企業(yè)網站一直是DDoS攻擊擊的穩(wěn)定目標�����, F5網絡和IBM X-Force都發(fā)現���,企業(yè)網站在2020年的被DDoS攻擊行業(yè)排行榜中排第六�。由于這些攻擊涉及劫持或濫用網絡協議�,因此企業(yè)網站IT團隊檢測到DDoS攻擊的一種方式是監(jiān)控某些類型的網絡流量。
以下是五種網絡數據包類型和協議被DDoS攻擊濫用�,以及一些監(jiān)控它們的方法。
1����、TCP-SYN:這種類型的攻擊使用大量 TCP-SYN(從客戶端到服務器建立會話的初始數據包)數據包來消耗足夠多的服務器資源,使服務器無法響應所有合法流量�。 監(jiān)控 TCP-SYN 數據包的顯著增加將可以預判TCO泛洪的到來。
2�����、DNS:監(jiān)控 DNS 活動對于識別 DNS 泛洪 DDoS 攻擊的早期跡象至關重要。 DNS 使用兩種類型的數據包:DNS 請求和 DNS 響應��。 為了檢測攻擊����,兩種類型都需要獨立監(jiān)控�����; 在 DDoS 攻擊的情況下�,DNS 請求數據包的數量將大大高于 DNS 響應數據包的數量,并且當該比率超過合理數時應發(fā)出警報����。
3、Application layer Flooding:應用程序攻擊(例如 HTTP 洪水)針對的是 OSI 模型中的第 7 層�,而不是 DNS 等網絡基礎設施。 這種類型的DDoS攻擊非常有戲��,因為它們可以同時消耗服務器和網絡資源�����,導致服務器響應中斷所需的流量更少��,而且防御者很難區(qū)分攻擊流量和合法流量之間的區(qū)別。
4��、UDP:根據 F5 Networks 的數據��,UDP 分片���、放大和泛洪攻擊是 2020 年最常見的 DDoS 攻擊類型��。 在這些攻擊中���,攻擊者將列出目標 IP 作為 UDP 源 IP 地址的有效 UDP 請求數據包發(fā)送到服務器,服務器會向目標 IP 發(fā)回更大的響應��。 通過使用超過 1,500 字節(jié)的 UDP 數據包�����,攻擊者可以強制對數據包進行分段(因為以太網 MTU 為 1,500 字節(jié))����。 這些技術放大了針對受害者的流量。 監(jiān)控超出正常水平的 UDP 流量����,尤其是下面列出的可能被濫用的協議���,將使 IT 團隊能夠了解何時可能發(fā)生 UDP 類型的DDoS攻擊。
5�����、ICMP:監(jiān)控 ICMP 數據包的整體吞吐量和計數將提供內部或外部問題的早期警告��。ICMP 地址掩碼請求和 ICMP Type 9 和 Type 10 協議也可用于發(fā)起 DDoS 和 MitM 攻擊�����。為了減輕這些攻擊�,IT團隊應該禁止 ICMP 路由發(fā)現并使用數字簽名來阻止所有Type 9 和Type 10 的ICMP數據包���。
經營性網站備案信息
可信網站信用評價
網絡警察提醒您
誠信網站
中國互聯網舉報中心
網絡舉報APP下載
