相当多的人一头扎进他们的新项目,并试图建立他们的第一个网站,而不考虑所有相关因素。安全性经常被令人担忧地忽视,结果,太多的项目很快就结束了,而且完全可以避免。例如,DDoS 攻击很普遍,并且已经存在了很长时间。然而,许多管理员甚至对他们是什么以及他们如何工作都没有最基本的了解。
网络安全状况
2017年,马里兰大学的研究人员估计,全球平均每 39 秒就会发起一次网络攻击。更有可能的是,今天的黑客攻击尝试更加频繁。2020 年,在COVID-19 危机最严重的时期,瑞士当局报告的网络攻击数量是平时的三倍。事实是,无论是否发生全球大流行,网络犯罪都是一项庞大的业务,可以从中获得很多好处。
勒索软件运营商加密用户和组织的文件并勒索金钱以换取他们的数据。恶意挖矿脚本给毫无戒心的受害者带来了巨大的负担,并消耗了大量的电力来满足不法分子的腰包。黑客入侵商业组织以窃取个人和敏感数据,然后以各种方式进行中介和滥用。您甚至不需要任何高级技术技能来针对某人进行攻击。您所要做的就是访问黑客论坛,向某人支付 DDoS 服务费用,然后将其瞄准您选择的站点或服务器。
什么是 DDoS 攻击?
区分不同类型的网络攻击非常重要。例如,DDoS 攻击的目标不是改变您网站的外观或窃取用户数据。加强您网站的管理员密码或更新您的CMS对保护您的安全无济于事。DDoS代表分布式拒绝服务,正如“拒绝服务”位所暗示的那样,这种攻击的目标是拒绝用户访问服务或资源。换句话说,它应该会使您的网站脱机,或者至少会严重破坏其性能。
DDoS 攻击如何运作?
DDoS 攻击的最终目标是用虚假流量淹没网站和底层基础设施。在非常基本的术语中,攻击者向目标站点发送大量请求并在主机上施加负载。如果垃圾流量变得太多,服务器将难以处理所有请求并最终下线。
DDoS 是最便宜的网络犯罪形式之一,由于攻击不会导致任何直接的数据盗窃,因此许多人误以为它相对无害。有鉴于此,您可能会惊讶地发现在创建支持 DDoS 攻击的基础设施方面付出了多少努力。DDoS 生命周期早在目标被识别之前就开始了。
首先,攻击者需要创建一个僵尸网络——一个由受感染计算机、服务器和其他互联网连接设备组成的庞大网络。网络犯罪分子感染数千个节点(通常称为僵尸节点)并通过命令与控制 (C&C) 服务器控制它们。
他们使用的恶意软件通常非常隐蔽,用户对其存在并不知情。当 C&C 发送指令时,僵尸开始向目标服务器发送尽可能多的请求。将其乘以数千,您将获得巨大的流量峰值。如果目标没有准备好——它就没有任何机会。DDoS 攻击背后的动机非常多样化。
网络犯罪分子可以使用 DDoS 作为报复,经常利用它来表明观点或引起对特定问题的关注。时不时地,您可能会发现商业组织将 DDoS 攻击瞄准他们的竞争对手,尤其是在游戏社区中很普遍。网络犯罪分子经常会出于恶意对网站或服务器进行 DDoS 攻击。无论动机如何,DDoS 都是一个严重的威胁。
每一秒的停机时间和每个对您网站的性能感到失望的用户都在浪费您的钱。频繁、长期或严重的 DDoS 攻击可能会造成重大损失,因此您需要熟悉威胁并知道可以采取哪些措施来保护自己。
DDoS 攻击的类型
所有 DDoS 攻击的目标和一般原则可能相同,但技术、技术和损害范围却大相径庭。DDoS 攻击的一些分类及其引起的问题应该让您更清楚地了解威胁是如何工作的以及系统管理员应该注意什么。
DDoS 攻击一般分为三类:
容量 DDoS 攻击:这是最常见的 DDoS 攻击类型。攻击者建立大量并发连接并向服务器发送大量数据包,企图耗尽目标的带宽,对硬件资源造成极大的负荷,导致网络设备出现故障。
应用程序 DDoS 洪水攻击:这些是最常针对 Web 服务器和网站的攻击。攻击者没有使用数据包和连接,而是使用HTTP 请求淹没目标,以试图压倒 Web 服务器并导致其崩溃。
低速率 DoS 攻击:这是一种略有不同的拒绝服务 (DoS) 活动形式。与传统的 DDoSing 不同,它试图利用特定应用程序设计和实现中的缺陷。通常,黑客在此类攻击中依赖较少的同时连接。
基于所使用的协议,有几种不同的 DDoS 攻击类别:
ICMP 洪水:最古老的 DDoS 攻击形式之一试图使用Internet 控制消息协议压倒目标。
蓝精灵攻击:这是针对 ICMP 协议的另一种方式。这一次,攻击者欺骗目标的 IP并发送一个ICMP 请求,网络上的其他设备会响应该请求,并在不经意间用流量淹没目标。
SYN 洪水攻击:SYN 洪水攻击利用TCP 的三次握手。攻击者发送大量欺骗性的 SYN 数据包,目标服务器必须对其做出响应。
UDP 泛洪攻击:攻击者通常使用欺骗性 IP 地址向目标系统上的随机端口发送大量UDP 数据包。由于没有其他服务使用上述端口,服务器响应许多ICMP 数据包,从而推高负载。
泪珠攻击:攻击者发送许多旧操作系统无法处理的碎片和超大 TCP/IP 数据包。通常,结果是瞬间崩溃。
DNS 放大攻击:攻击者向全球 DNS 系统发送请求并对其进行欺骗,因此它们看起来像是来自目标的 IP 地址。这些请求旨在启动来自 DNS 解析器的大型响应,该响应以受害者的方式发送。
SIP 邀请洪水攻击:会话发起协议 (SIP) 是VoIP 通信的标准协议。攻击者通过发送许多欺骗性的邀请 SIP 消息在他们的 DDoS 攻击中使用它。
SSL DDoS 攻击:一些攻击者甚至在他们的活动中针对 SSL 证书,因为解密已处理信息的额外任务会消耗更多的 CPU 资源。此外,一些较旧的缓解技术不适用于 SSL 流量。
遇到 DDoS 攻击该怎么办?
由于黑客使用庞大的僵尸网络设备,很难确定一个特定的网络数据包是来自合法访问者还是来自被指示用流量淹没它的僵尸。就您的服务器而言,许多人同时尝试访问相同的资源。尽管存在明显的挑战,但您的准备和及时响应对于保护您的网站免受长时间停机和对您的品牌声誉造成永久性损害至关重要。
以下是您可以做的几件事:
获得比您需要的更多的带宽:准确估计您需要多少带宽并不容易,尤其是当您开始您的第一个在线项目时。在任何情况下,一旦发生 DDoS 攻击,所有计算都会消失。然而,您的主机帐户所提供的带宽越多,您需要做出反应的时间就越多。
了解您网站的常用流量模式:如果您知道您的网站定期收到多少流量,您将能够更好地发现异常和异常峰值,这通常预示着 DDoS 攻击的开始。尽早检测到攻击使您能够更好地采取适当的损害缓解措施。
如果您拥有网络,请采取积极措施:如果您在自己的网络上托管服务器,您可以做几件事来减轻损失。例如,您可以在路由器上设置 速率限制,如果垃圾流量的来源很明显,则添加过滤器,将网络设备设置为丢弃格式错误的数据包,并降低 SYN、ICMP和UDP 连接的限制。
所有这些都是需要考虑的重点,特别是如果您要自己处理大多数服务器管理任务。然而,大多数人不愿意自己做所有的跑腿工作,而是依靠他们的主机来保护他们,以防 DDoS 紧急情况发生。
你可以很容易地看出为什么……
您的托管服务提供商的角色
如果您受到 DDoS 攻击,您的托管服务提供商也希望像您一样阻止它。这花费了他们大量昂贵的带宽,并且潜在的中断可能导致他们错过正常运行时间保证。如果发生这种情况 - 需要付出高昂的赔偿。声誉损失可能比财务损失更严重,尤其是在攻击开始影响其他客户的情况下。
如果 DDoS 攻击量太大,主机最终会将请求路由到您的站点。这意味着所有到达它的数据包都将在到达目的地之前被丢弃,并且您的网站将变得无法访问。这是每个人都想避免的最坏情况。
为此,托管服务提供商采取了一些安全措施:
DDoS 运行书籍(或剧本):从本质上讲,DDoS 行动手册是一个事件响应计划。这是关于谁需要在 DDoS 攻击中做什么的分步指南。
流量清洗服务:DDoS 攻击的盛行为DDoS 保护服务打开了一个商业利基。在攻击期间,DDoS 保护服务使用许多不同的因素来过滤恶意流量并为合法用户保持网站在线。由您的主机通过它重定向流量。
访问控制列表:访问控制列表 (ACL) 是每个数据包在到达网络上的目的地时需要遵守的一组规则。主机可以在防火墙、路由器甚至交换机中实现 ACL 。
单播反向路径转发:单播反向路径转发通过检查源IP 地址是否可达来限制恶意流量。如果不是 - 服务器将丢弃数据包。这有助于网络管理员最大限度地减少来自欺骗源 IP 的数据包。
最先进的防火墙:防火墙是最常用的过滤进出网络的流量的设备 。现代防火墙提供深度数据包检查功能,可以详细检查每个请求并丢弃看起来可疑的请求。
此列表远非广泛,但仍概述了主机应采取的一些基本预防措施,以保护其服务器免受 DDoS 攻击。
结论
当今的网络安全环境允许几乎任何人发起攻击,导致整个服务器瘫痪。DDoS 服务在地下市场上很容易获得,使用它们不需要任何技术知识。同时,DDoS 攻击造成的损失对网站所有者和托管服务提供商来说都是毁灭性的。幸运的是,从一开始就准备好抵御此类威胁可以轻松确保您长时间在线舒适。