您的保护系统能否抵御这30种DDoS攻击?

保护系统 DDoS DDoS攻击
2021-02-20 00:00:33
122 0 0

分布式拒绝服务(DDoS)攻击现象于20世纪90年代中期首次出现,此后经历了巨大的演变。在其诞生之初,这主要是黑客行动主义者的特权,他们将主要互联网服务下线,以此作为抗议网络审查和有争议的政治举措的标志。

快进到今天,情况就更可怕了。DDoS攻击不仅非常复杂和有影响力,而且正在形成一个巨大的网络犯罪经济体,其运营商越来越善于将他们的恶作剧货币化

最新加入到他们的类型是什么所谓的勒索DDoS。它的逻辑是对一个组织发动破坏性的攻击,然后要求为中止该组织支付费用。

乍一看,DDoS背后的想法似乎很简单:用超出其处理能力的数据包淹没网络或web服务器。这不是一个误解,但是这个模型有点过于简单化了。

恶意参与者的手册中有许多恶作剧,使他们能够多样化的攻击载体,并选择一个利用特定受害者的痛点。例如,作为初始侦察的一部分,如果攻击者在探测企业网络的安全弱点时发现有漏洞的web应用程序,他们可能会将其用作DDoS攻击的启动平台。

尽管您在网上看到的大多数防御都与使用诸如Cloudflare之类的交钥匙DDoS缓解服务有关,但部分保护还是由程序员决定的。编码粗糙的web应用程序很容易受到SQL注入的影响,SQL注入是一种狡猾的机制,因其是DDoS入侵的常见来源而臭名昭著

一旦发现这样一个漏洞,攻击者就会裁剪一个适当的查询,并将其迭代地注入目标网站,使服务器崩溃。跨站点脚本(XSS)缺陷也说明了缺陷,使得犯罪分子可以用恶意查询和恶意软件充斥整个站点。

清理web应用程序的代码以消除SQL、XSS和其他漏洞是程序员可以而且必须参与的一个领域

除了加强对web服务的保护以抵御DDoS灾难之外,这也是创建稳定代码、提供无摩擦用户体验的先决条件。

你知道你的DDoS攻击点吗?

在网络安全问题上,意识是成功的一半。如果您知道组织的IT基础架构中可能被DDoS参与者利用的薄弱环节,您可以确定防御的优先级,至少可以将遇到单点故障(SPOF)场景的风险降至最低。

研究人员挑出了三大类DDoS攻击:体积攻击、网络协议攻击和应用层攻击。它们在网络体系结构的目标组件和用于执行突袭的机制上有所不同。

每一种都跨越了从TCP三方握手攻击到使用合法网络压力测试工具的强大攻击的一小部分子类型。

下面的分解将让您了解常见攻击方法背景下的当代DDoS威胁形势。如果您是一名程序员,该列表可以让您对您可以关注的领域有一些可操作的见解,以防止您的代码被DDoS运营商错误处理。

体积攻击

也被称为基于卷的攻击,这些DDoS入侵会使大量计算机和伪造的internet连接充斥网络或网站,使其无法处理更多的流量数据包。这种流量放大策略的结果是合法用户不能再访问资源。

  • UDP Flood。要执行此攻击,威胁行动者会向服务器发送大量欺骗性的用户数据报协议(UDP)数据包,直到它无法处理合法查询为止。由于UDP连接具有有限的源IP验证机制,因此这种入侵可能会在目标防御的雷达范围内进行。

  • ICMP Flood。也称为Ping Flood,此攻击利用了许多恶意Internet控制消息协议(ICMP)ping。服务器配置为使用单独的流量数据包答复每个此类回显请求,因此服务器最终将耗尽资源并变得无响应。

  • DNS Flood。攻击者用大量模仿大量IP地址的虚假请求数据包淹没了DNS服务器。就预防和缓解而言,DNS Flood是最严重的DDoS攻击之一。

  • 脆弱的攻击。这个使用多个UDP数据包,其中包含受害者路由器的欺骗IP地址。当不停地回复自身并尝试解决这些表面上正常的请求时,设备将失败。

  • 高级持久性DoS(APDoS)。当网络犯罪分子结合使用不同的放大技术使网络瘫痪时,该术语适用。这样的袭击可能持续数周,并且往往比大多数袭击造成更大的损失。

  • 零日DoS 。名称不言而喻:攻击利用网络或服务器中未记录的缺陷来破坏其运行。这就解释了组织在阻止此类攻击方面的准备水平很低。

网络协议攻击

与体积攻击不同的是,网络协议攻击试图从服务器资源而不是带宽中抽取资源。它们通常以防火墙或辅助互联网通信设备(如负载均衡器)为目标。向这些实体发出的大量恶意协议请求最终消耗了它们的所有容量。

  • SYN Flood。为了发动这种攻击,犯罪分子错误地处理了TCP三方握手(用于通过TCP协议在客户端、主机和服务器之间建立连接)。SYN(synchronize)包在这个模型中的作用是请求与服务器的连接。骗子从伪造的IP地址提交大量SYN请求,从而导致合法用户拒绝服务。

  • 陆地攻击。缩写词代表局域网拒绝。这种策略涉及到源IP和目标IP相同的粗略SYN请求。这些消息使接收服务器感到困惑,它在试图对自身做出响应时最终会停机。

  • SYN-ACK Flood。这种基于协议的攻击篡改了TCP连接阶段,即服务器提交SYN-ACK消息以确认客户端的请求。罪犯用这种流氓数据包把服务器塞满。服务器浪费资源试图弄清楚为什么它以不正确的顺序接收这些消息,这与TCP三方握手逻辑相矛盾。

  • 确认和推送确认Flood。这一个混淆了大量传入ACK和PUSH ACK数据包的服务器。由于目标无法理解如何处理这些消息,因此它达到了内存和CPU阈值。

  • 碎片ACK Flood。对手用零碎的ACK消息轰炸网络。路由器分配了太多的处理能力来尝试重新组合这些数据包。这种破坏性效果可以通过相对较少的此类消息来实现。雪上加霜的是,这些分裂的数据包可以潜入入侵检测系统(IDS)。

  • SSDP Flood。SSDP代表简单服务发现协议。它构成了通用即插即用(UPnP)网络协议集。为了执行SSDP洪水攻击,一个犯罪分子将包含受害者服务器的IP地址的小UDP数据包发送到许多使用UPnP服务的设备。服务器由于从这些设备接收到无数查询而崩溃。

  • SNMP Flood。此DDoS向量寄生于简单网络管理协议(SNMP),该协议收集并组织与连接设备相关的数据。骗子将一堆包含目标服务器伪造IP的小数据包发送到使用SNMP的路由器或交换机。这些设备配置为答复该源IP。异常流量最终会导致服务器停机。

  • NTP Flood。网络时间协议(NTP)用于网络间的时钟同步。恶意参与者可以利用安全性不高的NTP服务器,利用冗余的UDP数据包淹没计算机网络,从而滥用此功能。

  • VoIP Flood。这是一个家庭在易于访问的互联网语音协议(VoIP)服务器。目标网络中充斥着大量来自不同IP的恶意VoIP消息,这些消息被错误地解释为合法消息。

  • CHARGEN Flood。字符生成器协议(CHARGEN)于20世纪80年代推出,可能被认为已经过时。不过,一些打印机、复印机和DDoS运营商仍在使用它。将携带目标服务器IP地址的小数据包提交到支持CHARGEN的连接设备会导致设备将多个UDP数据包发送回服务器,从而耗尽服务器的容量。

  • Smurf攻击。这个程序使用一个名为Smurf的恶意应用程序向大量连接的设备发送包含受害者IP地址的ICMP回显请求。因此,服务器接收的流量数据包太多,无法继续正常运行。

  • Ping死亡攻击。犯罪分子用其大小超过最大允许值(64字节)的ping数据包淹没网络。试图重新组装这些非正统实体时,服务器崩溃。

  • IP空攻击。此raid依赖于其标头参数设置为null的IPv4数据包。因为接收的web服务器可能无法处理这些奇怪的消息,所以会遇到拒绝服务情况。

应用层攻击

顾名思义,这些DDoS攻击发生在开放系统互连(OSI)概念模型的应用层(“第7层”)。它们利用web应用程序中已知的或零日漏洞。这些攻击被认为是最复杂和最难发现的。

  • HTTP Flood。攻击者使用伪造的GET或POST请求轰炸web应用程序以中断其操作。这个向量通常利用僵尸计算机组成的僵尸网络来模拟合法的流量

  • 单会话HTTP Flood。这一个涉及一个HTTP会话,它生成一系列隐藏在同一个HTTP包中的请求。这种伎俩不仅让骗子扩大了影响,还蒙蔽了一些将此类流量视为良性流量的网络防御系统。

  • 递归HTTP GET Flood。在这一攻击的早期阶段,对手向服务器请求大量网页并仔细检查响应。接下来,迭代地请求每个网站组件,直到服务器耗尽资源。

  • 随机递归GET Flood。这种技术可以用来关闭博客、论坛和其他类型的包含递归页面的站点。攻击者从有效范围内随机选择页码来模拟普通用户,然后生成大量GET请求以降低目标的性能。

  • 欺骗会话 Flood。为了执行这次突袭,犯罪者混合使用了一个伪造的SYN包、几个ACK包和一个或多个RST(重置)或FIN(连接终止)包。一些保护系统不检查返回的交通,因此这种攻击将滑到他们的雷达之下。

  • 低轨道离子炮(LOIC)。这个开源的LOIC工具最初是为了帮助安全专业人员进行网络压力测试而设计的,也是DDoS运营商的最爱之一。它经常被滥用,用大量的TCP、UDP和HTTP数据包淹没服务器。

  • 高轨道离子炮(HOIC)。与LOIC类似,这是一种失控的网络压力测试工具。犯罪分子正在大量使用其巨大的威力,通过使用带有大量GET和httppost数据包的ddos服务器来传播混乱。HOIC可以同时针对256个域。

  • Slowloris。这种复杂的入侵只需要一台计算机就可以执行。骗子打开多个并发连接到一个web服务器,并通过零碎的额外数据包和新的HTTP报头持续维护它们。由于这些请求从未达到完成阶段,因此会耗尽目标的资源。

  • 误用应用程序攻击。威胁参与者渗入运行资源密集型应用程序(如P2P软件)的计算机,然后将大量流量从这些客户端计算机重新路由到服务器。

  • 重做。这个术语代表“正则表达式拒绝服务”。为了使这种攻击成功,恶意分子通过算法复杂的字符串搜索查询来压倒特定程序,从而降低底层服务器的性能。

躲避威胁

即使是大公司也可能缺乏带宽来应对DDoS攻击者人为造成的流量急剧增加。标准网络设备配备了有限的DDoS缓解机制。这一问题在中小企业的生态系统中表现得更为明显,在中小企业中,以有限的预算建立保护系统是常态。

在这种情况下,最好的防御是多管齐下。支持DDoS保护的最佳方法之一是将其外包给基于云的解决方案,如Akamai、Sucuri、Netscout或Cloudflare,这些解决方案按使用付费提供高级预防和缓解服务。在最坏的情况下,这是你的B计划。

为了抵御上面描述的应用层攻击,组织内的IT团队应该遵循适当的代码审计实践。这将最大限度地减少企业环境中部署的web应用程序中可利用的漏洞的数量。

入侵防御系统(IPS)和web应用防火墙(WAF)的组合将使其更上一层楼。可靠的IPS将保护您的网络免受漏洞攻击、恶意软件和停机。一个有效的WAF反过来可以保护您的web应用程序免受SQL注入、跨站点脚本和跨站点伪造攻击,这些攻击是DDoS参与者的一部分。

一个额外的提示是让你的系统保持最新。修补您的数字基础设施将遏制恶意行为者提供很少或没有回旋余地。

你的系统准备好了吗?

尽管DDoS是网络犯罪领域的老生常谈,但它仍然是一个严重的问题,您需要采取有效的应对措施。最重要的是,它正在迅速发展。其中一些突袭行动依靠恶意软件、物联网僵尸网络和开源网络压力测试框架来扩大其影响范围。更糟糕的是,一些新颖的攻击增加了敲诈。

从一开始就评估您的IT基础架构,以确定最容易受到体积、应用层和基于协议的DDoS攻击的组件,这将有助于您的组织在保护方面实现飞跃。

除了适当的编码卫生,确保你应用软件补丁一旦可用,并配置您的网络设备,使其内置防御的最大限度。另外,考虑利用基于云的DDoS缓解服务和IPS进一步强化公司的安全态势。

作者介绍

用微信扫一扫

收藏