拒绝服务攻击,Denial of Service

DDoS是什么意思?

分布式拒绝服务(DDoS) 攻击是拒绝服务(DoS)攻击的一个子类。DDoS攻击涉及多重连接的在线装置,统称为僵尸网络,利用虚假流量对一个目标网站进行饱和式攻击。

与其他类型的网络攻击不同,DDoS攻击并不试图破坏您的安全边界。相反,它们的目标是使您的网站和服务器对合法用户不可用。DDoS还被用作其他恶意活动的烟幕,破坏安全设施,破坏目标的安全边界.

成功的DDoS攻击绝对是令人瞩目的大事件,会对整个在线用户群产生影响。这使得它成为黑客分子、网络破坏分子、勒索者和某些网络攻击嗜瘾者的首选武器.

DDoS 攻击通常会持续数天、数周甚至数月,这对任何在线组织而言均具有严重的破坏性。除此外,DDoS攻击还会导致收入受损,侵蚀消费者的信任,迫使企业花费巨额赔偿金,机构信誉一落千丈.

DoS 与DDoS

DoS 与DDoS之间具有本质区别,这一点需要注意。在一次DoS攻击中, 攻击者使用单一互联网连接,或利用软件漏洞,或通过虚假请求对目标进行饱和攻击–通常是试图耗尽服务器的资源(例如:RAM 和CPU).

而另一方面,分布式拒绝服务(DDoS) 攻击来自多重连接的设施,这些设施广泛地分布在互联网上。这些多人、多设施的堰坝通常很难转向,多数都是由于所涉及的设施数量庞大。与单一来源DoS攻击不同,DDoS攻击趋向于目标的网络基础设施,旨在通过巨大的流量使其饱和。

DDoS攻击的执行方式也与DOS攻击不同。 总体而言,DoS攻击是利用自制的脚本或DoS工具(例如:低轨道离子炮(Low Orbit Ion Canon)发起攻击,而 DDoS 则来自僵尸网络–一大群相互连接的感染了恶意软件的设施 (例如:手机、PCs 或路由器),这些恶意软件允许攻击者远程控制。

拒绝服务攻击类型

DoS攻击可分为两大类:

1. 应用层攻击 (又名第 7层攻击) 可以是DoS威胁或 DDoS威胁,通过发送大量需要密集资源处理的请求试图使服务器超载. 除了其他攻击手法,这类攻击包括 HTTP 洪水、低速攻击(例如:Slowloris 或RUDY) 和DNS查询洪水攻击。

UDP/DNS 洪水 - 每秒2500万包 游戏网站受到大规模的 DNS 洪水攻击,峰值超过每秒2500万包.

应用层攻击的规模通常以每秒处理请求数(RPS)进行衡量,多数中等规模的网站只需要不超过50 至 100 RPS的请求便可以攻破.

2. 网络层攻击 (又名第3-4 层攻击) 通常总是 DDoS 攻击,阻塞连接您网络的 “通道”。 这类攻击手法包括 UDP 洪水, SYN 洪水, NTP 放大 DNS 放大攻击等.

任何上述攻击均可以用来阻碍访问您的服务器,同时造成严重的运行损失,如账户冻结和巨大的超额费用.

DDoS 攻击几乎总是高流量事件,通常以每秒1000兆位(Gbps) 或每秒数据包数 (PPS)进行衡量。最大规模的网络层攻击可以超过 200 Gbps;然而,20 至40 Gbps 之间已经足以导致多数网络基础设施完全关闭.

攻击者动机

DoS攻击是由个人、企业甚至国家发起,他们各有各的具体动机:

黑客行为 – 黑客活动分子利用 DoS 攻击作为一种手段表达其对政府和政客等,包括”大企业”和当前事件等的批评。如果他们与您的观点不同,您的网站便会下线(又名”目标已击倒”).

技术要求比其他类型的攻击要低,黑客分子利用预制的工具针对目标发动攻击。Anonymous大概是最著名的黑客组织之一。 针对恐怖分子攻击查理周刊巴黎办公室的事件,以及2014年6月针对巴西政府和世界杯赞助商的攻击事件之后,这种攻击方法被用于2015年2月针对ISIS的攻击.

典型的攻击方法: DoS 和 DDoS

网络破坏 – 网络破坏分子通常被称为”脚本小子”–他们依靠预制脚本和工具给互联网用户带来损失。这些破坏分子通常是些无聊的青少年,为了寻求肾上腺刺激,或为了发泄对某一机构(例如学校)或与其结怨的人的不满或挫败感,还有的是为了引起同伴的注意和获得他人的尊敬.

除了预制工具和脚本,网络破坏分子还会使用DDoS租用服务(又名 booters 或 stressers), 只需花费 19 美元,就可以在网上买到这些服务.

典型的攻击方法: DoS 和 DDoS

booter 广告价格及其性能的例子 booter 广告价格及其性能的例子.

勒索 – DDoS 攻击越来越普遍的动机是勒索,意指网络犯罪分子要求支付金钱以换取停止(不发动)DDoS 攻击。一些著名的在线软件公司–包括MeetUp、Bitly、Vimeo和 Basecamp,经常会收到DDoS攻击威胁,一些拒绝屈服于勒索者威胁的公司被迫下线.

与网络破坏行为类似,这种类型的攻击是由于存在stresser 和booter服务所致.

典型的攻击方法: DDoS

个人竞争 – DoS 攻击还被用于操纵个人得分或破坏在线竞争。此类攻击经常发生在多方在线游戏中,玩家发动针对另一方甚至针对游戏服务器的DDoS攻击,以获得优势,或为避免被”被翻盘”而挽回颓势.

针对玩家的攻击通常采用DoS攻击,通过大量可获得的恶意软件而实施。相反,针对游戏服务器的攻击很可能采用DDoS,发自 stressers和 booters.

典型的攻击方法: DoS, DDoS

企业竞争 – DDoS 攻击越来越多地被用作一种竞争工具。其中一些攻击旨在阻止竞争对手参与某一重大活动 (例如:网络星期一(Cyber Monday)),而其他攻击则是为了将在线企业网站关停数月.

无论采用何种方式,其思路就是阻止自己的客户倒向竞争对手,同时给对方造成经济上和声誉上的损失。一家机构遭受DDoS 攻击的平均成本可以达到每小时40,000美元.

商业纠纷通常是由专业的”雇佣抢手”资助 并实施,他们进行早期侦探,并使用专有工具和资源开展持续的、具有侵略性的DDoS攻击.

典型的攻击方法: DDoS

网络战 – 政府支持的 DDoS攻击被用于压制对政府的批评和内部的反对声音,也是摧毁敌国重要的金融、卫生和基础设施服务的手段.

这些攻击受到国家政府的支持,这意味着他们资金充足并且由专业技术人员精心策划实施.

典型的攻击方法: DDoS

DOS攻击准备

您无法防止DoS攻击。事实是,网络犯罪分子随时都会对他们的目标发动攻击,无论是否存在防御措施.

但是,您可以采取一些措施去扼杀那些正在酝酿中的风暴,其中包括:

  • ” 监控您的流量以发现异常情况,包括无法解释的流量高峰和来自可疑的IP地址和地理区域的访问。所有这些都有可能是攻击者在实施成熟攻击之前所进行的”演习”,以测试您的防御机制。识别这些情况能够帮助您为随后的攻击做好准备.
  • ” 密切关注社交媒体(尤其是推特)和有关威胁、对话和自吹自擂的公共垃圾箱(例如:Pastebin.com),可能会发现即将到来的攻击的蛛丝马迹.
  • ” 考虑使用第三方DDoS 测试(即事前测试 (i.e., pen testing) 模拟针对您IT基础设施的攻击,以便当真正攻击到来的时候,您可以有所准备。当您测试时,应该测试各种类型的攻击,而不仅仅是那些您熟悉的攻击.
  • ” 制定一份应对计划和组织一个快速反应团队,也就是指定一群人,其重要工作就是降低攻击的风险。当您制定计划时,不仅要考虑您的IT人员,而且还要为您客户的支持和沟通团队制定工作程序.

选择适当的缓解策略

“如果您在咖啡上的花费超过信息安全,您将会遭受黑客攻击。而且,您活该被黑客攻击。”

Richard Clarke – 国家安全委员会 (NSC)

为您的机构做好应对DDoS攻击准备的第一步是对您的风险进行评估。重要的基本问题包括:

  • 哪些基础设施需要进行保护?
  • 什么是软点或单点故障?
  • 导致它们失败的原因是什么?
  • 您如何及何时知道自己已经被锁定为受攻击的目标? 现在已经太晚了吗?
  • 延长停机带来的影响(经济上和其他方面)是什么?

凭借这些信息,您就可以对自己关注的方面根据轻重缓急进行划分,在您的安全预算框架下研究您的各种缓解措施.

如果您正运营着一家商业网站,或在线应用 程序(例如:SaaS应用,在线银行,电子商务),您可能需要 24×7全天候的防护。另一方面,一家大型律师事务所可能对防护其基础设施(包括邮件服务器、FTP服务器和后台管理平台)比防护其网站更感兴趣。 这类企业可能倾向于选择”按需”解决方案.

第二步是选择部署方法。在整个子网中为您的核心基础设施服务部署”按需” DDoS 保护 保护最常见和最有效的方法是是通过边界网关协议 (BGP) 路由选择。但是,这仅仅是按需部署,在受到攻击的情况下,要求您手工启动安全方案.

因此,如果您需要为您的Web应用部署”始终在线”DDoS防护,您需要使用DNS重定向,通过您的DDoS防护提供商网络(通常与内容发布网络整合),重新路由所有的网站流量 (HTTP/HTTPS)。这种方案的优点在于多数CDNs提供随叫随到的可扩展性,以吸收流量攻击,同时尽量减少延迟并加速内容的发布.

缓解网络层攻击

应对网络层攻击要求额外的可扩展性–超出您自身网络能够提供的范围.

因此,一旦遭到攻击,发布一个BGP 声明,确保所有进入的流量均被引导到一系列的洗涤中心。每个类似中心均有能力处理数百Gbps的流量。 位于洗涤中心的强大服务器将过滤掉恶意包,仅允许清洁的流量通过GRE 通道进入源服务器。

这种缓解方法提供的是针对直接以IP地址攻击的保护,且通常会与所有类型的基础设施和通信协议(例如:UDP、 SMTP、FTP、VoIP)兼容.

NTP 放大攻击 - 180Gbps 和 50Mpps NTP放大攻击防护180Gbps 和每秒5000万个数据包 缓解应用层攻击

应用层攻击的缓解依靠流量分析方案,能够根据需要进行升级,同时能够区分恶意机器人和合法访问者。

关于流量分析,最佳做法要求基于签字和基于行为的分析,结合IP信誉得分和大力度的安全挑战(例如:JS 和cookie 挑战).

同时,它们可以准确地过滤掉恶意机器人流量,防止应用层攻击,而不会对您的合法用户造成影响.

HTTP 洪水--来自180,000个僵尸网络的IPs的690,000,000 个DDoS请求。 缓解一个为时8天的HTTP洪水:来自180,000个僵尸网络的IPs的6.9亿次 DDoS请求。