IT 行业最近见证了分布式拒绝服务 (DDoS) 攻击的稳步增长。 多年前,DDoS 攻击被认为是新手攻击者犯下的小麻烦,他们这样做是为了好玩,并且相对容易缓解它们。 不幸的是,这种情况已经不复存在了。 DDoS 攻击现在是一项复杂的活动,在许多情况下是一项 大生意 。
InfoSecurity Magazine 报告称 ,2021 年第一季度有 290 万次 DDoS 攻击,比 2020 年同期增长 31%。
与 2020 年同期相比,2021 年第一季度的 DDoS 攻击增加了 31%,达到 290 万次
近年来,我们看到 呈指数级增长 ,导致企业在很长一段时间内无法运作。
- 2020 年 2 月,亚马逊网络服务 (AWS) 遭受了一次复杂的 DDoS 攻击,导致其事件响应团队持续数日忙碌,这也影响了全球客户。
- 2021 年 2 月,EXMO 加密货币交易所成为 DDoS 攻击的受害者,导致该组织近五个小时无法运营。
- 最近,澳大利亚经历了一次重大的、 持续的、由国家支持的 DDoS 攻击 。
- 比利时也成为针对该国议会、 警察部门和大学 。
每天都会发生数十万次未命名、未记录但成功的 DDoS 攻击。 事实上,正是这些攻击是最有效和最昂贵的。 DDoS 上升趋势 有望继续 ,这使得具有缓解技能的 IT 专业人员需求量很大。
激烈的 IT 战:什么是 DDoS 攻击?
尽管变得越来越普遍,但 DDoS 攻击可能非常先进且难以打击。 但究竟什么是 DDoS 攻击,DDoS 代表什么?
DDoS 是分布式拒绝服务的缩写。 当威胁参与者使用来自多个远程位置的资源来攻击组织的在线操作时,就会发生 DDoS 攻击。 通常,DDoS 攻击侧重于生成操纵 网络设备和服务(例如,路由器、命名服务或缓存服务)的默认设置,甚至正常工作。 事实上,这是主要问题。
复杂的 DDoS 攻击不一定要利用默认设置或开放中继。 他们利用正常行为并利用在当今设备上运行的协议最初是如何设计运行的。 就像社会工程师操纵人类交流的默认运作方式一样,DDoS 攻击者操纵我们都依赖和信任的网络服务的正常运作。
当发生 DDoS 攻击时,目标组织的一项或多项服务会遭受严重中断,因为攻击已经用 HTTP 请求和流量淹没了他们的资源,从而拒绝了合法用户的访问。 DDoS 攻击 ,被列为我们这个时代四大网络安全威胁之一 社会工程 、 勒索 和供应链攻击中
现代战争:避免混淆 DDoS 攻击
将 DDoS 攻击与其他网络威胁相混淆相对容易。 事实上,IT 专业人员甚至网络安全专业人员都非常缺乏关于 DDoS 攻击究竟如何工作的知识。
在 DDoS 攻击中,网络犯罪分子利用网络设备和服务器之间发生的正常行为,通常 针对 与 Internet 建立连接的网络设备。 因此,攻击者关注的是边缘网络设备(例如路由器、交换机),而不是单个服务器。 DDoS 攻击使网络管道(带宽)或提供 那个带宽。
这是一个有用的类比:想象有几个人同时给您打电话,这样您就无法拨打或接听电话或将您的电话用于任何其他目的。 这个问题一直存在,直到您通过您的提供商阻止这些呼叫。
请注意,您不会对您的实际移动设备进行修复、升级或以其他方式进行调整。 相反,您可以使用手机提供商的拦截服务来修复攻击者与您的手机之间的连接。
在 DDoS 攻击期间也会发生类似的事情。 您无需修改受到攻击的资源,而是在您的网络和威胁参与者之间应用修复程序(也称为缓解措施)。
DDoS 与 DoS 攻击:有什么区别?
避免将 DDoS(分布式拒绝服务)攻击与 DoS(拒绝服务)攻击混淆是很重要的。 尽管只有一个词将两者分开,但这些攻击的性质差异很大。
- 严格定义,典型的 DDoS 攻击操纵攻击者和受害者之间的许多分布式网络设备发动不知情的攻击,利用合法行为。
- 传统的 DoS 攻击不使用多个分布式设备,也不关注攻击者和组织之间的设备。 这些攻击也往往不使用多个互联网设备。
典型的 DoS 攻击可能包括以下内容:
- 单源 SYN 泛洪: 当攻击者使用单个系统发出 SYN 数据包泛洪攻击,操纵典型的 TCP 三向握手时,就会发生这种情况。 例如,某人可能使用 Kali Linux 生成的 SYN 洪水 计算机不是真正的 DDoS 攻击,因为所进行的攻击仅来自一个设备。 即使攻击者使用 IP 地址欺骗也是如此。 对于网络级设备,真正的 DDoS 攻击是由网络级设备生成的。 换句话说,您使用多个路由器或 Memcached 服务器来攻击网络。
- “死亡 ping”: 多年前,一些网络驱动程序包含有缺陷的代码,如果它收到包含某些参数的 ICMP 数据包,则会导致系统崩溃。
- : slow loris 攻击 , slow loris 攻击通常称为 DDoS 攻击,但因为攻击针对的是特定服务器(在这种情况下 web 服务器)并且通常不使用中间网络设备,它通常是传统的 DoS 攻击。
上述每种 DoS 攻击都利用了特定主机中的软件或内核弱点。 要解决此问题,您需要修复主机和/或过滤掉流量。 如果您可以升级服务器以减轻攻击,那么它不符合条件 作为传统的 DDoS 攻击。
请记住,在 DDoS 攻击中,威胁行为者采用资源消耗策略。 该策略涉及使用看似合法的请求来压倒实际上不合法的系统,从而导致系统问题。
攻击策略:DDoS 攻击的类型
DDoS 攻击一般分为三种类型。
1. 应用层
2.协议
3. 体积
在某些情况下,IT 和网络安全专家将基于协议和应用程序的 DDoS 攻击视为一类。
收集英特尔:为什么您需要了解 DDoS 攻击
DDoS 攻击的问题越来越严重,IT 专业人员需要做好准备。
- ,到 2020 年,到 2021 年,第 7 层攻击有所增加 据 CloudFlare 称 。
- ,在 2020 年第一季度,超过 100 GB/s 的 DDoS 攻击数量增加了近十倍 (967%) 根据 Comparitech 。
- 体积攻击的绝对规模已增加到压倒性的比例。 CloudFlare 还报告 说 500 Mbps DDoS 攻击已成为容量的标准 攻击。
- DDoS 攻击正变得越来越普遍。 2021 年 据 ZDNet 报道 DDoS 攻击在前两年至少增长了 154%。
- 攻击变得更加复杂。 攻击者将 DDoS 与其他类型的攻击( 包括勒索软件 。
- DDoS 攻击者采用复杂的人工智能 (AI) 和机器学习方法来帮助进行攻击。 例如,DDoS 僵尸网络应用机器学习方法进行复杂的网络侦察,以找到 最脆弱的系统。 他们还使用人工智能重新配置自己,以阻止检测和改变攻击策略。 现代攻击很可能表现为防御者和攻击者将启用人工智能的系统相互对抗。
- DDoS 攻击者采用了混合攻击策略。 他们将各种攻击方法与社会工程、凭证窃取和物理攻击相结合,使实际的 DDoS 攻击只是多方面方法中的一个因素。
战术战:DDoS 攻击者如何避免检测
众所周知,DDoS 攻击很狡猾,因此很难确定。 它们如此狡猾的原因之一是难以确定原产地。 威胁行为者通常采用三种主要策略来发起 DDoS 攻击:
1. 欺骗
默认情况下,IPv4 和 IPv6 无法验证和跟踪流量。 特别是对于 IPv4 网络,欺骗源地址和目标地址非常简单。 DDoS 攻击者通过伪造具有 伪造的源地址。 因此,攻击者有可能通过向最初从未真正发出请求的受害主机发送数百万个回复来欺骗合法设备响应这些数据包。
2. 反思
攻击者通常希望隐藏他们参与 DDoS 攻击的任何痕迹。 为此,他们操纵互联网服务的默认行为,以便服务有效地隐藏实际的攻击者。 这些类型的攻击中经常使用的服务 包括数千个域名系统 (DNS)、网络时间协议 (NTP) 和简单网络管理 (SNMP) 服务器。 这是攻击者被 DDoS 策略吸引的主要原因之一。 互联网服务不仅提供 流量,但它们也往往使防御者更难追踪攻击的来源,因为大多数服务器不保留使用它们的服务的详细日志。
3. 放大
放大是一种策略,它让 DDoS 攻击者使用源倍增器生成大量流量,然后可以针对受害主机。 放大攻击不使用僵尸网络,它只是一种策略,允许攻击者 发送一个伪造的数据包,然后欺骗合法服务向受害者网络或服务器发送数百甚至数千条回复。
了解 DDoS 攻击使用正常的互联网操作来进行恶作剧非常重要。 这些设备不一定配置错误,它们实际上表现得像它们应该表现的那样。 攻击者只需 找到了一种方法来利用这种行为并操纵它来进行 DDoS 攻击。
此外,网络设备和服务通常会在不知情的情况下成为 DDoS 攻击的参与者。 这三种策略利用了全球网络资源的默认行为。 这些资源包括:
- 路由器
- 开关
- 防火墙
- 负载均衡器
- 缓存服务器
- 边缘网络设备
- 移动信号塔(包括4G和5G)
战斗持续时间:DDoS 攻击持续多长时间?
DDoS 攻击的长度和复杂程度差异很大。 DDoS 攻击可能会持续很长时间,也可能非常短暂:
- 长期攻击: 在数小时或数天内发动的攻击被视为长期攻击。 例如,对 AWS 的 DDoS 攻击造成了三天的中断,最终得到缓解。
- 突发攻击: 这些 DDoS 攻击在很短的时间内发动,仅持续一分钟甚至几秒钟。
不要被欺骗。 尽管速度非常快,但爆发攻击实际上可能极具破坏性。 随着物联网 (IoT) 设备和功能日益强大的计算设备的出现,有可能产生比 以往。 因此,攻击者可以在很短的时间内创建更多的流量。 突发 DDoS 攻击通常对攻击者有利,因为它更难追踪。
技术战:僵尸网络和 DDoS 攻击
僵尸网络是庞大的计算机网络,可用于发动 DDoS 攻击。 它们通常由受感染的计算机(例如, 物联网设备 、服务器、工作站、 路由器等)或僵尸,由中央服务器控制。
攻击者不一定需要僵尸网络来进行 DDoS 攻击。 威胁者可以简单地操纵互联网上数以万计的网络设备,这些设备要么配置错误,要么按设计运行。 尽管如此,重要的是 了解基于僵尸网络的 DDoS 攻击是如何发生的。
更复杂的数字敌人:DDoS 攻击的演变
网络安全的现实之一是,大多数攻击者都是中等天赋的人,他们以某种方式想出了如何操纵特定的网络条件或情况。 尽管经常讨论高级持续性威胁 (APT)和越来越老练的黑客,现实往往要平凡得多。
例如,大多数 DDoS 攻击者只是找到特定的协议。 他们会发现他们可以操纵传输控制协议 (TCP) 握手来创建 SYN 数据包或特定类型的服务器(例如内存)的洪水攻击 缓存守护进程(它通常被称为“Memcached”,用于内存缓存守护进程)。 Memcached 服务是一种经常用于帮助加速 Web 应用程序的合法服务。 攻击者经常利用 Memcached 实现 没有正确固定,甚至那些运行正常的。
攻击者还发现他们可以破坏物联网设备,例如网络摄像头或婴儿监视器。 但今天,攻击者得到了更多帮助。 最近的进步催生了具有前所未有潜力的人工智能和连接能力。 喜欢合法的 系统管理员、攻击者现在拥有语音识别、机器学习和数字路线图,可以让他们操纵您家中或办公室中的集成设备,例如智能恒温器、电器和家庭安全系统。
攻击计划:基于僵尸网络的 DDoS 攻击剖析
DDoS 流量有很多不同的种类。 在基于僵尸网络的攻击的情况下,DDoS 威胁参与者正在使用僵尸网络来帮助协调攻击。 了解流量类型将有助于选择主动识别措施 和缓解。 单击红色加号以了解有关每种 DDoS 流量的更多信息。
1. 指挥与控制 (C&C)
2. 协调
3. 信标/心跳流量
4.攻击流量
5. 运营技术(OT)/物联网
6. 异常流量
7. 多向量
组装武器:了解 DDoS 攻击如何工作的工具
DDoS 攻击有多种形式,并且一直在发展以包含各种攻击策略。 IT 专业人员必须具备有关攻击工作原理的知识。
有三种模型可以帮助深入了解 DDoS 攻击的内部运作:
- Lockheed Martin Cyber Kill Chain : 用于帮助提供攻击策略框架,该模型概述了七个步骤 黑客可能会采取长期持续的 DDoS 攻击。 该模型不考虑使用僵尸网络来破坏系统。
- Mitre ATT&CK 模型 : 该模型描述了现实世界的攻击,并提供了已知对抗策略和技术的知识库,以帮助 IT 专业人员分析和预防 未来的事件。 此模型对于希望防御 DDoS 攻击的个人特别有用,因为它允许您分析攻击者并确定他们的策略。
- 入侵分析 : 钻石模型帮助组织权衡对手的能力和能力 受害者,正如 CompTIA 博客中关于 三种主要网络安全模型 。 即使创建了 Diamond 模型 为了模拟实际入侵,它对于识别 DDoS 攻击也很有用。
作为一名 IT 专业人员,了解如何应对 DDoS 攻击至关重要,因为随着时间的推移,大多数组织都必须管理各种类型的攻击。 安全分析师和威胁猎手经常使用 ATT&CK 模型和 Mitre ATT&CK 导航器可帮助识别允许 DDoS 攻击特别成功的条件。
主要攻击简史:DDoS 示例
多年来,分布式拒绝服务攻击的数量非常多。 让我们从主要 DDoS 攻击的简短列表开始,它们背后的动机以及它们对我们数字世界的持久影响。 点击 红色加号以了解有关这些主要 DDoS 攻击的更多信息。
1.爱沙尼亚:2007年4月27日
2. 格鲁吉亚共和国:2008 年 7 月 20 日
3. Spamhaus:2013 年 3 月 18 日
4.占中:2014年6月
5. 动态:2016 年 10 月 21 日
6. GitHub:2018 年 2 月 28 日
7. 亚马逊网络服务 (AWS):2020 年 2 月
8. 谷歌:2017 年 9 月(2020 年 10 月报告)
9. 特定部门的攻击:2019-2021
攻击者简介:谁执行 DDoS 攻击?
您经常看到邪恶的、戴着黑头巾的人的图像来象征恶意威胁者。 实际上,这些攻击者群体通常为当局所熟知,并使用 DDoS 策略来获得影响力,扰乱政府和军事行动 或导致人们对市场部门、公司品牌或历史悠久的机构失去信心。
无论驱动这些攻击的动机如何,黑客都可以很容易地被雇佣来帮助发起 DDoS 攻击——就像雇佣枪支一样。 租用个人或整个商业团体 暗网上 , 通常在服务模式下,类似于 基础设施即服务 (IaaS) 或 软件即服务 (SaaS) 的 。 事实上,Radware 于 2020 年 8 月发布了全球安全警报,以应对日益流行的 DDoS 出租攻击。
是什么激发了攻击:DDoS 攻击背后的原因
为了阻止 DDoS 攻击,了解导致事件的原因很重要。 虽然 DDoS 攻击在战术和方法方面的性质差异很大,但 DDoS 攻击者也可能有多种动机,包括以下内容。
- 财务动机: DDoS 攻击通常与勒索软件攻击相结合。 攻击者发送消息通知受害者,如果受害者支付费用,攻击将停止。 这些攻击者通常是有组织犯罪集团的一部分。 然而,今天,这些辛迪加可以小到十几个人,拥有网络知识和额外的时间。 有时,竞争对手的企业甚至会相互进行 DDoS 攻击以获得竞争优势。
- 意识形态动机: 攻击通常针对政治局势中的压迫性管理机构或抗议者。 此类 DDoS 攻击通常用于支持特定的政治利益或信仰体系,例如宗教。
- 国家支持的动机: 当政治动荡或分歧变得明显时,DDoS 攻击通常会引起军队或平民的混乱。
- 战术动机: 在这种情况下,DDoS 攻击是作为更大活动的一部分发动的。 在某些情况下,该活动包括物理攻击或其他一系列基于软件的攻击。 例如,众所周知,军队会结合 DDoS 攻击 与物理的。 战术攻击用于转移对正常 IT 任务的注意力,以利用不同的目标——旧的诱饵和转换网络攻击。
- 商业/经济动机: 这种类型的 DDoS 攻击有助于收集信息或对特定行业造成损害。 例如,对索尼、英国航空公司和 Equifax 等公司的攻击导致消费者对整个 行业。
- 勒索动机: 其他攻击用于通过勒索手段获得一些个人或金钱利益。
导弹发射:执行 DDoS 攻击的工具
攻击者使用多种设备来攻击组织。 以下是 DDoS 攻击中使用的一些常用工具:
- 服务: 包括 Memcached(用于加速数据库和基于 Web 的事务)、DNS 服务器、NTP 和 SNMP。
- 网络设备: 网络设备包括路由器和交换机等项目。
- 僵尸网络: DDoS 攻击中常用的受感染系统的集合。
- 物联网设备: 网络犯罪分子可以利用联网设备的弱点,将其变成僵尸。 臭名昭著的 Mirai 僵尸网络被用来使用不安全的婴儿监视器发起一系列攻击。
- AI: 黑客正在使用人工智能在 DDoS 攻击期间自动修改代码,因此尽管有保护措施,攻击仍然有效。
- 旧设备的利用: 较旧的硬件通常面临更多漏洞,并且经常成为目标和利用。
侦察的作用:跟踪 DDoS 攻击
DDoS 攻击者每天都变得越来越精明。 攻击的规模和持续时间都在扩大,没有放缓的迹象。 组织需要密切关注事件的脉搏,以了解他们对 DDoS 攻击的敏感程度。
以下是一些可以帮助您跟踪最新 DDoS 攻击的资源:
- Mazebolt 全球 DDoS 攻击列表 : 该资源提供了一个正在运行的攻击列表,其中包含日期、原产国、停机时间等信息, 攻击细节,甚至链接到有关事件的新闻信息。
- 网络安全威胁情报 (CTI) 共享资源:
- CompTIA ISAO : CompTIA 拥有一个组织,致力于共享与威胁相关的情报并提供可操作的洞察力以减轻威胁 并解决网络安全挑战。
- 美国 CISA 自动指标共享 : CISA 提供的工具可以实时共享网络威胁信息,以帮助限制攻击的普遍性。
- FBI Infragard : 作为 FBI 和私营部门之间的合作伙伴,InfraGard 支持共享有关攻击和缓解技术的信息。
- 数字攻击地图 : 该地图显示了全球 DDoS 攻击的实时信息,并允许您按类型、源端口、持续时间和目标端口进行过滤。
- AlienVault Open Threat Exchange : 这个威胁情报社区提供对威胁指标的免费访问,并允许与他人共享威胁研究。
- Threatbutt Internet Hacking Attack Attribution Map : 该地图提供对全球 DDoS 攻击的实时跟踪。
- 它现在下降了吗? : 当您怀疑有攻击时,此资源是一个很好的起点。 通过输入域和此工具检查网站是否已关闭 将立即返回结果。
已确定目标:DDoS 攻击者最常针对什么?
尽管任何行业的组织都容易受到攻击,但这些行业最常受到 DDoS 攻击:
- 卫生保健
- 政府
- 互联网服务提供商 (ISP)
- 云服务提供商
盯上敌人:识别 DDoS 攻击
从战术 DDoS 缓解的角度来看,您需要具备的主要技能之一是模式识别。 能够发现表示 DDoS 攻击正在发生的重复是关键,尤其是在初始阶段。 自动化应用程序和 人工智能通常被用作助手,但通常公司需要熟练的 IT 专业人员来区分合法流量和 DDoS 攻击。
工作人员通常会寻找以下警告信号,表明 DDoS 攻击正在发生:
- 来自现有缓解设备(例如负载平衡器、基于云的服务)的报告
- 客户报告服务缓慢或不可用
- 使用相同连接的员工也会遇到速度问题
- 在短时间内来自特定 IP 地址的多个连接请求
- 未执行维护时收到 503 服务不可用错误
- 由于生存时间 (TTL) 超时,对技术资源的 Ping 请求超时
- 日志显示流量异常巨大
响应威胁:用于缓解 DDoS 攻击的响应技术、服务和策略
DDoS 缓解与缓解其他网络攻击(例如源自勒索软件的攻击)完全不同。 DDoS 攻击通常通过能够处理这些类型攻击的设备和服务来缓解。 例如,今天的 负载均衡器有时能够通过识别 DDoS 模式然后采取行动来处理 DDoS 攻击。 其他设备可用作中介,包括防火墙和专用洗涤器设备。
在尝试缓解 DDoS 攻击时,您希望专注于在您的网络和用于攻击您的系统之间放置服务和设备。 由于攻击者通过利用合法的网络和互联网行为来产生 DDoS 流量,任何 连接的设备或服务器很容易受到攻击,因为它本质上不被认为是恶意的。 您必须创建一个中间缓解解决方案来响应该攻击。 在勒索软件或恶意软件攻击中,安全专业人员 通常通过升级端点上的软件或从备份恢复来解决问题。
应对威胁:DDoS 攻击响应的 5 个步骤
响应 DDoS 攻击的典型步骤包括:
1、检测
早期检测对于防御 DDoS 攻击至关重要。 寻找上面提供的警告标志,表明您可能成为目标。 DDoS 检测可能涉及调查数据包的内容以检测第 7 层和基于协议的攻击或利用 基于速率的措施来检测容量攻击。 当谈到 DDoS 攻击时,通常首先讨论基于速率的检测,但大多数有效的 DDoS 攻击并不能使用基于速率的检测来阻止。
2.过滤
透明的过滤过程有助于丢弃不需要的流量。 这是通过在网络设备上安装有效规则以消除 DDoS 流量来完成的。
3. 导流和重定向:
此步骤涉及转移流量,使其不会影响您的关键资源。 您可以通过将 DDoS 流量发送到清理中心或其他充当污水坑的资源来重定向 DDoS 流量。 通常建议您透明地 沟通正在发生的事情,这样员工和客户就不需要为了适应缓慢而改变他们的行为。
4、转发与分析:
了解 DDoS 攻击的来源很重要。 这些知识可以帮助您开发协议以主动防御未来的攻击。 虽然试图杀死僵尸网络可能很诱人,但它可能会造成后勤问题,并可能 导致法律后果。 一般不推荐。
5. 替代交付
在发生攻击时,可以使用几乎可以立即提供新内容或打开新网络连接的替代资源。
缓解 DDoS 攻击的最佳方法之一是在事件响应过程中以团队的形式进行响应并进行协作。 上述步骤只能通过服务、设备和个人的结合来实现。 为了 例如,为了缓解第 7 层 DDoS 攻击,通常需要执行以下操作:
- 检测: 组织将结合使用安全分析师和渗透活动来识别第 7 层攻击模式。 渗透测试员一般会模拟DDoS攻击,安全分析师会仔细聆听 识别独特的特征。
- 流量过滤: 使用清理中心和服务来帮助重定向和遏制有害流量。
- 第 7 层控制: 验证码和 cookie 质询通常用于确定网络连接请求是来自机器人还是合法用户。
- 将数据包转发给安全专业人员进行进一步分析: 安全分析师将参与模式识别活动,然后根据他们的发现推荐缓解措施。
- 第 7 层攻击期间的替代交付: 当您的资源对抗攻击时,使用 CDN(内容交付网络)可以帮助支持额外的正常运行时间。 需要注意的是,缓解设备可能会遇到 问题。 它可能没有正确更新或配置,实际上可能成为 DDoS 攻击期间问题的一部分。
限制损害:DDoS 缓解技术
一旦您知道自己正面临 DDoS 攻击,就该进行缓解了。 准备战斗!
物理设备 | 在 DDoS 攻击期间管理物理设备在很大程度上仍然是与其他缓解工作不同的类别。 通常称为设备,物理设备是分开的,因为 DDoS 模式和流量是如此独特和困难 来正确识别。 即便如此,设备可以非常有效地保护小型企业免受 DDoS 攻击。 |
云擦洗设备 | 这些服务通常被称为清洗中心,插入在 DDoS 流量和受害网络之间。 他们获取针对特定网络的流量,并将其路由到不同的位置,以将损害与预期来源隔离开来。 清理中心清理数据,只允许合法的业务流量传递到目的地。 清理服务的示例包括由 Akamai、Radware 和 Cloudflare 提供的服务。 |
多个互联网服务连接 | 由于 DDoS 攻击经常试图用流量淹没资源,因此企业有时会使用多个 ISP 连接。 如果单个 ISP 不堪重负,则可以从一个切换到另一个。 |
黑洞 | 这种 DDoS 缓解技术涉及使用云服务来实施称为数据接收器的策略。 该服务将虚假数据包和大量流量引导到数据接收器,在那里它们不会造成任何伤害。 |
内容交付网络 (CDN) | 这是一组地理位置分散的代理服务器和网络,通常用于 DDoS 缓解。 CDN 作为一个单元工作,通过多个骨干网和 WAN 连接快速提供内容,从而分配网络负载。 如果 当一个网络被 DDoS 流量淹没时,CDN 可以从另一组未受影响的网络传送内容。 |
负载平衡服务器 | 通常部署用于管理合法流量,负载平衡服务器也可用于阻止 DDoS 攻击。 当 DDoS 攻击正在进行时,IT 专业人员可以利用这些设备将流量从某些资源转移。 |
Web 应用防火墙 (WAF) | WAF 用于过滤和监控 HTTP 流量,通常用于帮助缓解 DDoS 攻击,并且通常是 AWS、Azure 或 CloudFlare 等基于云的服务的一部分。 虽然有时有效,但专用设备或基于云的洗涤器 通常建议改为。 WAF 专注于过滤到特定 Web 服务器或应用程序的流量。 但是,真正的 DDoS 攻击集中在网络设备上,从而拒绝最终为 Web 服务器提供的服务。 仍然, 有时可以将 WAF 与其他服务和设备结合使用以响应 DDoS 攻击。 |
市场上几乎所有的 DDoS 缓解设备都使用相同的五种机制:
- 签名
- 行为或 SYN 洪水
- 基于速率和地理位置:如上所述,这通常不可靠。
- 僵尸网络检测/IP 信誉列表:使用列表的成功与否取决于列表的质量。
- 挑战与回应
DDoS 缓解服务
目前市面上很多应对DDOS的防御服务,这里主机吧简单介绍几种。
DDoS 缓解供应商 | 提供的服务 |
高防服务器 | 托管于高防数据中心的服务器,适合网站、游戏等服务 |
高防IP | 通过高防机房资源配合防御软件,可防网站、app、游戏等业务。 |
高防CDN | 利用多地防御节点,分布式防御的服务,适用于网站、APP业务。 |
游戏盾 | 专为游戏行业定制,针对性解决游戏行业中复杂的DDoS攻击、游戏CC攻击等问题。 |
WAF防火墙 | Web应用防火墙对网站或者APP的业务流量进行恶意特征识别及防护,将正常、安全的流量回源到服务器,适用于网站、APP业务。 |
高防DNS | 顾名思义就是一种高防域名系统,可防御DNS攻击。 |
要知道的术语
- ACK: 确认字符
- DNS: 域名系统
- HTTP: 超文本传输协议
- ICMP: 互联网控制消息协议
- OSI/RM: 开放系统互连/参考模型
- 事件响应: 管理 DDoS 攻击时要采取的步骤。
- SYN: 同步数据包
- SYN 洪水: 攻击者操纵三向 TCP 握手来创建 DDoS 攻击。
- TCP: 传输控制协议
- TCP 握手: 当两台计算机在 TCP 会话开始时相互通信时发生的一个三步过程。 也称为 TCP 三向握手。
- UDP: 用户数据报协议
原创文章,作者:奋斗,如若转载,请注明出处:https://blog.ytso.com/250145.html