分布式拒絕服務(wù) (DDoS) 攻擊是一種非侵入式互聯(lián)網(wǎng)攻擊,旨在通過(guò)使用虛假流量淹沒(méi)網(wǎng)絡(luò)、服務(wù)器或應(yīng)用程序來(lái)關(guān)閉目標(biāo)網(wǎng)站或減慢其速度。當(dāng)針對(duì)易受攻擊的資源密集型端點(diǎn)時(shí),即使是極少量的流量也足以使攻擊成功。
分布式拒絕服務(wù) (DDoS) 攻擊是網(wǎng)站所有者必須熟悉的威脅,因?yàn)樗鼈兪前踩I(lǐng)域的關(guān)鍵部分。駕馭各種類(lèi)型的 DDoS 攻擊可能具有挑戰(zhàn)性且耗時(shí)。為了幫助您了解 DDoS 攻擊是什么以及如何防止它,我們編寫(xiě)了以下指南。
一、定義 DDoS 攻擊
1.1 – 了解 DDoS 攻擊
與來(lái)自單一來(lái)源的拒絕服務(wù) (DoS) 攻擊不同,DDoS 攻擊涉及來(lái)自多個(gè)位置的連接設(shè)備——也稱(chēng)為僵尸網(wǎng)絡(luò)。DDoS 攻擊的目的是阻止合法用戶(hù)訪問(wèn)您的網(wǎng)站。與其他類(lèi)型的攻擊不同,攻擊者不會(huì)使用 DDoS 來(lái)破壞您的安全邊界。相反,DDoS 攻擊用于關(guān)閉您的網(wǎng)站并阻止合法流量,或用作其他惡意活動(dòng)的煙幕。要使 DDoS 攻擊成功,攻擊者需要發(fā)送比受害服務(wù)器能夠處理的請(qǐng)求更多的請(qǐng)求。成功攻擊的另一種方式是攻擊者發(fā)送虛假請(qǐng)求。
1.2 – DDoS 攻擊如何運(yùn)作?
DDoS 攻擊將通過(guò)發(fā)送虛假流量峰值來(lái)測(cè)試 Web 服務(wù)器、網(wǎng)絡(luò)和應(yīng)用程序資源的限制。有些攻擊只是針對(duì)易受攻擊的端點(diǎn)(例如搜索功能)的惡意請(qǐng)求的短暫爆發(fā)。DDoS 攻擊使用稱(chēng)為僵尸網(wǎng)絡(luò)的僵尸設(shè)備大軍。這些僵尸網(wǎng)絡(luò)通常由受感染的物聯(lián)網(wǎng)設(shè)備、網(wǎng)站和計(jì)算機(jī)組成。
當(dāng)發(fā)起 DDoS 攻擊時(shí),僵尸網(wǎng)絡(luò)將攻擊目標(biāo)并耗盡應(yīng)用程序資源。成功的 DDoS 攻擊可能會(huì)阻止用戶(hù)訪問(wèn)網(wǎng)站或?qū)⑵浞怕阶阋栽黾犹雎实某潭龋瑥亩鴮?dǎo)致財(cái)務(wù)損失和性能問(wèn)題。
1.3 – DDoS 攻擊背后的目標(biāo)是什么?
利用拒絕服務(wù) (DoS) 攻擊方法的攻擊者的主要目標(biāo)是破壞網(wǎng)站可用性:
- 網(wǎng)站對(duì)合法請(qǐng)求的響應(yīng)可能會(huì)變慢。
- 該網(wǎng)站可以完全禁用,使合法用戶(hù)無(wú)法訪問(wèn)它。
根據(jù)您的配置,任何類(lèi)型的中斷都可能對(duì)您的業(yè)務(wù)造成破壞性影響。
1.4 – DoS 和 DDoS 攻擊有什么區(qū)別?
拒絕服務(wù) (DoS) 攻擊和分布式拒絕服務(wù) (DDoS) 攻擊非常相似。它們之間的唯一區(qū)別是它們的規(guī)模。單一 DoS 攻擊來(lái)自一個(gè)來(lái)源,而 DDoS(分布式)攻擊來(lái)自多個(gè)位置,通常是欺騙性的。
無(wú)論是 DoS 還是 DDoS 攻擊,攻擊者都使用一臺(tái)或多臺(tái)計(jì)算機(jī)。DoS 攻擊處于該頻譜的低端,而 DDoS 攻擊處于高端。非常大的 DDoS 攻擊可以跨越數(shù)百或數(shù)千個(gè)系統(tǒng)。DoS/DDoS 攻擊的擴(kuò)散直接歸因于 DDoS 出租服務(wù)市場(chǎng)的擴(kuò)散,也稱(chēng)為引導(dǎo)服務(wù)。
1.5 – DDoS 攻擊可以竊取信息嗎?
DDoS 攻擊無(wú)法竊取網(wǎng)站訪問(wèn)者信息。DDoS 攻擊的唯一目的是使網(wǎng)站資源過(guò)載。但是,DDoS 攻擊可以用作敲詐勒索的一種方式。例如,可以要求網(wǎng)站所有者為攻擊者支付贖金以阻止 DDoS 攻擊。
DDoS 攻擊可能有許多其他動(dòng)機(jī),包括政治、黑客活動(dòng)、恐怖分子和商業(yè)競(jìng)爭(zhēng)。任何有經(jīng)濟(jì)或意識(shí)形態(tài)動(dòng)機(jī)的人都可以通過(guò)對(duì)組織發(fā)起 DDoS 攻擊來(lái)破壞組織。
1.6 – DDoS 攻擊的跡象是什么?
DDoS 攻擊的跡象包括:
- 該網(wǎng)站響應(yīng)緩慢。
- 該網(wǎng)站沒(méi)有響應(yīng)。
- 用戶(hù)在訪問(wèn)網(wǎng)站時(shí)遇到問(wèn)題。
- 如果您是目標(biāo),則 Internet 連接問(wèn)題。
根據(jù)您的配置,任何類(lèi)型的中斷都可能對(duì)您的業(yè)務(wù)造成破壞性影響。
1.7 – DDoS 攻擊的放大效應(yīng)
每次談到 DDoS 攻擊,就不得不提它的放大效應(yīng)。為了實(shí)現(xiàn)放大,大多數(shù)攻擊者利用由受感染計(jì)算機(jī)組成的僵尸網(wǎng)絡(luò),允許他們將攻擊放大到整個(gè)僵尸網(wǎng)絡(luò)的大小。一名攻擊者可以控制 1,000 個(gè)機(jī)器人,然后這些機(jī)器人可用于對(duì)受害者進(jìn)行 DDoS 攻擊。那是1,000 個(gè)機(jī)器人對(duì) 1 個(gè)服務(wù)器,使攻擊者更容易獲勝。然而,攻擊者并不總是需要控制僵尸網(wǎng)絡(luò)。它們還可以使主機(jī)向錯(cuò)誤的目的地發(fā)送響應(yīng)。例如,易受攻擊的 memcached 服務(wù)器被用來(lái)關(guān)閉 Github,但實(shí)際上沒(méi)有一個(gè)被黑客入侵,只是被攻擊者愚弄了。
放大的另一個(gè)方面與網(wǎng)絡(luò)層和欺騙性請(qǐng)求有關(guān)。如果僵尸網(wǎng)絡(luò)上的每臺(tái)計(jì)算機(jī)只需要發(fā)送 1 個(gè)字節(jié)就可以得到 100 個(gè)字節(jié)的響應(yīng)怎么辦?這就是所謂的100 倍放大。當(dāng)請(qǐng)求被欺騙時(shí),回復(fù)會(huì)返回給互聯(lián)網(wǎng)上的其他人,而不是攻擊者。這意味著服務(wù)器的網(wǎng)絡(luò)端口正在處理 1 字節(jié)的傳入 +?100 字節(jié)的傳出,而攻擊者只處理其端的 1 字節(jié)傳出。
如果使用正確的放大方法,理論上包含 1,000 個(gè)僵尸程序的小型僵尸網(wǎng)絡(luò)可以輕松生成接近100 Gbps的速度。放大并不止于此。大多數(shù)人傾向于僅根據(jù)千兆字節(jié)的網(wǎng)絡(luò)來(lái)考慮它們,但在應(yīng)用層也發(fā)生了一些事情。
如果攻擊者只需要來(lái)自僵尸網(wǎng)絡(luò)的 1 個(gè) HTTP 請(qǐng)求就可以強(qiáng)制 Web 應(yīng)用程序做很多工作怎么辦?比如昂貴的搜索或需要大量資源的東西?這是我們看到的許多第 7 層(HTTP 洪水)攻擊的基礎(chǔ)。
1.8 – DDoS 攻擊期間會(huì)發(fā)生什么?
你有沒(méi)有想過(guò)在 DDoS 攻擊期間會(huì)發(fā)生什么以及它在技術(shù)方面是什么樣子?
DDoS 攻擊會(huì)耗盡服務(wù)器資源并增加網(wǎng)站加載時(shí)間。當(dāng) DDoS 攻擊攻擊網(wǎng)站時(shí),它可能會(huì)遭受性能問(wèn)題或通過(guò)壓倒服務(wù)器資源(如 CPU、內(nèi)存甚至整個(gè)網(wǎng)絡(luò))使服務(wù)器完全崩潰。如今,大多數(shù) DDoS 攻擊都源自黑客控制的易受攻擊物聯(lián)網(wǎng)設(shè)備的僵尸網(wǎng)絡(luò)。這包括連接互聯(lián)網(wǎng)的安全攝像頭、家用電器、智能電視、家庭照明系統(tǒng),甚至冰箱。
DDoS 攻擊的指數(shù)級(jí)增長(zhǎng)主要是由于完全缺乏對(duì)物聯(lián)網(wǎng)設(shè)備的監(jiān)管控制,這使得它們成為僵尸網(wǎng)絡(luò)的優(yōu)秀新兵。一組被劫持的具有唯一 IP 地址的物聯(lián)網(wǎng)設(shè)備可以被重定向以向網(wǎng)站發(fā)出惡意請(qǐng)求,從而引發(fā) DDoS 攻擊。
1.9 – DDoS 攻擊示例
為了幫助您了解攻擊是什么樣子,我們捕獲了一個(gè)網(wǎng)站被 DDoSed 的實(shí)時(shí)示例。您將能夠在幾分鐘內(nèi)清楚地看到網(wǎng)站的性能如何受到干擾,并觀察服務(wù)器資源是如何耗盡的。如果您的網(wǎng)站受到 DDoS 攻擊,該視頻將幫助您識(shí)別可能會(huì)發(fā)現(xiàn)的跡象和行為。
二、DDoS 攻擊的類(lèi)型
某些類(lèi)型的 DDoS 攻擊旨在消耗 Web 服務(wù)器資源。結(jié)果是它們減慢或完全停止您的服務(wù)器或網(wǎng)站。物聯(lián)網(wǎng) (IoT) 是嵌入在電子設(shè)備、軟件、傳感器、執(zhí)行器和連接中的物理設(shè)備網(wǎng)絡(luò)。這些對(duì)象能夠連接和交換也可用于惡意攻擊的數(shù)據(jù)。您的設(shè)備(例如家庭路由器)可能會(huì)受到攻擊并充當(dāng) DDoS 攻擊的僵尸網(wǎng)絡(luò)。
我們發(fā)現(xiàn)了一些與物聯(lián)網(wǎng)設(shè)備相關(guān)的大規(guī)模 DDoS 攻擊。你可以在這里閱讀文章:
- 在 DDoS 攻擊中利用的大型 CCTV 僵尸網(wǎng)絡(luò)
- 物聯(lián)網(wǎng)家庭路由器僵尸網(wǎng)絡(luò)利用大型 DDoS 攻擊
在以下部分中,我們將回顧某些類(lèi)型的 DDoS 攻擊。
2.1 – 基于容量的 DDoS 攻擊
顧名思義,基于流量的 DDoS 攻擊取決于入站流量。此類(lèi)攻擊的目標(biāo)是使網(wǎng)站的帶寬過(guò)載或?qū)е?CPU 或 IOPS 使用問(wèn)題。攻擊者采用了一種基本策略——更多的資源贏得了這場(chǎng)比賽。如果他們可以使您的資源過(guò)載,則攻擊是成功的。攻擊者很容易實(shí)現(xiàn)他們的目標(biāo)。大多數(shù)網(wǎng)站所有者都在利用共享主機(jī),而具有虛擬專(zhuān)用服務(wù)器 (VPS) 環(huán)境的主機(jī)通常設(shè)置在最小的層級(jí)和配置中。
這種攻擊可以以每秒比特?cái)?shù)來(lái)衡量。
基于卷的 DDoS 攻擊包括:
-
-
UDP 泛洪
用戶(hù)數(shù)據(jù)報(bào)協(xié)議 (UDP) DoS 攻擊將隨機(jī)淹沒(méi)各種端口,導(dǎo)致主機(jī)服務(wù)器使用 Internet 控制消息協(xié)議 (ICMP) 數(shù)據(jù)包進(jìn)行報(bào)告。這是一種協(xié)議,用于在問(wèn)題阻止 IP 數(shù)據(jù)包傳遞時(shí)向 IP 地址生成錯(cuò)誤消息。UDP 泛洪是通過(guò)數(shù)據(jù)包完成的——也稱(chēng)為第 3/4 層攻擊。這會(huì)迫使 Web 服務(wù)器做出響應(yīng),進(jìn)而咀嚼您的 Web 服務(wù)器資源,迫使它停止或完全死機(jī)。UDP 是一種無(wú)連接協(xié)議,這意味著它不驗(yàn)證源 IP 地址。正因?yàn)槿绱耍琔DP 攻擊通常與分布式反射拒絕服務(wù) (DRDoS) 攻擊相關(guān)聯(lián)。
-
-
-
ICMP 泛洪
攻擊者使用從大量源 IP 發(fā)送的欺騙性 ICMP 數(shù)據(jù)包淹沒(méi)服務(wù)器。這種攻擊的結(jié)果是服務(wù)器資源耗盡和無(wú)法處理請(qǐng)求,導(dǎo)致服務(wù)器重新啟動(dòng)或?qū)ζ湫阅茉斐蓮V泛影響。ICMP 洪水攻擊可以針對(duì)特定的服務(wù)器,也可以是隨機(jī)的。它基本上將帶寬消耗到耗盡的地步。
-
-
-
平洪水
攻擊者使用來(lái)自大量源 IP 的欺騙性 ping 數(shù)據(jù)包淹沒(méi)服務(wù)器。它是 ICMP 洪水攻擊的演變。攻擊者的目標(biāo)是淹沒(méi)服務(wù)器直到它下線。對(duì)于網(wǎng)站所有者而言,這種攻擊的最大缺點(diǎn)是它可能難以檢測(cè),被誤認(rèn)為是合法流量。
-
2.2 – 基于協(xié)議的 DDoS 攻擊
互聯(lián)網(wǎng)是基于協(xié)議的。這就是事情從 A 點(diǎn)到 B 點(diǎn)的方式。基于協(xié)議的 DDoS 攻擊利用了第 3 層和第 4 層協(xié)議棧中的弱點(diǎn)。這種類(lèi)型的攻擊在處理能力的中間消耗服務(wù)器資源或任何其他網(wǎng)絡(luò)硬件。結(jié)果是服務(wù)中斷。這些攻擊試圖通過(guò)發(fā)送比服務(wù)器可以處理的更多的數(shù)據(jù)包或比網(wǎng)絡(luò)端口可以處理的帶寬更多的數(shù)據(jù)包來(lái)利用您的網(wǎng)絡(luò)堆棧。攻擊可以用每秒數(shù)據(jù)包數(shù) (Pps) 來(lái)衡量。
基于協(xié)議的 DDoS 攻擊包括:
-
-
死亡之平
-
攻擊者向服務(wù)器發(fā)送惡意 ping,操縱 IP 協(xié)議。這種攻擊在 1990 年代非常普遍。如今,盡管攻擊已經(jīng)發(fā)展,但仍有一些形式的 Ping of Death 攻擊可以針對(duì)應(yīng)用程序或硬件。這種攻擊的結(jié)果是服務(wù)器重新啟動(dòng)或完全崩潰。這正是 DoS 攻擊不能被貶低的原因:一個(gè)攻擊者可以摧毀一個(gè)完整的數(shù)據(jù)中心。
-
-
SYN 洪水
-
攻擊者利用傳輸控制協(xié)議 (TCP) 連接三次握手中的弱點(diǎn),這是客戶(hù)端、主機(jī)和服務(wù)器之間的通信過(guò)程。攻擊者將 SYN 數(shù)據(jù)包作為欺騙消息發(fā)送到目標(biāo)服務(wù)器,直到服務(wù)器的表內(nèi)存連接耗盡導(dǎo)致整個(gè)服務(wù)關(guān)閉。
2.3 – 應(yīng)用層攻擊
這種攻擊的基礎(chǔ)通常針對(duì) Web 服務(wù)器(即 Windows IIS、Apache 等)等應(yīng)用程序;然而,應(yīng)用層攻擊已經(jīng)發(fā)展到 WordPress、Joomla、Drupal、Magento 等應(yīng)用平臺(tái)。應(yīng)用層攻擊的目標(biāo)是破壞應(yīng)用程序、在線服務(wù)或網(wǎng)站。
這些攻擊通常比我們以前見(jiàn)過(guò)的攻擊要小。然而,應(yīng)用層攻擊的后果可能是邪惡的,因?yàn)樗鼈兛赡軙?huì)被忽視,直到為時(shí)已晚做出反應(yīng)。這就是為什么它們被稱(chēng)為“低速攻擊”甚至“慢速攻擊”的原因。它們可以是無(wú)聲的、很小的,尤其是與網(wǎng)絡(luò)層攻擊相比,但它們可能同樣具有破壞性。
例如,Linode、Digital Ocean 或 AWS (Amazon) 上的小型 VPS 可以輕松處理每秒 100,000 到 200,000 個(gè)數(shù)據(jù)包的 SYN 洪水。但是,在 WordPress 或 Joomla CMS 上運(yùn)行的同一臺(tái)服務(wù)器幾乎不能在不關(guān)閉的情況下每秒中斷 500 個(gè) HTTP 請(qǐng)求。這就是為什么應(yīng)用層攻擊會(huì)造成與網(wǎng)絡(luò)應(yīng)用攻擊一樣多的破壞。
當(dāng)您考慮我們?cè)?1.4 節(jié)中討論的放大效應(yīng)時(shí),即使是一個(gè) HTTP 請(qǐng)求(攻擊者可以在不花費(fèi)太多金錢(qián)或資源的情況下執(zhí)行)也可能導(dǎo)致服務(wù)器執(zhí)行大量?jī)?nèi)部請(qǐng)求并加載大量文件來(lái)創(chuàng)建頁(yè)。
應(yīng)用層攻擊(通常稱(chēng)為第 7 層攻擊)可能是攻擊的一部分,不僅針對(duì)應(yīng)用程序,還針對(duì)帶寬和網(wǎng)絡(luò)。這些攻擊呈上升趨勢(shì)的原因之一是惡意行為者實(shí)施它們的成本往往較低。在應(yīng)用層攻擊中,放大是基于 CPU、內(nèi)存或資源的,而不是基于網(wǎng)絡(luò)的。
這些攻擊也比網(wǎng)絡(luò)層攻擊更難檢測(cè)。
專(zhuān)業(yè)提示:開(kāi)發(fā)了強(qiáng)大的網(wǎng)站應(yīng)用程序防火墻 (WAF)解決方案,可阻止 DDoS 攻擊關(guān)閉您的網(wǎng)站。稍后我們將詳細(xì)解釋 防火墻。
您的設(shè)備(例如家庭路由器)可能會(huì)受到攻擊并充當(dāng) DDoS 攻擊的僵尸網(wǎng)絡(luò)。我們發(fā)現(xiàn)了一些與物聯(lián)網(wǎng)設(shè)備相關(guān)的大規(guī)模 DDoS 攻擊。
應(yīng)用層攻擊包括:
-
-
針對(duì) DNS 服務(wù)器的攻擊:
-
域名系統(tǒng) (DNS) 對(duì)網(wǎng)站基礎(chǔ)架構(gòu)至關(guān)重要。DNS 將信息與域名相關(guān)聯(lián),它們也可能成為 DDoS 攻擊的目標(biāo)。這些攻擊使用欺騙、反射和放大,這意味著可以大幅放大微小的查詢(xún),以產(chǎn)生更大的字節(jié)響應(yīng)。
僵尸網(wǎng)絡(luò)用于發(fā)送 DNS 請(qǐng)求。如果攻擊者想要針對(duì) DNS 服務(wù)器,它將使用其網(wǎng)絡(luò)中的所有僵尸網(wǎng)絡(luò)來(lái)發(fā)出 DNS 請(qǐng)求消息,以獲取來(lái)自將域名轉(zhuǎn)換為 IP 地址的開(kāi)放遞歸 DNS 服務(wù)器的放大記錄。當(dāng)是新請(qǐng)求時(shí),服務(wù)器會(huì)及時(shí)向被感染服務(wù)器發(fā)出自己的請(qǐng)求,以獲取放大記錄。這種攻擊是使用欺騙完成的,因此即使服務(wù)器從未發(fā)送過(guò)請(qǐng)求,它的響應(yīng)也已經(jīng)不堪重負(fù)。
這些攻擊在今天非常流行。它們發(fā)生在第 3 層/第 4 層,使用世界各地可公開(kāi)訪問(wèn)的 DNS 服務(wù)器來(lái)用 DNS 響應(yīng)流量壓倒您的 Web 服務(wù)器。您的網(wǎng)絡(luò)服務(wù)器被大量的響應(yīng)淹沒(méi),進(jìn)而使其資源耗盡而難以運(yùn)行,從而無(wú)法響應(yīng)合法的 DNS 流量。
第 3 層 DNS 放大是一種 DDoS 攻擊,攻擊者通過(guò)反射第三方的攻擊來(lái)隱藏目標(biāo)站點(diǎn)的攻擊來(lái)源。它使用放大,這意味著受害者收到的字節(jié)數(shù)多于攻擊者發(fā)送的字節(jié)數(shù),從而增加了攻擊的威力。
如果這些攻擊成功,目標(biāo)站點(diǎn)將關(guān)閉并且不可用。
-
-
第 7 層 HTTP 洪水 - 緩存繞過(guò):
-
第 7 層 HTTP 洪水——緩存繞過(guò)是最聰明的攻擊類(lèi)型。攻擊者試圖使用造成最大破壞的 URL,使站點(diǎn)在沒(méi)有緩存的情況下耗盡其所有資源。例如,攻擊可以對(duì)“news”、“gov”、“faith”進(jìn)行隨機(jī)字典搜索,這將消耗網(wǎng)站的大量資源并且不容易被發(fā)現(xiàn),因?yàn)樗雌饋?lái)像普通用戶(hù)的搜索習(xí)慣。
-
-
第 7 層 HTTP 洪水攻擊:
-
第 7 層 HTTP 洪水攻擊是一種 DDoS 攻擊,旨在使站點(diǎn)或服務(wù)器的特定部分過(guò)載。它們很復(fù)雜且難以檢測(cè),因?yàn)榘l(fā)送的請(qǐng)求看起來(lái)像是合法流量。這些請(qǐng)求會(huì)消耗服務(wù)器的資源,導(dǎo)致站點(diǎn)宕機(jī)。這些請(qǐng)求也可以由機(jī)器人發(fā)送,從而增加攻擊的威力。
關(guān)于第 7 層 DDOS 攻擊(即 HTTP 泛洪攻擊)的一個(gè)有趣之處在于,它們對(duì)帶寬的依賴(lài)性很小,這使得它們能夠通過(guò)使服務(wù)器資源過(guò)載而輕松關(guān)閉服務(wù)器。根據(jù) Web 服務(wù)器和應(yīng)用程序堆棧,即使每秒的請(qǐng)求數(shù)量很少,也會(huì)阻塞應(yīng)用程序和后端數(shù)據(jù)庫(kù)。平均而言,每秒超過(guò) 100 個(gè)請(qǐng)求的攻擊有可能導(dǎo)致大多數(shù)中型網(wǎng)站癱瘓。
這種攻擊的問(wèn)題在于服務(wù)器級(jí)緩存無(wú)法阻止它。傳入的 URL 是動(dòng)態(tài)的,應(yīng)用程序會(huì)為每個(gè)不在緩存中的新請(qǐng)求強(qiáng)制從數(shù)據(jù)庫(kù)重新加載內(nèi)容,從而創(chuàng)建一個(gè)新頁(yè)面。攻擊者知道這一點(diǎn),使其成為當(dāng)今第 7 層 DDoS 攻擊的首選攻擊方法。我們將 HTTP 洪水(第 7 層 DDoS 嘗試)分為 4 個(gè)主要類(lèi)別:
-
- 基本 HTTP 洪水:嘗試一遍又一遍地訪問(wèn)同一頁(yè)面的常見(jiàn)且簡(jiǎn)單的攻擊。它們通常使用相同范圍的 IP 地址、用戶(hù)代理和引薦來(lái)源網(wǎng)址。
-
- 隨機(jī) HTTP 洪水:利用大量 IP 地址并隨機(jī)使用 URL、用戶(hù)代理和引用者的復(fù)雜攻擊。
-
- 緩存繞過(guò) HTTP 洪水:隨機(jī) HTTP 洪水的一個(gè)子類(lèi)別,它也試圖繞過(guò) Web 應(yīng)用程序緩存。
-
- WordPress XMLRPC Floods:使用 WordPress pingback 作為攻擊反映的子類(lèi)別。
任何啟用了 pingback 的 WordPress 站點(diǎn)(默認(rèn)情況下處于啟用狀態(tài))都可用于針對(duì)其他站點(diǎn)的 DDoS 攻擊。XMLRPC 用于 pingbacks、trackbacks、通過(guò)移動(dòng)設(shè)備進(jìn)行遠(yuǎn)程訪問(wèn)和許多其他功能。但是,它也可能被攻擊者嚴(yán)重濫用。可能發(fā)生的情況是,其他 WordPress 網(wǎng)站可以大規(guī)模發(fā)送隨機(jī)請(qǐng)求并導(dǎo)致網(wǎng)站癱瘓。
一名攻擊者可以使用數(shù)千個(gè)干凈的 WordPress 安裝,通過(guò)對(duì) XML-RPC 文件的簡(jiǎn)單 pingback 請(qǐng)求來(lái)執(zhí)行 DDoS 攻擊。換句話(huà)說(shuō),Linux 中的一個(gè)簡(jiǎn)單命令就可以發(fā)動(dòng)一場(chǎng)猛烈的攻擊。如果您有興趣了解更多關(guān)于合法 WordPress 網(wǎng)站被濫用以執(zhí)行 DDoS 攻擊的信息。
三、DDoS 攻擊背后的動(dòng)機(jī)是什么?
3.1 – 用于贖金的 DDoS
勒索活動(dòng)可能非常可怕,尤其是當(dāng)它們之后是大規(guī)模的 DDoS 活動(dòng)時(shí)。一些攻擊者使用的策略是向網(wǎng)站所有者發(fā)送一封電子郵件,然后是小規(guī)模的DDoS 攻擊,這種攻擊可以持續(xù)很短的時(shí)間。
在發(fā)送勒索電子郵件之前第一次 DDoS 攻擊背后的目標(biāo)是表明,如果網(wǎng)站所有者不支付發(fā)布網(wǎng)站所需的資金,情況將會(huì)變得更糟。更激烈的 DDoS 攻擊通常緊隨第一個(gè)攻擊之后,如果網(wǎng)站沒(méi)有可靠的 WAF,它們可能會(huì)導(dǎo)致網(wǎng)站癱瘓。
這種類(lèi)型的勒索活動(dòng)始于 2014 年,主要集中在比特幣交易網(wǎng)站和金融機(jī)構(gòu)。但是,該活動(dòng)不斷發(fā)展,并一直威脅到更多平均規(guī)模的網(wǎng)站。
阻止 DDoS 攻擊的贖金價(jià)格從小額到巨額不等。贖金通常以比特幣收取。我們對(duì)任何人的建議是永遠(yuǎn)不要支付贖金,因?yàn)閻阂庑袨檎咄ㄟ^(guò)這些活動(dòng)賺到的錢(qián)越多,他們創(chuàng)建和發(fā)布的活動(dòng)就越多。與所有勒索軟件一樣,最好的選擇是在網(wǎng)站受到攻擊之前進(jìn)行備份和保護(hù)。
3.2 – 黑客主義
當(dāng)黑客想要部署攻擊以傳播信息時(shí),就會(huì)出現(xiàn)黑客行為。這種網(wǎng)站攻擊的動(dòng)機(jī)可能是最難理解的。與其他人類(lèi)似,這些攻擊的驅(qū)動(dòng)因素是金錢(qián)或?yàn)E用職權(quán)。然而,當(dāng)黑客行動(dòng)主義發(fā)生時(shí),其目的通常是為了抗議宗教或政治議程。
黑客可以進(jìn)行 DDoS 攻擊以向黑客社區(qū)內(nèi)的同行炫耀,以此作為吹牛的權(quán)利。許多黑客行動(dòng)主義 DDoS 攻擊的目標(biāo)是政府、金融或商業(yè)網(wǎng)站。例如,黑客可以對(duì)網(wǎng)站進(jìn)行 DDoS 攻擊,以便出于政治原因?qū)⑵潢P(guān)閉。當(dāng)知名組織發(fā)生這種情況時(shí),黑客就有機(jī)會(huì)聲稱(chēng)對(duì)攻擊負(fù)責(zé)并發(fā)表聲明。
3.3 – 有針對(duì)性的攻擊
雇傭黑客可用于損害網(wǎng)站的聲譽(yù)或給營(yíng)銷(xiāo)團(tuán)隊(duì)帶來(lái)痛苦。這通常是為較大的企業(yè)保留的,但并不總是規(guī)則。例如,想想福布斯黑客。最近有很多這類(lèi)黑客的例子,很明顯為什么它們會(huì)成為攻擊目標(biāo)。進(jìn)入這些環(huán)境所需的努力程度成倍增加。
DDoS 攻擊在競(jìng)爭(zhēng)企業(yè)中很受歡迎。它們可以針對(duì)大型或小型站點(diǎn)進(jìn)行部署,并且可以由競(jìng)爭(zhēng)、純粹的無(wú)聊或?qū)μ魬?zhàn)的需求驅(qū)動(dòng)。這些攻擊的范圍從非常簡(jiǎn)單到非常復(fù)雜,它們的目標(biāo)是降低網(wǎng)站的可用性。
3.4 – 純粹的無(wú)聊
總是讓人們措手不及的是人們出于無(wú)聊和娛樂(lè)而攻擊網(wǎng)站的想法。說(shuō)這些黑客總是年輕是不公平的,但這些攻擊者大部分時(shí)間都是精通計(jì)算機(jī)的青少年,手頭有很多時(shí)間。
這類(lèi)黑客也被稱(chēng)為“腳本小子”,因?yàn)樗麄兊哪挲g很大,而且他們有時(shí)只使用腳本訪問(wèn) DDoS 網(wǎng)站。只需要一個(gè)預(yù)制腳本和一些命令即可針對(duì)目標(biāo)網(wǎng)站啟動(dòng)受感染機(jī)器網(wǎng)絡(luò)。
如果有人在電腦前感到無(wú)聊,那么創(chuàng)建大型 DDoS 攻擊聽(tīng)起來(lái)像是一個(gè)有趣的挑戰(zhàn)。將整個(gè)業(yè)務(wù)線下線下為“腳本小子”提供支持。
四、DDoS 攻擊對(duì)站點(diǎn)所有者的影響
大多數(shù)網(wǎng)站所有者都難以理解 DDoS 攻擊的復(fù)雜細(xì)節(jié)。并不是說(shuō)他們需要了解所有內(nèi)容,而是期望他們實(shí)施的安全控制能夠充分解決問(wèn)題。不幸的是,并非所有保護(hù)措施都可以防止 DDoS 攻擊的發(fā)生。
網(wǎng)站所有者可以嘗試登錄一天并發(fā)現(xiàn)網(wǎng)站沒(méi)有打開(kāi),或者他們會(huì)收到錯(cuò)誤消息:
對(duì)于以?xún)?nèi)容分發(fā)或廣告收入為生的博主來(lái)說(shuō),這可能是災(zāi)難性的。想象一下收入取決于他的電子商務(wù)網(wǎng)站的企業(yè)主會(huì)發(fā)生什么。你準(zhǔn)備如何處理這個(gè)問(wèn)題?“我的主人會(huì)處理這個(gè)”的答案是不正確的。
大多數(shù)主機(jī)都沒(méi)有準(zhǔn)備好解決基于應(yīng)用程序的攻擊問(wèn)題。這也不是應(yīng)用層能解決的問(wèn)題。事實(shí)上,由于這些工具的資源密集型性質(zhì)以及整個(gè)托管生態(tài)系統(tǒng),任何試圖阻止這些問(wèn)題的應(yīng)用程序安全工具都可能因?yàn)樗璧谋镜刭Y源消耗而成為問(wèn)題的一部分。這對(duì)于共享主機(jī)帳戶(hù)尤其具有挑戰(zhàn)性,因?yàn)閷?duì)同一服務(wù)器上的另一個(gè)站點(diǎn)的攻擊會(huì)強(qiáng)制禁用整個(gè)服務(wù)器,從而無(wú)意中影響其他網(wǎng)站。
五、如何防止 DDoS 攻擊
我們已經(jīng)廣泛討論了什么是 DDoS 攻擊,并舉例說(shuō)明了 DDoS 攻擊的類(lèi)型。現(xiàn)在我們將花一些時(shí)間來(lái)討論 DDoS 方法以及保護(hù)您的站點(diǎn)免受 ddos?? 攻擊的方法。
5.1 – 激活網(wǎng)站應(yīng)用程序防火墻保護(hù)免受 DDoS 攻擊
網(wǎng)站應(yīng)用程序防火墻(WAF)將惡意流量阻擋在您的網(wǎng)站之外。它是位于您的網(wǎng)站與其接收的流量之間的一層保護(hù)。網(wǎng)站應(yīng)用程序防火墻是網(wǎng)站的特定應(yīng)用程序防火墻,超出了在網(wǎng)絡(luò)級(jí)別傳輸?shù)臄?shù)據(jù)包的元數(shù)據(jù)。他們專(zhuān)注于傳輸中的數(shù)據(jù)。創(chuàng)建應(yīng)用程序防火墻是為了了解每個(gè)協(xié)議(如 SMTP 和 HTTP)允許的數(shù)據(jù)類(lèi)型。
考慮到保護(hù)任何網(wǎng)站免受 DDoS 攻擊和其他網(wǎng)站入侵,我們開(kāi)發(fā)了自己的專(zhuān)有 WAF。防火墻是基于云的軟件即服務(wù) (SaaS) 網(wǎng)站應(yīng)用程序防火墻 (WAF) 和入侵防御系統(tǒng) (IPS)。
防火墻充當(dāng)反向代理,攔截和檢查所有傳入的超文本傳輸??協(xié)議/安全 (HTTP/HTTPS) 請(qǐng)求到網(wǎng)站。這樣,WAF 可以在惡意請(qǐng)求到達(dá)您的服務(wù)器之前在網(wǎng)絡(luò)邊緣剝離惡意請(qǐng)求。
您可以根據(jù)需要自定義防火墻。我們還為遭受 DDoS 攻擊的網(wǎng)站提供緊急 DDoS 保護(hù)。WAF 添加了瀏覽器質(zhì)詢(xún),以驗(yàn)證流量是否實(shí)際來(lái)自瀏覽器或腳本。
5.2 – 國(guó)家封鎖
大多數(shù)網(wǎng)站攻擊來(lái)自特定國(guó)家,例如中國(guó)、俄羅斯和土耳其。盡管我們對(duì)這些國(guó)家沒(méi)有任何反對(duì)意見(jiàn),但防火墻為您提供了阻止他們與您的網(wǎng)站交互 (POST) 的選項(xiàng)。
您可以在我們的防火墻儀表板中輕松啟用此選項(xiàng),以便這些國(guó)家/地區(qū)的 IP 地址仍然能夠查看所有內(nèi)容,但他們將無(wú)法注冊(cè)、提交評(píng)論或嘗試登錄。它基本上是一種只讀模式。
5.3 – 監(jiān)控流量
監(jiān)控您的網(wǎng)站流量以了解流量峰值和 DDoS 攻擊至關(guān)重要。正如我們之前所解釋的,當(dāng)服務(wù)器有大量流量時(shí),就會(huì)發(fā)生 DDoS。如果您的網(wǎng)站在一天內(nèi)獲得一百萬(wàn)新用戶(hù),那就太好了,但這不會(huì)令人懷疑嗎?出口流量比率的急劇增加是 DDoS 攻擊的危險(xiǎn)信號(hào)。我們強(qiáng)烈建議您使用監(jiān)控工具并始終檢查您的日志。
有一個(gè)監(jiān)控平臺(tái),即基于云的網(wǎng)站入侵檢測(cè)系統(tǒng) (CDS)。我們的監(jiān)控掃描儀會(huì)持續(xù)檢查您的網(wǎng)站,并在檢測(cè)到任何可疑情況時(shí)提醒您。這使您可以快速采取行動(dòng)并減少對(duì)流量的任何負(fù)面影響。還在防火墻上提供入侵檢測(cè)系統(tǒng) (IDS),旨在防止 DDoS 攻擊破壞或破壞您的網(wǎng)站。
5.4 – 阻止應(yīng)用層 DDoS 攻擊
應(yīng)用層的 DDoS 攻擊通常以謹(jǐn)慎和隱秘的方式進(jìn)行,使其更難被發(fā)現(xiàn)。一開(kāi)始,他們甚至可能被流量高峰所誤解。它們是當(dāng)今最常見(jiàn)的攻擊,影響所有組織,無(wú)論其規(guī)模大小。任何網(wǎng)站都可能成為這些攻擊的受害者,因?yàn)樗鼈兇蠖嗍亲詣?dòng)化的。防火墻的功能之一是阻止應(yīng)用層 DDoS 攻擊。
5.5 – 當(dāng)網(wǎng)站受到 DDoS 攻擊時(shí)尋找其他攻擊
DDoS 攻擊也可以作為其他攻擊的轉(zhuǎn)移手段,尤其是當(dāng)惡意行為者開(kāi)發(fā)針對(duì)金融機(jī)構(gòu)的攻擊時(shí)。當(dāng)所有人的目光都集中在 DDoS 攻擊上時(shí),可能會(huì)發(fā)生數(shù)據(jù)盜竊。
5.6 – 在 DDoS 攻擊中該怎么做?
您需要制定 DDoS 緩解計(jì)劃,例如網(wǎng)站應(yīng)用程序防火墻 (WAF)。提供網(wǎng)站安全平臺(tái),它是網(wǎng)站的托管安全服務(wù)提供商。我們基于云的平臺(tái)為您提供完整的網(wǎng)站安全性,包括您網(wǎng)站的防病毒和防火墻。我們監(jiān)控安全事件、修復(fù)網(wǎng)站黑客行為并保護(hù)您的網(wǎng)站以防止黑客入侵。該平臺(tái)還可以讓您的網(wǎng)站快速運(yùn)行并確保運(yùn)營(yíng)連續(xù)性。我們的安全運(yùn)營(yíng)團(tuán)隊(duì)每天都會(huì)調(diào)查和緩解多次拒絕服務(wù) (DDoS) 攻擊。
