想象一下,有人用不同的电话号码一遍又一遍地给您打电话,而您无法将他们列入黑名单。最终您可能会选择关闭手机以避免骚扰。这种情况就是常见的分布式拒绝服务(DDoS)攻击的样子。DDoS攻击在史蒂夫·乔布斯(SteveJobs)推出第一款iPhone之前就已经存在。它们非常受黑客欢迎,因为它们非常有效、易于激活并且几乎不留痕迹。那么如何防御DDoS攻击呢?您能否确保为您的Web服务器和应用程序提供高级别的DDoS攻击保护?在本文中,我们将讨论如何防止DDoS攻击,并将介绍一些具体的DDoS防护和预防技术。DDoS攻击的类型和方法分布式拒绝服务攻击(简称DDoS)是一种协同攻击,旨在使受害者的资源无法使用。它可以由单个黑客组织或在连接到Internet的多个受感染设备的帮助下执行。这些在攻击者控制下的设备通常被称为僵尸网络。执行DDoS攻击的工具有很多种:例如Trinoo、Stacheldraht、Shaft、Knight、Mstream等。这些工具的可用性是DDoS攻击如此广泛和流行的原因之一。DDoS攻击可持续数百小时DDoS攻击可持续数分钟、数小时甚至数天。根据卡巴斯基实验室的一份报告,近年来持续时间最长的DDoS攻击之一发生在2018年1月,持续了近300小时。发起DDoS攻击的常见方法有两种:利用软件漏洞。黑客可以针对已知和未知的软件漏洞并发送格式错误的数据包,以试图破坏受害者的系统。消耗计算或通信资源。黑客可以发送大量合法数据包,消耗受害者的网络带宽、CPU或内存,直到目标系统无法再处理来自合法用户的任何请求。尽管没有DDoS攻击的标准分类,但我们可以将它们分为四大类:容量容量攻击协议攻击应用程序攻击零日漏洞DDoS攻击图1显示了DDoS攻击最常见的分类之一。图1.DDoS攻击的分类让我们仔细看看每种类型的攻击。容量攻击容量攻击(Volumetricattacks)通常使用僵尸网络和放大技术,通过向终端资源注入大量流量来阻止对终端资源的访问。最常见的容量攻击类型是:UDP洪水攻击。黑客将伪造受害者源地址的用户数据报协议(UDP)数据包发送到随机端口。主机生成大量回复流量并将其发送回受害者。ICMP洪水攻击。黑客使用大量互联网控制消息协议(ICMP)请求或ping来尝试耗尽受害者的服务器带宽。Netscout在2018年报告了迄今为止最大的DDoS攻击之一:一家美国服务提供商客户面临大规模的1.7Tbps反射放大攻击。协议攻击根据Verisign的2018年第一季度DDoS趋势报告,协议攻击以协议工作方式中的漏洞为目标,是第二大最常见的攻击媒介。最常见的协议攻击类型是:SYN泛洪攻击。黑客利用了三次握手TCP机制中的一个漏洞。客户端向服务器发送一个SYN数据包,收到一个SYN-ACK数据包,并且永远不会向主机发送回一个ACK??数据包。结果,受害者的服务器留下了许多未完成的SYN-ACK请求并最终崩溃。平之死。攻击——黑客使用简单的ping命令发送超大数据包,导致受害者的系统冻结或崩溃。SYN洪水攻击是2014年用于摧毁在线赌博网站的五种攻击媒介之一。应用程序攻击应用程序攻击利用协议栈(6)、协议栈(7)中的漏洞,针对特定应用程序而非整个应用程序服务器。它们通常以公共端口和服务为目标,例如DNS或HTTP。最常见的应用程序攻击是:HTTP泛洪攻击。攻击者用大量标准GET和POST请求淹没应用程序或Web服务器。由于这些请求通常看起来是合法流量,因此检测HTTP泛洪攻击是一项相当大的挑战。慢洛里斯。顾名思义,Slowloris会慢慢地使受害者的服务器崩溃。攻击者以一定间隔和分数向受害者的服务器发送HTTP请求。服务器一直在等待这些请求完成,但它从未发生过。最终,这些未完成的请求耗尽了受害者的带宽,使合法用户无法访问服务器。2009年总统大选后,黑客专家利用Slowloris攻击关闭了伊朗的政府网站。0-day漏洞DDoS攻击除了众所周知的攻击,还有0-day漏洞DDoS攻击。它们利用尚未修补的未知软件漏洞或使用不常见的攻击向量,使它们更难检测和防御。例如,早在2016年,攻击者就利用轻量级目录访问协议(LDAP)发起了放大系数高达55的攻击。现在我们来谈谈检测DDoS攻击的方法。检测DDoS攻击虽然不可能完全阻止DDoS攻击的发生,但有一些有效的做法可以帮助您检测和阻止正在进行的DDoS攻击。异常检测:统计模型和机器学习算法(例如神经网络、决策树和最近邻算法)可用于分析网络流量并将流量模式分类为正常攻击或DDoS攻击。您还可以搜索其他网络性能因素的异常情况,例如设备CPU使用率或带宽使用率。基于知识的方法:使用签名分析、状态转换分析、专家系统、描述脚本和自组织映射等方法,您可以通过将流量与已知攻击的特定模式进行比较来检测DDoS。ACL和防火墙规则:除了入口/出口流量过滤之外,访问控制列表(ACL)和防火墙规则可用于增强流量可见性。特别是,您可以分析ACL日志以了解通过网络运行的流量类型。您还可以配置Web应用程序防火墙,以根据特定规则、签名和模式阻止可疑的传入流量。入侵防御和检测系统警报:入侵防御系统(IPS)和入侵检测系统(IDS)提供额外的流量可见性。尽管误报率很高,但IPS和IDS警报可以作为异常和潜在恶意流量的早期指标。在早期阶段检测正在进行的攻击可以帮助您减轻其后果。但是,您可以采取适当的预防措施来防止DDoS攻击,并使攻击者更难淹没或破坏您的网络。如何编写有效的DDoS保护解决方案无论您是想创建自己有效的DDoS保护解决方案,还是正在为Web应用程序寻找商业DDoS保护系统,请牢记以下一些基本系统要求:混合DDoS检测方法。基于签名和基于异常的检测方法的组合是检测不同类型DDoS攻击的关键。防止3-4级和6-7级攻击。如果您的解决方案能够检测和防御所有三种主要类型的DDoS攻击,那就更好了:容量攻击、应用程序攻击和协议攻击。有效的流量过滤。DDoS保护的最大挑战之一是区分恶意请求和合法请求。很难创建有效的过滤规则,因为DDoS攻击中涉及的大多数请求似乎来自合法用户。诸如速率限制之类的流行方法通常会产生许多误报,从而阻止合法用户访问您的服务和应用程序。SIEM集成。将反DDoS解决方案与SIEM系统很好地集成非常重要,这样您就可以收集有关攻击的信息,对其进行分析,并使用它来改进DDoS保护并防止未来的攻击。如果满足这些要求对您来说太困难,请考虑寻求专家的帮助。您需要一个经验丰富的开发团队,对网络安全、云服务和Web应用程序有深入的了解,以构建高质量的DDoS防御解决方案。像这样的团队很难在内部组织起来,但你总是可以寻求第三方团队的帮助。防止DDoS攻击即使您无法防止DDoS攻击的发生,您也有能力让攻击者更难关闭您的网站或应用程序。这就是DDoS防御技术的关键所在。您可以使用两种类型的DDoS预防机制:一般预防措施和过滤技术。通用DDoS保护机制是相对常见的措施,可以帮助您使Web应用程序或服务器更能抵御DDoS攻击。这些措施包括:使用防火墙。虽然防火墙无法保护您的应用程序或服务器免受复杂的DDoS攻击,但它们仍然可以有效地处理简单的攻击。安装最新的安全补丁。大多数攻击都针对特定的软件或硬件漏洞,因此及时部署所有补丁可以帮助您降低遭受攻击的风险。禁用未使用的服务。破解的应用程序和服务越少越好。确保禁用所有不必要和未使用的服务和应用程序以提高网络的安全性。过滤机制使用不同的方法来过滤流量并阻止具有潜在危险的请求。这些机制包括入口/出口过滤、基于历史记录的IP过滤和基于路由器的数据包过滤。保护Web应用程序免受DDoS攻击的最佳实践除了特定的DDoS预防机制外,还有一些实践可以为您的Web应用程序提供额外的DDoS保护:限制漏洞数量。除非绝对必要,否则不要公开您的应用程序和资源。这样,您可以限制攻击者可以针对的基础架构中的漏洞数量。您还可以禁止将Internet流量直接发送到数据库服务器和基础架构的其他关键部分。扩展负载。考虑使用负载平衡器和内容分发网络(CDN),通过平衡资源负载来减轻攻击的影响,这样即使在攻击期间它们也能保持在线。仔细选择您的云提供商。寻找具有自己的DDoS缓解策略的值得信赖的云服务提供商。确保他们的策略检测并减轻基于协议、基于卷和应用程序级别的攻击。例如,一些云提供商使用任播网络将大量请求分配给具有相同IP地址的多台机器。使用第三方DDoS缓解服务?–考虑将您的Web应用程序的保护委托给第三方提供商。DDoS缓解服务甚至可以在有问题的流量到达受害者网络之前将其清除。您可以从基于DNS的网关服务或基于协议的解决方案中寻找有问题的边界攻击。结论黑客不断使用和完善DDoS攻击来破坏特定服务、大大小小的企业,甚至公共和非营利组织的工作。这些攻击的主要目的是耗尽受害者的资源,从而使他们的服务、应用程序或网站崩溃。虽然不可能完全阻止DDoS攻击的发生,但可以使用一些有效的DDoS攻击防护技术和方法来加强基础设施以抵御DDoS攻击并减轻其后果。
