DDoS攻擊不僅在增加�����,而且比以往任何時候都更大,更具破壞性����。從獨立網(wǎng)站到跨國銀行,似乎沒有人可以幸免���。
攻擊者并不是唯一具有適應(yīng)能力的人�。通過研究近期歷史上最著名的五種DDoS攻擊��,您可以了解如何在將來更好地保護自己��。讓我們看一下最著名的DDoS攻擊及其必須提供的教訓(xùn)����。
什么是DDoS攻擊�����?
在深入探討五種最著名的DDoS攻擊之前�,讓我們首先回顧一下什么是DDoS攻擊。
DDoS代表“分布式拒絕服務(wù)”�����,它是指部署大量Internet機器人(從數(shù)十萬到數(shù)十萬不等)。這些僵尸程序旨在通過大量請求��,數(shù)據(jù)包或消息攻擊單個服務(wù)器��,網(wǎng)絡(luò)或應(yīng)用程序���,從而拒絕為合法用戶(例如員工或客戶)提供服務(wù)��。
通常�����,攻擊者通過利用單個計算機系統(tǒng)中的漏洞來發(fā)起DDoS攻擊�。然后���,攻擊者的系統(tǒng)將成為DDoS主機����,并致力于識別其他易受攻擊的系統(tǒng)以將其轉(zhuǎn)變?yōu)榻┦绦颉?/span>
犯罪者通過使用命令和控制服務(wù)器或僵尸網(wǎng)絡(luò)來指導(dǎo)這些計算機僵尸進行攻擊�。那時,攻擊者所需要做的就是告訴僵尸程序針對誰�。
誰會進行DDoS攻擊���?事實證明,答案包括許多不同類型的不良行為者���,例如網(wǎng)絡(luò)犯罪分子或不滿的員工����。犯罪者出于多種原因執(zhí)行DDoS攻擊���,例如勒索���,復(fù)仇或政治。
DDoS攻擊可通過每秒在目標上發(fā)送多少位流量(二進制數(shù)字)來衡量-例如��,一次小型攻擊可能僅每秒測量幾兆位(Mbps)��,而較大的攻擊可能每秒測量幾百兆位(Gbps)��,甚至每秒超過1 TB(Tbps)�����。
重要的是要注意��,并非所有的DDoS攻擊都以帶寬為中心��。例如�����,網(wǎng)絡(luò)協(xié)議攻擊是低帶寬����,每秒有很多數(shù)據(jù)包(PPS)。
DDoS攻擊的安全威脅
更重要的是���,在許多情況下�,DDoS攻擊僅旨在分散其他犯罪活動的注意力���,例如數(shù)據(jù)盜竊或網(wǎng)絡(luò)滲透�。攻擊者使其目標忙于抵御DDoS攻擊���,然后潛入某種惡意軟件���。
五種最著名的DDoS攻擊
近年來,DDoS攻擊的頻率和嚴重性都只是在增加。在這里���,我們將研究五個最大和最著名的DDoS攻擊�����。
1. GitHub:1.35 Tbps
2018年2月28日�,流行的開發(fā)人員平臺GitHub突然受到攻擊��,每秒流量達1.35 TB���。如果聽起來像是很多�����,那是因為—不僅流量巨大�����,而且還是破記錄�。
根據(jù)GitHub的說法���,流量可以追溯到“跨越成千上萬個唯一端點的一千個不同的自治系統(tǒng)(ASN)”。
在此圖中,您可以看到正常流量水平與攻擊流量水平之間的差異是多少:
GitHub DDoS攻擊更糟糕的是�,GitHub并非沒有為DDoS攻擊做充分的準備-他們根本無法得知將會發(fā)起這種規(guī)模的攻擊。
正如GitHub在上面鏈接的事件報告中所解釋的那樣:“在過去的一年中��,我們已經(jīng)向我們的設(shè)施部署了額外的傳輸�。在此期間,我們的運輸能力增加了一倍以上����,這使我們能夠承受一定的體積攻擊,而不會影響用戶……�����。即便如此���,這樣的攻擊有時仍需要擁有較大傳輸網(wǎng)絡(luò)的合作伙伴的幫助才能提供阻止和過濾功能���!
2.香港占領(lǐng)區(qū):500 Gbps
該PopVote DDoS攻擊是在2014年進行了有針對性的被稱為占據(jù)中央的總部設(shè)在香港的草根運動�����。該運動正在爭取建立更民主的投票制度�。
為了響應(yīng)他們的活動��,攻擊者向Occupy Central的三個網(wǎng)絡(luò)托管服務(wù)以及兩個獨立的站點(在線模擬選舉站點PopVote和新聞網(wǎng)站Apple Daily)發(fā)送了大量流量�����。歸占領(lǐng)中央所有���,但公開支持其事業(yè)。據(jù)推測����,那些負責者對占領(lǐng)中央的民主信息做出了反應(yīng)。
該攻擊用偽裝成合法流量的數(shù)據(jù)包對服務(wù)器進行了攻擊�,并以一個,兩個����,五個僵尸網(wǎng)絡(luò)來執(zhí)行。這導(dǎo)致每秒500吉比特的峰值流量水平�����。
3. CloudFlare:400 Gbps
2014年�����,安全提供商和內(nèi)容交付網(wǎng)絡(luò)CloudFlare每秒遭受約400吉比特的流量沖擊。該攻擊是針對單個CloudFlare客戶和歐洲的目標服務(wù)器的�����,并借助網(wǎng)絡(luò)時間協(xié)議(NTP)(一種用于計算機時鐘同步的網(wǎng)絡(luò)協(xié)議)中的漏洞進行了發(fā)動��。即使攻擊僅針對CloudFlare的一個客戶��,但攻擊是如此強大��,以至于影響了CloudFlare自己的網(wǎng)絡(luò)����。
此攻擊說明了一種技術(shù)�,其中攻擊者使用欺騙的源地址將大量NTP服務(wù)器的響應(yīng)發(fā)送給受害者。這被稱為“反射”�����,因為攻擊者能夠鏡像和放大流量���。
攻擊后不久���,美國計算機應(yīng)急準備小組解釋說�����,NTP放大攻擊 “特別難以阻止”����,因為“響應(yīng)是來自有效服務(wù)器的合法數(shù)據(jù)����。”
4. Spamhaus:300 Gbps
2013年�����,針對非營利威脅情報提供商Spamhaus發(fā)起了DDoS攻擊��。盡管作為反垃圾郵件組織的Spamhaus曾經(jīng)受到并且經(jīng)常受到威脅和攻擊�����,但這種DDoS攻擊的規(guī)模足以使他們的網(wǎng)站以及電子郵件服務(wù)的一部分癱瘓�����。
就像上述2014年針對CloudFlare的攻擊一樣����,此攻擊利用反射使Spamhaus的服務(wù)器每秒過載300吉比特流量����。
這次攻擊可追溯到一家名為Cyberbunker的荷蘭公司的成員�����,該公司在將Spamhaus列入了Cyberbunker的黑名單后�����,似乎將其瞄準了���。
5.美國銀行:60 Gbps
2012年,一連串的DDoS攻擊不是美國一家�,而是兩家,而是多達六家美國銀行�。受害者也不是小鎮(zhèn)銀行:他們包括美國銀行,摩根大通�,美國銀行,花旗集團和PNC銀行�����。
攻擊是由數(shù)百臺被劫持的服務(wù)器進行的,每臺服務(wù)器造成的峰值洪泛每秒流量超過60吉比特����。
當時,這些攻擊在持久性方面是獨一無二的:作案者沒有嘗試執(zhí)行一種攻擊然后再撤退���,而是使用多種方法對目標進行了攻擊��,以找到可行的方法��。因此�,即使一家銀行具備處理幾種DDoS攻擊的能力��,它們也無法抵抗其他類型的DDoS攻擊�。
如何預(yù)防DDoS攻擊
正如您在檢查了五種最著名的攻擊之后所看到的那樣,DDoS攻擊并沒有消失��。實際上��,它們只會變得更大�,更具破壞性。因此�����,防止自己成為受害者的最好辦法是從已經(jīng)發(fā)生的攻擊中吸取教訓(xùn)。
您可以按照以下方法開始考慮DDoS保護:
選擇部署模式
主動DDoS部署模式和被動DDoS部署模式都有好處����,您選擇哪種模式取決于您的業(yè)務(wù)目標。
主動模式可提供最高分辨率的檢測功能��,通常用于語音���,視頻和游戲等實時應(yīng)用�。通過主動模式����,檢測始終處于打開狀態(tài)�����,并且為您提供了內(nèi)聯(lián)工具��,該工具可通過數(shù)據(jù)包分析提供100%的可見性�。
另一方面,反應(yīng)模式通過分析元數(shù)據(jù)以及利用交換機和邊緣路由器提供的流數(shù)據(jù)來檢測異常����。被動模式比主動模式更具成本效益���,但是它沒有實時響應(yīng)的能力。
針對業(yè)務(wù)目標的推薦部署體系結(jié)構(gòu)
| 積極主動 | 反應(yīng)性 |
|---|
| 體積攻擊防護 |
|  |
| 雙向保護 | | |
| 保護重要的DNS服務(wù) | |
|
| 保護實時IMS基礎(chǔ)架構(gòu) | |
|
| 保護內(nèi)部托管客戶端 | | |
| 保護外部托管客戶端 |
| |
| 商務(wù)擦洗服務(wù) |
| |
| 托管安全服務(wù) |
客戶處所 |
清潔管 |
DDoS檢測方法
當涉及到DDoS檢測時��,有很多不同的方法可供選擇����,例如:
流采樣:在流采樣中,路由器對數(shù)據(jù)包進行采樣��,然后導(dǎo)出包含有關(guān)這些數(shù)據(jù)包信息的數(shù)據(jù)報�����。幾乎所有路由器都支持這種技術(shù)�,而且它具有高度可擴展性,因此成為一種流行的選擇�����。但是����,此方法只能為您提供有限的流量快照,而不能進行詳細分析。
數(shù)據(jù)包分析:在路徑中部署高性能DDoS緩解設(shè)備時���,它可以立即檢測和緩解異常�。這種類型的設(shè)備連續(xù)處理所有傳入流量����,也可以處理所有傳出流量,這分別稱為非對稱和對稱處理���。
鏡像數(shù)據(jù)包:盡管鏡像數(shù)據(jù)包不在流量路徑中運行����,但它們提供了用于深入分析的完整細節(jié)��,并且可以快速檢測到異常�����。該方法的唯一缺點是可能難以擴大規(guī)模���。
DDoS防御的分析可擴展性
無論您選擇哪種部署模式和檢測方法,如果您無法擴大規(guī)模以充分保護整個網(wǎng)絡(luò)�,這一切都是徒勞的。畢竟,DDoS攻擊之所以起作用��,是因為它們可以帶給您大量的流量����,因此,緩解系統(tǒng)需要能夠處理大量數(shù)據(jù)包����。
您還應(yīng)該牢記分析基礎(chǔ)架構(gòu)的可伸縮性。例如����,流量采樣方法可以輕松縮放,但會犧牲粒度和緩解速度��。同時�,鏡像數(shù)據(jù)包當然可以提供粒度,但是它們的伸縮性往往不好��。
選擇最佳的DDoS保護
有這么多種選擇��,選擇適合您公司和預(yù)算的DDoS保護解決方案并不總是那么容易���。
選擇解決方案時���,應(yīng)注意以下幾點:
精度:保護自己免受DDoS攻擊時���,解決方案的精度似乎僅次于其抵制孵化器和抵御風(fēng)暴的能力。但是��,事實并非遙不可及:為了有效地保護您的網(wǎng)絡(luò)�,解決方案必須能夠精確地解析流量,以正確地區(qū)分攻擊的bot和合法的用戶�。
外形尺寸:某些DDoS解決方案以“一刀切”的產(chǎn)品形式提供,這通常對于小型組織來說是成本高昂的���,而對于大型組織來說卻不足夠��。因此�,尋找一種可提供各種外形尺寸的解決方案���。
可擴展性和廣度:根據(jù)您所從事的業(yè)務(wù)類型�,您可能依賴DDoS解決方案來保護許多下游業(yè)務(wù)客戶����。因此���,一個好的解決方案應(yīng)該能夠保護您的客戶以及您的基礎(chǔ)架構(gòu)�。
部署靈活性:如前所述,有兩種類型的部署模式:主動和被動�。一個并不能比另一個更好,并且每個都可以根據(jù)您的目標發(fā)揮重要作用�����,因此請確保您選擇的解決方案可以使用任何一種模式�����。
自動化的升級響應(yīng):效率在業(yè)務(wù)的各個方面都很重要�����,因此您的DDoS解決方案也應(yīng)該高效�����。這意味著它應(yīng)該認識到正常的普通流量與全面的DDoS攻擊之間的區(qū)別��,并相應(yīng)地調(diào)整緩解措施����。
可編程API:盡管DDoS解決方案易于使用很重要�,但它們具有完全可自定義的應(yīng)用程序編程接口(API)也同樣重要��。可編程的API有助于自動化以及防御��,應(yīng)用程序和虛擬基礎(chǔ)架構(gòu)的快速交付�,這對于使用敏捷SecOps或DevOps模型的組織而言至關(guān)重要。
如果您堅持要求滿足所有這些要求的解決方案��,則可以更好地防御DDoS攻擊��。顯然����,隨著時間的流逝,DDoS攻擊只會變得越來越強大���,但幸運的是����,DDoS解決方案也是如此�。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
