拒絕服務 (DoS) 事件是一種網絡攻擊,其中黑客或網絡犯罪分子試圖使其目標用戶無法使用主機、在線服務或網絡資源。分布式拒絕服務攻擊可能是最著名的黑客事件類型——2018 年的 GitHub 和 2016 年的 Dyn DDoS 攻擊最為突出——但還有許多其他類型的拒絕服務攻擊不一定涉及分布式或僵尸網絡方法。然而,在幾乎所有情況下,拒絕服務事件的特點是目標機器或服務被傳入流量淹沒,以至于處理或??帶寬資源不堪重負并脫機。
拒絕服務威脅的起源
在傳統的拒絕服務攻擊中,黑客使用虛構的返回 Internet 協議 (IP) 地址向目標機器或服務發送多個請求。當服務器嘗試對這些地址進行身份驗證時,它會遇到一波錯誤代碼響應,從而引發一連串重復的 SMTP 流量鏈,這些流量會迅速使服務器飽和。同樣,在 Smurf 攻擊中,黑客會將數據包廣播到具有屬于這些目標計算機的欺騙 IP 地址的多個主機。當接收主機響應時,它們有效地用響應的數據包流量淹沒自己。
在 SYN 洪水中,攻擊者利用 TCP 3 次握手(SYN、SYN-ACK、ACK)過程使服務脫機。在 3-Way Handshake 中,服務器 A 會向服務器 B 發起 TCP SYNchronize 請求消息。主機 B(目標機器)收到請求后,會向服務器 A 發送一個 SYNchronize-ACKnowledgement 數據包。此時拒絕服務攻擊發生。在建立 TCP 套接字連接的合法交換中,下一步是主機 A 向主機 B 發送 ACKnowledge 消息,但是當控制主機 A 的黑客阻止這種情況發生時,握手無法完成。結果是主機 B 有一個連接的端口,無法用于其他請求。當攻擊者重復發送這種性質的請求時,
不斷演變的拒絕服務威脅
SYN 洪水、香蕉攻擊和其他類型的傳統 DoS 黑客攻擊至今仍在使用——當然,由僵尸網絡驅動的 DDoS 攻擊仍然是一個持續的威脅。但近年來,惡意黑客擴大了他們所針對的機器和服務的數量,并大大擴大了威脅面。組織越來越多地成為低強度“服務降級”攻擊的目標,這種攻擊會導致代價高昂的服務減速,而無需完全離線資源。隨著越來越多的組織開始依賴亞馬遜網絡服務 (AWS) 和類似的云產品來支持其網絡運營,這種攻擊方法變得越來越普遍。
當大型零售商、金融服務提供商、消費者品牌或類似的商業企業在 AWS、Microsoft Azure 或其他云運營商上托管其網站時,該安排將受服務水平協議的約束。實際上,云運營商以給定的價格承諾提供該網站所需的處理資源、帶寬和支持基礎設施,以支持 X 數量的網絡流量,其中 X 將被測量為千兆字節的數據、零售數量交易、正常運行時間和相關指標。如果流量負載超過商定的水平,如果流量是合法的,這將是積極的,網站所有者將以更高的費率收取費用。
代價高昂的服務貶損
正如人們可能想象的那樣,不良行為者可以通過將非法流量引導到目標網站來將自己注入這些關系,并輕松增加目標組織的業務成本。在這種攻擊中經常使用發送間歇性流量突發的脈沖“僵尸”服務器。由于有問題的流量負載是偶爾出現的,而且顯然不是來自惡意來源,它們看起來非常像合法流量,這意味著網絡安全人員很難發現和阻止它們。
在這種類型的拒絕服務或服務降級事件中使用的另一個工具集是所謂的“壓力源”應用程序,最初旨在幫助網站所有者識別其 Web 基礎設施中的弱點。這些應用程序(包括 WebHive)易于獲取且易于使用,可以安裝在多個云實例上,以構建強大的 DDoS 功能。通過這種方式協同工作,這些攻擊工具可以使大型商業網站長時間離線。
拒絕服務的關鍵要點
多年來,拒絕服務攻擊發生了變化和變化,但造成的損害繼續增加。Ponemon Institute 對多個行業的大型企業進行的一項調查發現,典型的公司每年都會遭受四次拒絕服務事件,每年處理 DoS 的平均總成本約為 150 萬美元。建立使您能夠檢測、預防和響應 DoS 攻擊的安全架構是任何有效網絡安全計劃的關鍵步驟。
