什么是 DDoS 攻击?它们如何演变以及组织如何防止它们

在处理来自多个来源的请求时,公司的网站和移动应用程序具有一定的能力。分布式拒绝服务 (DDoS) 攻击试图通过向受攻击资源发送多个请求来利用此能力,其唯一目标是将其关闭或大幅减慢速度。通过网站和移动应用程序提供服务或产品的公司是此类攻击的主要目标。因此,此类攻击的典型用例是电子商务网站、金融产品网站、在线赌场、移动应用程序等。主要目的是通过大量流量和请求压倒网站的基础设施和应用程序逻辑。

什么是 DDoS 攻击?

DDoS 攻击是一种网络攻击,攻击者向服务器或网络发送大量请求,意图破坏正常流量或将其完全关闭。很多时候,此类攻击是由竞争对手的企业进行的,目的是关闭表现良好的企业的移动应用程序和网站。攻击者还进行 DDoS 攻击,目的是先关闭业务,然后在获得巨额报酬后提出将其恢复。

DoS 与 DDoS

拒绝服务 (Dos) 和 DDoS 之间的主要区别在于,在前者中,请求来自一个源,而在后者中,请求来自多个源。DDoS 攻击速度更快,检测和修复需要更长的时间,因为请求来自多个来源,从而增加了其复杂性。

这些攻击有时是由也感染了恶意软件的物联网连接网络执行的。这些可以远程控制,也可以作为机器人或称为僵尸网络的机器人组运行。所有这些机器人在识别目标 IP 地址的同时发送请求,导致网络不堪重负。

DDoS 攻击和移动应用程序

DDoS 攻击在移动应用程序方面更为常见,因为通过用户的个人设备更容易对用户进行分析。因此,如果您从应用程序商店下载应用程序,应用程序创建者可以访问您的设备和数据,并利用任何安全漏洞在未来发动攻击。对移动应用程序的一些常见攻击是:

UDP泛洪:

在这里,攻击者使用用户数据报协议 (UDP) 数据包泛洪应用程序的随机端口,因此主机随后不断寻找相关应用程序而没有太多运气。然后它发送多个“目标不可达”数据包作为响应。这会消耗服务器的资源,最终将其关闭。UDP 看到请求以一种系统无法处理大量请求的方式路由到随机端口。

ICMP (ping) 洪水:

在这里,攻击者发送 ICMP 回显请求 (ping) 数据包来泛洪网络。数据包被尽可能随机地发送,在世界范围内不受关注,从而中断传入和传出的流量。当服务器用自己的 ICMP 数据包进行响应时,情况会进一步恶化。

死亡之平:

顾名思义,一系列大型恶意 ping 被发送到目标应用程序。由于通常发送的数据包有大小限制,因此这些针对较大数据包的攻击会压倒目标系统。

SYN洪水:

在典型的 TP/IP 网络事务中,存在 SYN、ACK、SYN-ACK 3 次握手。当请求从一侧发送(通过 SYN)时,另一侧发送必要的信息(通过 ACK)。此时,确认(通过 SYN-ACK)从第一方进来,表明信息已被接收。这3次部分不会发生,因为IP地址都是虚构的,由于长时间的等待时间请求超时。这会耗尽资源,导致站点瘫痪。

懒猴:

Slowloris 是一种攻击,其中一个 Web 服务器专注于通过建立连接和发送部分请求来关闭另一台 Web 服务器。由于请求未完成并且经常保持打开状态,因此其他合法连接被阻止。

NTP放大:

使用 UDP 流量,攻击者可以将公开可用的网络时间协议 (NTP) 服务器作为目标。查询与响应的比率在 1:20 到 1:200 的范围内。重点是快速发送过多的请求,从而使应用程序难以响应。因此,这些是高带宽、高容量的攻击。

HTTP泛滥:

在这里,攻击者利用恶意数据包和欺骗技术来利用真实的 HTTP POST 或 GET 请求。

一些最受认可和广为人知的 DDoS 攻击是:

应用层攻击:

这些专注于通过资源密集型请求(例如数据库访问或大量文件下载)来淹没目标网站。当机器人被用来发送数以百万计的此类请求时,这些请求一开始看起来是真实的,目标站点会不堪重负,最终速度会急剧下降。它们针对特定的应用程序数据包,通常会破坏特定的功能,例如在线交易。此类攻击的典型示例包括 HTTP 泛洪、Slowloris、SQL 注入和跨站点脚本。HTTP Flood 攻击的特点是将多个 HTTP 请求发送到 Web 服务器。它以每秒请求数来衡量。

基于卷的攻击:

在这里,黑客利用机器人、多个设备和不同的互联网连接来用虚假流量淹没目标站点。因此,合法流量被阻止,网站最终崩溃。典型示例包括用户数据报协议 (UDP)、DNS 放大和欺骗性数据包泛洪数据包。在DNS放大中,DNS服务器直接受到大量数据请求的攻击。它以每秒位数为单位。

协议攻击:

这些攻击的重点是破坏网络层,通过滥用用于处理请求的先进先出 (FIFO) 队列系统来实施压倒防火墙或负载平衡器的活动。通常当一个请求进来时,其他请求在队列中等待。但这种攻击利用虚假 IP 地址发送数百万个请求并保持它们开放。SYN Flood 攻击就是一个很好的例子。

DDoS 放大

这是网络犯罪分子用来通过看似合法但实际上不合法的请求来压倒域名系统 (DNS) 服务器的策略。实现这一目标的两种方法是:

电荷反射:

此处尝试利用 Chargen,这是一种可追溯到 1983 年的过时测试协议。它允许外部世界要求设备回复随机字符流,这正是黑客利用的安全漏洞。通过目标网站的欺骗 IP 地址的小数据包被发送到多个设备,这些设备以其 UDP 数据包进行响应,使系统不堪重负。

DNS 反射:

在这里,目标系统的 IP 地址被伪造以向 DNS 服务器发送多个请求,然后以大量回复进行响应。在僵尸网络的帮助下,查询被放大(有时高达 X70 大小),从而大大增加了流量。这会立即导致系统瘫痪。大多数情况下,DNS 服务器没有准确配置,导致它们接受来自世界任何地方(受信任域网络之外)的查询,而不是正确配置的 DNS 服务器。

围绕 DDoS 攻击的神话

  • 由于数据没有被窃取,这些攻击是可以的:当然,DDoS 攻击不会直接尝试窃取数据。但从声誉、可信度、网站性能等角度对企业的影响足以对收入产生负面影响。此外,它们对不同利益相关者的影响也不容低估。所以他们需要我们的关注。例如,对电子商务网站的 DDoS 攻击可能不会窃取有关过去购买、用户偏好等的任何数据。
  • 它们只针对网站:这些攻击主要针对网站,但任何连接到互联网的设备都容易受到攻击或影响。公司的基础设施及其资源也容易受到影响。例如,尽管银行网站肯定是 DDoS 攻击的理想目标,但其来自知名游戏商店的应用程序也很容易成为目标。事实上,这将对业务产生重大影响,因为客户越来越多地使用应用程序
  • 它们的影响并不大,值得担心:根据卡巴斯基实验室的一份报告,一次 DDoS 攻击可能使公司平均损失 160 万美元,这不是一个小数目。此外,想象一下,如果电子商务网站在主要销售/优惠期间被关闭几个小时。这可能意味着业务损失和竞争对手从中获利,从而夺走他们的忠实客户。例如,亚马逊在2021 年 6 月的 Prime 会员日销售期间创造了价值 110 亿美元的销售额。想象一下,如果亚马逊应用程序受到攻击,DDoS 攻击可能会产生多大的影响。

了解 DDoS 攻击地图

一个DDoS攻击地图顾名思义,它以数据可视化的形式深入探讨了攻击、其影响/规模以及攻击的来源和目的地国家/地区。目标是通过历史数据和模式为公司提供洞察力。还有一个新闻部分,提供有关特定时间或地点的近期攻击的详细信息。深入了解地图的细节可以为用户提供有关已发生的特定攻击的详细信息。进行颜色编码以根据类别/影响、持续时间和来源/目的地隔离攻击。它可以帮助组织可视化威胁形势,并更好地准备应对未来的攻击。一些地图还列出了广泛用于 DDoS 攻击的常见 IP 地址。还突出显示了较新的攻击代理。

防止 DDoS 攻击

制定计划:

为不确定性和可能的攻击做好准备总是一个好主意。培训用户寻找 DDoS 攻击的迹象。

制定漏洞风险管理 (VRM) 策略:

这将确保制定步骤,确定团队成员/专家并创建相关备份。这里有专家意见也很好

快速反应并使用反 DDoS 服务:

立即识别此类攻击并通知相关方(如 ISP 提供商、网络安全团队等)非常重要。拥有备用 ISP 以继续业务运营也是一个好主意。当观察到过多的流量时,公司还可以将过多的流量路由到一个黑洞,以确保服务器或网站不会不堪重负。

使用防火墙和路由器的最新补丁和版本:

很多时候,安全补丁可确保免受最常见类型的攻击,因此将它们作为网络安全计划的一部分是有意义的。

采用实时测试:

应用程序开发人员可以确保通过多维测试平台实时测试每个服务器请求。

利用运行时应用程序自我保护 (RASP):

移动应用程序可以通过RASP 安全从内部实时/在运行期间受到保护。在输入和输出的数据流方面有更好的可见性,它还依赖于对架构的深入了解,以便能够主动帮助应用程序保护自己。它减少了违规的机会,并防止网络的脆弱点接收到恶意请求。它具有“监控”(通知团队有关攻击但不阻止请求)和“阻止”(立即阻止可疑请求)模式,从而为团队提供灵活性。它还确保了更好的性能,因为它仅在漏洞被利用时才在其几乎可以忽略不计的误报情况下进行干预。

巧妙利用智能识别技术、人工智能和机器学习,以掌握安全游戏的优势。

DDoS 攻击的未来

就像我们在几乎每个领域(正面或负面)都看到改进一样,DDoS 攻击也取得了重大进展。僵尸网络的出现将继续存在,这可能尤其适用于来自多个来源的 DDoS 攻击,使它们变得更加复杂和快速。此外,攻击媒介变得更加先进,因为现在攻击可以同时发生在数据库、服务器、应用程序等多个点上,从而减少了组织做出反应的时间。人工智能和机器学习也越来越多地被用于进一步放大此类攻击的影响。

由于公司一直在网上进行通信和业务,因此它们也更容易受到此类攻击。随着物联网的使用越来越多,物联网安全成为一个令人担忧的问题,因为这些设备很容易成为目标。将僵尸网络添加到组合中,这是一个致命的组合。仅 2020 年上半年就发生了约 483 万次 DDoS 攻击,这也强调了多向量攻击。正确的策略将有所帮助,而 RASP 是该领域的新兴技术之一。

原创文章,作者:速盾高防cdn,如若转载,请注明出处:https://www.sudun.com/ask/76603.html

(0)
速盾高防cdn's avatar速盾高防cdn
上一篇 2024年5月21日 下午10:59
下一篇 2024年5月22日 上午11:36

相关推荐

  • 如何发现arp攻击

    如何发现ARP攻击:网络安全必备技能 作为互联网时代的一员,我们每天都在享受着网络带来的便利和快捷。随之而来的网络安全问题也日益突出。ARP(地址解析协议)攻击是网络安全中常见的一…

    2024年5月12日
    0
  • 网络攻击三个逻辑阶段

    导语: 在当今数字化时代,网络攻击已成为互联网安全领域的一大挑战。作为一名速盾CDN小编,我深知网络攻击的严重性以及对企业和个人的潜在威胁。网络攻击不仅仅是一种技术行为,更是一种具…

    2024年5月17日
    0
  • 如何检查流量是否被劫持

    标题:如何检查流量是否被劫持 导语:大家好,我是速盾CDN小编。在网络世界中,流量劫持是一种常见的网络安全问题。流量劫持是指网络通信中的数据被非法篡改或劫持,可能导致用户信息泄露、…

    2024年5月18日
    0
  • 如何测试dns配置成功,怎么知道dns地址是否错误

    标题:如何检查DNS是否正常?速盾CDN编辑器帮您轻松解决。 介绍: 嗨,大家好!作为速盾CDN的编辑,我熟悉任何人在日常网络使用中可能遇到的各种问题。今天我们将讨论常见但经常被忽…

    DDOS防护 2024年5月17日
    0

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注