有0 day漏洞DDoS攻击。他们利用尚未修补的未知软件漏洞或使用不常见的攻击媒介,因此更加难以检测和防御。例如,早在2016年,攻击者利用轻型目录访问协议(LDAP)攻击放大系数高达55。
现在让我们谈谈测试DDoS攻击方法。
检测DDoS攻击
尽管不可能完全阻止它DDoS发生攻击,但有一些有效的方法可以帮助你检测和停止正在进行的攻击DDoS攻击。异常检测:统计模型和机器学习算法(如神经网络、决策树和近邻算法)可用于分析网络流量,并将流量模式分为正常或正常DDoS攻击。您还可以搜索其他网络性能因素中的异常,如设备CPU利用率或带宽。
基于知识的方法:使用特征代码分析、状态转换分析、专家系统、描述脚本和自组织映射等方法,您可以比较流量和已知攻击的特定模式DDoS。
ACL防火墙规则:除进出口流量过滤外,访问控制列表(ACL)防火墙规则可用于增强流量可见性。特别是,你可以分析ACL了解通过网络运行的流量类型的日志。您还可以根据特定的规则、签名和模式进行配置web防火墙应用程序防止可疑流量的传入。
入侵防御和检测系统报警:入侵防御系统(IPS)入侵检测系统(IDS)提供额外的流量可见性。虽然误报率很高,但是IPS和IDS警报可作为异常和潜在恶意流量的早期指示。
在早期阶段检测正在进行的攻击可以帮助你减少后果。但是,你可以采取适当的预防措施来预防它DDoS攻击使攻击者更难淹没或破坏你的网络。
如何编写有效的保护?DDoS攻击解决方案
无论你是想创造自己的有效保护DDoS攻击的解决方案仍然是Web寻找商业化的应用程序DDoS在攻击防护系统时,应牢记以下基本系统要求:- 混合DDoS检测方法。基于特征码和异常检测方法的组合是对不同类型的检测DDoS攻击的关键。
- 防御3–4级和6–7等级攻击。如果你的解决方案能够检测和抵抗所有三种主要类型DDoS攻击:容量攻击、应用攻击和协议攻击,则更可取。
- 有效的流量过滤。DDoS最大的保护挑战之一是区分恶意请求和法律请求。由于涉及到有效的过滤规则,因此很难创建有效的过滤规则DDoS大多数攻击请求似乎来自合法用户。流行的方法,如速度限制,通常会产生许多误报,阻止合法用户访问您的服务和应用程序。
- SIEM集成。将防DDoS解决方案与SIEM良好的系统组合非常重要,这样你就可以收集攻击信息,分析它,并使用它来改进它DDoS的保护并防止以后发生攻击。
防止DDoS攻击
即使你停不下来DDoS攻击发生了,但你有能力让攻击者更难关闭你的网站或应用程序。DDoS预防技术的关键点。你可以用两种DDoS预防机制:常规预防措施和过滤技术。
常规的DDoS保护机制是一种常见的措施,可以帮助你Web应用程序或服务器对DDoS攻击更有弹性。这些措施包括:
- 使用防火墙。虽然防火墙不能保护您的应用程序或服务器免受复杂的影响DDoS但它们仍能有效地处理简单的攻击。
- 安装最新的安全补丁。大多数攻击针对特定的软件或硬件漏洞,因此及时部署所有补丁可以帮助您降低攻击风险。
- 禁用未使用的服务。黑客攻击的应用程序和服务越少越好。确保禁用所有不需要和未使用的服务和应用程序,以提高网络的安全性。
保护Web免受应用程序DDoS优秀的攻击实践
除了特定的DDoS有几种预防机制可以帮助你web提供额外的应用程序DDoS保护:- 限制漏洞数量。不要披露你的应用程序和资源,除非你必须。这样,你就可以限制攻击者可能针对的基础设施中的漏洞数量。您还可以禁止将互联网流量直接发送到数据库服务器和基础设施的其他关键部件。
- 扩展负载。考虑使用负载平衡器和内容分发网络(CDN),即使在攻击期间,也可以通过平衡资源负载来减少攻击的影响。
- 仔细选择您的云提供商。寻找值得信赖的云服务提供商并提供自己DDoS缓解策略。确保基于协议、卷和应用程序级别的攻击能够检测和缓解他们的策略。例如,一些云供应商使用它anycasting网络是一样的IP地址的多台机器之间有很多要求。
结论
不断使用和改进黑客DDoS攻击破坏特定服务、大小企业甚至公共和非营利组织的工作。这些攻击的主要目的是耗尽受害者的资源,使他们的服务、应用程序或网站崩溃。虽然不能完全阻止DDoS攻击的发生,但有一些有效的DDoS攻击保护技术和方法可用于增强基础设施抵抗力DDoS攻击并减少其后果。