分布式拒绝服务 (DDoS) 攻击是一种暴力尝试,可以降低服务器速度或使服务器完全崩溃。尽管仍然对企业构成严重威胁,但企业意识的增强以及 Internet 安全软件的增强有助于减少攻击的数量。尽管如此,任何拒绝服务都代表着严重的风险——但这些攻击究竟是如何运作的,它们究竟能造成什么样的损害?
对企业的经济损失可能是严重的。一个由卡巴斯基实验室最近的一项研究显示,DDoS 攻击可以花费公司超过160万$ -一大笔钱对任何一家公司。DDoS 攻击几乎可以理解为“烟幕弹”,在另一次攻击(如数据盗窃)发生时转移员工的注意力。这强调了不惜一切代价防范 DDoS 攻击并采取必要的安全程序以避免灾难性经济损失的重要性。
DDoS 剖析
DDoS 攻击的目标是通过向服务器或网络资源发出大量服务请求来切断用户与服务器或网络资源的联系。虽然简单的拒绝服务涉及一台“攻击”计算机和一个受害者,但分布式拒绝服务依赖于能够同时执行任务的受感染计算机或“机器人”计算机的军队。
这个“僵尸网络”是由利用易受攻击的系统的黑客构建的,将其转变为僵尸大师。botmaster 寻找其他易受攻击的系统并使用恶意软件感染它们——最常见的是特洛伊木马病毒。当足够多的设备被感染时,黑客命令它们进行攻击;每个系统开始向目标服务器或网络发送大量请求,使其过载以导致速度减慢或完全失败。
有几种常见的 DDoS 攻击类型,例如基于卷、协议和应用层。基于流量的攻击包括 UDP、ICMP 和任何其他试图消耗带宽的欺骗性数据包泛洪;这种攻击产生的每秒比特 (Bps) 速率越高,它就越有效。协议攻击直接攻击服务器资源,包括 Smurf DDoS、Ping of Death 和 SYN floods。如果达到足够大的每秒数据包速率,服务器将崩溃。
最后,零日DDoS 或 Slowloris等应用层攻击通过发出看似合法但数量非常大的请求来针对应用程序。如果在足够短的时间内有足够多的请求,受害者的 Web 服务器将关闭。
DDoS 攻击的影响
DDoS 攻击可能会导致金钱、时间、客户甚至声誉的损失。根据攻击的严重程度,资源可能会离线 24 小时、多天甚至一周。事实上,卡巴斯基实验室的一项调查显示,五分之一的 DDoS 攻击可以持续数天甚至数周,证明它们的复杂性和对所有企业构成的严重威胁。
在攻击期间,任何员工都无法访问网络资源,而在运行电子商务站点的 Web 服务器的情况下,消费者将无法购买产品或获得帮助。美元数字各不相同,但如果攻击成功,公司每小时可能损失20,000 美元。
考虑对攻击中使用的“机器人”计算机的影响也很重要。虽然这些人通常被认为是自愿的罪魁祸首,但他们实际上是由于系统漏洞而陷入交火中的旁观者。在某些情况下,固有的安全问题可能会使特洛伊木马病毒潜入公司网络并感染计算机,而在其他情况下,员工打开未知电子邮件附件或下载未经验证的文件是原因。在 DDoS 事件期间,这些次要受害设备也会运行缓慢,如果自身资源消耗过大,可能会崩溃。即使它们保持运行,系统也不会很好地响应合法的服务请求。
防御 DDoS
有多种方法可以防御 DDoS 攻击。根据卡内基梅隆软件工程研究所的说法,最常见的方法之一是限制任何用户在被“锁定”帐户之前可以进行的登录尝试次数。然而,在 DDoS 事件的情况下,此技术可用于对抗公司,有效地将用户长时间锁定在自己的计算机之外。应始终在系统中内置紧急接入点以应对这种情况。始终应该有其他可靠的反 DDoS 解决方案。为了使该解决方案的工作更加有效,公司可以执行以下操作:
- 容忍针对 DDoS 攻击的 Web 服务器配置
- 更改 ISP 防火墙,只允许对公司端服务进行补充的流量
- 调整防火墙以对抗 SYN 洪水攻击
- 将公共资源迁移到另一个 IP 地址
- 将所有关键业务应用程序迁移到云或迁移到单独的公共子网
此外,公司应禁用任何可能用作 DDoS 渗透点的不需要或不熟悉的网络服务。数据配额和磁盘分区功能也是一种帮助限制攻击影响的选项。为网络性能和服务器流量建立基线也很重要。没有明显原因的极高消耗率通常表明攻击者试图衡量公司防御的强度。除了这种监控,公司还应该投资一种特殊的反 DDoS 服务,该服务具有自动扫描功能,以检测最常见的 DDoS 攻击类型。该软件应定期更新以提供最大程度的保护。
DDoS:保护自己
分布式拒绝服务攻击可能会导致服务器中断和金钱损失,并对试图将资源恢复联机的 IT 专业人员造成过度压力。正确的检测和预防方法有助于在 DDoS 事件获得足以颠覆公司网络的势头之前阻止它。