客戶喜歡運行良好且順利的事情。分布式拒絕服務 (DDoS) 攻擊使服務器和數據中心無法響應所有請求。這就是網絡犯罪分子繼續依賴這些攻擊的原因,旨在損害受害者產品和服務的性能和可用性。
為了降低失去客戶信任的風險并維護企業聲譽,在開發新產品時優先考慮 DDoS 緩解非常重要。在本文中,我們將討論最常見的 DDoS 攻擊類型以及有助于檢測它們的技術。我們還提供了一些建議,以幫助您的開發團隊及時進行必要的調整并構建安全且有彈性的 Web 應用程序。
DDoS攻擊的類型和方法
想象一下有人一遍又一遍地撥打您的電話,使用不同的電話號碼,因此您無法將他們列入黑名單。您可能最終會關閉手機并變得無法訪問。這就是通常的 DDoS 攻擊的樣子。
分布式拒絕服務(DDoS) 攻擊是一種旨在使受害者的資源無法使用的協同攻擊。DDoS 攻擊通常針對網站、Web 應用程序或 API,可以由黑客執行,也可以在連接到互聯網的多個受感染設備(僵尸網絡)的幫助下執行。
早在史蒂夫喬布斯推出第一款 iPhone 之前,DDoS 攻擊就已經出現。而且它們在黑客中仍然非常受歡迎,因為它們有效、易于啟動并且幾乎不留痕跡。
一次 DDoS 攻擊可能會持續幾分鐘、幾小時甚至幾天。但是,攻擊的影響通常不是根據它持續的時間來計算的,而是根據攻擊受害者的流量來計算的。迄今為止報告的最大事件之一是Microsoft 在 2022 年初阻止的每秒 3.47 TB 的攻擊。它針對 Microsoft Azure 服務的亞洲客戶,據報道起源于全球約 10,000 個工作站。
有時,網絡犯罪分子發起 DDoS 攻擊只是為了提高他們的黑客技能或因為他們感到無聊。但更多情況下,這些攻擊是出于特定原因進行的,包括:
- 贖金——網絡犯罪分子可能會發起攻擊或威脅這樣做,以向受害者勒索金錢或其他利益。此類攻擊有時也稱為贖金拒絕服務攻擊。
- 商業競爭——一些組織可以使用 DDoS 攻擊作為一種不公平競爭的方法,并試圖通過損害其競爭對手的業務流和聲譽來獲得優勢。
- 黑客主義——精通技術的活動家可能會使用 DDoS 攻擊來展示他們對某些企業、政治和社會倡議或公眾人物的不滿。
- 網絡戰——政府可以授權 DDoS 攻擊來破壞敵國的關鍵在線基礎設施或關閉反對派網站。
根據他們的目標和動機,網絡犯罪分子使用各種工具進行各種類型的攻擊。通常,DDoS 攻擊通過以下方式執行:
- 利用軟件漏洞——黑客可以針對已知和未知的軟件漏洞并發送格式錯誤的數據包以試圖破壞受害者的系統。
- 消耗計算或通信資源——攻擊者可以發送大量看起來合法的數據包。因此,它們會消耗受害者的網絡帶寬、CPU 或內存,直到目標系統無法再處理來自合法用戶的請求。
雖然 DDoS 攻擊沒有標準分類,但我們可以將它們分為四大類:
讓我們仔細看看這些類型的攻擊。
1. 容量攻擊
容量攻擊旨在通過大量流量來阻止對受害者資源的訪問,通常借助僵尸網絡和放大技術。這些攻擊的規模通常以每秒比特數 (bps) 來衡量。
最常見的容量攻擊類型是:
- UDP 泛洪——攻擊者將使用受害者的源地址偽造的用戶數據報協議 (UDP) 數據包發送到隨機端口。主機生成大量回復流量并將其發送回受害者。
- DNS 放大- 網絡犯罪分子破壞和操縱可公開訪問的域名系統 (DNS),以用 DNS 響應流量淹沒受害者的系統。
- 濫用應用程序攻擊——黑客入侵客戶端計算機,這些計算機可以發送大量看似合法的流量,并將該流量重定向到受害者的服務器,耗盡其資源并最終將其關閉。
2020 年, Amazon Web Services 遭受了使用無連接輕量級目錄訪問協議 (CLDAP) 反射技術執行的?2.3 TBps 的大規模攻擊。
2.協議攻擊
協議攻擊針對不同互聯網通信協議工作方式的弱點。通常,此類 DDoS 攻擊的規模以每秒網絡數據包數 (pps) 來衡量。最常見的協議攻擊類型是:
- SYN 洪水——黑客利用了 TCP 三次握手機制中的一個弱點。客戶端向服務器發送一個 SYN 數據包,接收一個 SYN-ACK 數據包,并且永遠不會向主機發送一個 ACK?? 數據包。因此,受害者的服務器會留下大量未完成的 SYN-ACK 請求,并最終崩潰。
- ICMP 洪水— 惡意行為者使用大量 Internet 控制消息協議 (ICMP) 請求或 ping,試圖耗盡受害者的服務器帶寬。
- Ping of?death——黑客使用簡單的 ping 命令發送超大數據包,導致受害者的系統凍結或崩潰。
2020 年,Akamai 報告說,它與針對歐洲銀行的每秒 8.09 億個數據包 (Mpps) 的大規模 DDoS 攻擊作斗爭。
3.應用層攻擊
應用程序攻擊利用 6 級和 7 級協議棧中的弱點,針對特定應用程序而不是整個服務器。此類 DDoS 攻擊的威力通常以每秒請求數來衡量。
應用層攻擊通常針對常見的端口和服務,例如 DNS 或 HTTP。最常見的應用程序級攻擊是:
- HTTP 泛濫——攻擊者使用僵尸網絡向應用程序或 Web 服務器充斥大量標準 GET 和 POST 請求。由于這些請求通常表現為合法流量,因此檢測 HTTP 泛洪攻擊是一個相當大的挑戰。
- Slowloris?— 顧名思義,Slowloris 緩慢地使受害者的服務器崩潰。攻擊者以定時間隔和小部分向受害者的服務器發送 HTTP 請求。服務器一直在等待這些請求完成,而這永遠不會發生。最終,這些未完成的請求會耗盡受害者的帶寬,使合法用戶無法訪問服務器。
根據Cloudflare 最近的一份聲明, 2022 年,一項未命名的加密貨幣服務遭到每秒 1530 萬次請求的攻擊。
4. 零日 DDoS 攻擊
除了眾所周知的攻擊之外,還有所謂的零日DDoS 攻擊。他們利用尚未修補的以前未知的軟件漏洞或使用不常見的攻擊媒介,因此更難以檢測和保護。
現在讓我們談談檢測 DDoS 攻擊的方法。
檢測 DDoS 攻擊
雖然完全阻止 DDoS 攻擊是不可能的,但有一些有效的做法和方法可以幫助您檢測和阻止已經發生的 DDoS 攻擊。下面,我們列出了幾種最常見的 DDoS 保護方法,您可以依靠它來檢測攻擊并保護您的產品或服務。
異常檢測
檢測潛在 DDoS 攻擊的一種方法是分析網絡流量并將流量模式分類為正常或潛在威脅。您可以借助傳統的靜態分析或更復雜的技術(如機器學習和人工智能)來做到這一點。除了網絡流量分析之外,您還可以搜索其他網絡性能因素中的異常情況,例如設備 CPU 利用率或帶寬使用情況。
基于知識的方法
您還可以通過將流量與已知攻擊的特定模式進行比較來檢測類似 DDoS 的活動。常見的 DDoS 防護技術包括簽名分析、狀態轉換分析、專家系統、描述腳本和自組織圖。
ACL 和防火墻
除了入口/出口流量過濾之外,您還可以使用訪問控制列表 (ACL) 和防火墻規則來增強流量可見性。特別是,您可以分析 ACL 日志以了解通過您的網絡運行的流量類型。您還可以配置您的 Web 應用程序防火墻,以根據特定規則、簽名和模式阻止可疑的傳入流量。
入侵防御和檢測
入侵防御系統 (IPS) 和入侵檢測系統 (IDS) 也增強了流量可見性。IPS 和 IDS 警報可作為異常和潛在惡意流量的早期指標。但請記住,這些系統往往會提供很多誤報。
至于處理可能涉及 DDoS 攻擊的流量的方法,我們可以概述三種常見策略:
- 空路由或黑洞路由- 所有流量和會話都被重定向到沒有最終目的地的 IP 地址。結果,服務器無法接收或發送數據。一旦 DDoS 攻擊結束,就會恢復正常的流量處理。雖然這種方法很容易實施,但它會對所有合法流量產生負面影響,并且基本上可以幫助攻擊者實現他們的初始目標——使受害者的服務器不可用。
- 清理中心——這種方法基于將流量從受害服務器重定向到遠程清理中心,在該中心對流量進行分析和過濾。任何具有潛在危險的流量(例如 DDoS 請求)都會被阻止,而合法請求則會照常處理。
- 內聯過濾——在這種方法中,通過網絡的所有流量都經過分析,并與不同的規則和攻擊指標進行比較。與已識別的 DDoS 攻擊相關的流量會立即被阻止,而合法請求會得到正常處理。
特定方法和技術的選擇將取決于特定服務或解決方案的特性。但是,確保及早發現 DDoS 攻擊對于任何項目都至關重要,因為它可以幫助您顯著減輕攻擊的后果并保持服務或解決方案的正常性能。
在接下來的部分中,我們將討論您可以嘗試防止 DDoS 攻擊的幾種方法,并概述針對您的 Web 應用程序或服務的某些類型的 DDoS 保護措施。
構建 DDoS 彈性應用程序的最佳實踐
預防勝于治療。因此,在開始構建之前,請考慮如何確保 Web 應用程序或服務的 DDoS 彈性。
1. 應用 DDoS 防御機制
即使您無法阻止 DDoS 攻擊的發生,您也有能力讓攻擊者更難關閉您的網站或應用程序。這就是 DDoS 攻擊預防技術發揮作用的地方。
您可以使用兩組 DDoS 預防機制:
- 通用 DDoS 預防機制
- 過濾機制
通用 DDoS 預防機制是可以幫助您使您的 Web 應用程序或服務器對 DDoS 攻擊更具彈性的常用措施。這些措施包括:
- 使用防火墻——雖然防火墻不能保護您的應用程序或服務器免受復雜的 DDoS 攻擊,但它們仍然可以有效地處理簡單的攻擊。
- 安裝最新的安全補丁——大多數攻擊針對特定的軟件或硬件漏洞,因此按時部署所有補丁可以幫助您降低攻擊風險。
- 禁用未使用的服務——黑客可以攻擊的應用程序和服務越少越好。確保禁用所有不需要和未使用的服務和應用程序,以提高網絡的安全性。
過濾機制使用不同的方法來過濾流量并阻止潛在的危險請求。這些機制包括入口/出口過濾、基于歷史的 IP 過濾和基于路由器的數據包過濾。
2. 明智地選擇您的 CSP
在選擇云服務提供商 (CSP) 時,請選擇擁有自己的 DDoS 緩解策略的提供商。確保此策略確保檢測和緩解基于協議、基于容量和應用程序級的攻擊。
此外,研究您的 CSP 關于 DDoS 緩解的建議,并在構建您的 Web 產品時實施它們。大多數云服務提供商都有詳細的指導方針,以及保護您的 Web 產品和服務免受常見 DDoS 攻擊的最佳實踐。您可以先看看Google Cloud、Microsoft Azure和Amazon Web Services的建議。
3. 以可擴展性為目標
通過將足夠的計劃和資源投入到其可擴展性中,使您的 Web 應用程序能夠有效地處理突然的負載變化。您可以部署應用程序和網絡負載均衡器或內容分發網絡 (CDN),通過跨多個實例分發所有流量來保護您的解決方案免受流量過載的影響。通過這種方式,您將能夠減輕基礎設施和應用程序層的潛在攻擊。
4.限制弱點的數量
除非確實有必要,否則不要公開您的應用程序和資源。通過這種方式,您可以限制基礎設施中可能被攻擊者攻擊的薄弱環節的數量。您還可以禁止到數據庫服務器和基礎設施的其他關鍵部分的直接 Internet 流量。
5. 保護您的 API
DDoS 攻擊不僅可以針對您的網站和應用程序,還可以針對您的 API。有多種方法可以增強 API 的反 DDoS 保護:應用流量過濾工具和技術,限制 API 在給定時間段內可以處理的請求數量,甚至部署蜜罐。
6. 使用第三方 DDoS 緩解服務
考慮將 Web 應用程序的保護委托給第三方供應商。DDoS 預防工具和緩解服務甚至可以在有問題的流量到達受害者的網絡之前將其移除。您可以尋找基于 DNS 的服務來重定向來自您的網絡的有問題的流量,或者尋找基于邊界網關協議的解決方案來處理持續攻擊。
結論
黑客不斷使用和改進 DDoS 攻擊,旨在破壞特定網站、應用程序和服務的工作。在處理 Web 應用程序時,請特別注意強化您的解決方案以抵御可能的 DDoS 攻擊。
考慮到穩定性和彈性來構建您的網絡產品非常重要。您可以結合不同的 DDoS 攻擊預防方法和 DDoS 防御技術,以增加有效緩解潛在攻擊的機會。或者,您可以部署多個云以確保更好地提供服務。雖然大多數 CSP 都提供反 DDoS 建議,但在開發 Web 應用程序時設計全面的 DDoS 緩解策略需要額外的專業知識。在 Apriorit,我們擁有由知名云和 Web 安全專家組成的團隊,他們很樂意幫助您構建穩定、彈性和性能良好的 Web 產品。
