分布式拒绝服务 (DDoS) 攻击是一种网络攻击,源自分布式网络,旨在拒绝来自您的服务的响应。DDoS 攻击旨在通过非法请求压倒您的系统来使您的服务无响应。
越来越多的企业和网站所有者在问自己,什么是 DDoS?他们已经看到其他公司成为网络攻击的牺牲品,并想知道如何防止这种攻击发生在他们身上。
2020 年 2 月,Amazon Web Services 遭受了持续近三天的大规模 DDoS 攻击,还影响了无数其他依赖 AWS 的发布商和网站所有者。目标 IP 地址比正常发送的数据量增加了 56-70 倍。
2018 年,GitHub 遭受了当时有记录以来最大的 DDoS 攻击。尽管每秒 1.3 TB 的数据(Tbps)和每秒 126.9 个数据包(Pps)淹没了 GitHub 的服务器,但由于 Github 强大的 DDoS 保护措施,这次攻击仅使 GitHub 离线 20 分钟。
这种高度可变的效力和风险水平表明,公司必须优先考虑减轻潜在 DDoS 攻击造成的损害。随着越来越多的流量在线以及敏感数据和服务继续保值,这些网络攻击只会越来越多。
在这篇文章中,我们将按照DDoS的思路介绍以下领域:
- 什么是 DDoSing?
- 如何检测攻击?
- 有哪些DDoS 攻击的例子?
- 有哪些不同类型的攻击?
- 如何防范这些攻击?
防御 DDoS 的最重要方面可能是早期检测。如果您的组织可以及早识别 DDoS 攻击,您可以采取措施减轻损害、限制流量并提高未来的安全性。
如何检测 DDoS 攻击
那么,什么是 DDoSing,如何检测它?DDoS 是指当您的服务器、网站、应用程序、基础设施或其他资产充斥着来自恶意行为者的请求,这些请求试图关闭或使您的服务脱机时,就会发生 DDoS。尽管托管解决方案的安全措施各不相同,但即使是最坚固的专用服务器托管也可能仍然容易受到 DDoS 攻击。
很难确定 DDoS 攻击何时发生而不是合法的服务故障。DDoS 攻击通常表现为合法流量或服务器停机。为了确定地识别攻击,使用分析工具进行进一步调查可以帮助发现DDoS 的一些迹象:
- 对单个页面的请求出现可疑峰值。
- 没有妥协历史的应用程序或服务器被关闭。
- 来自单个 IP 地址或一系列 IP 地址的大量流量。
- 来自具有相似特征的用户的流量。
- 您的业务或网站在奇数时间或其他非典型流量模式的流量模式峰值。
检测 DDoS 还与意识有关,并确保您熟悉一些攻击示例。让我们分解几种类型的 DDoS 攻击来展示 DDoS 保护的工作原理。
DDoS 攻击示例
现实世界中的 DDoS 是什么?我们已经提到了一些针对 Amazon 和 GitHub 的高调攻击。这些真实世界的例子可以让我们更好地了解网络犯罪分子的趋势以及我们如何在未来加强 DDoS 保护。
最早记录的 DDoS 攻击之一发生在 2000 年,当时一名化名为“MafiaBoy ”的青少年黑客能够以巨大的流量淹没许多大学和企业。可以公平地说,从那时起,DDoS 已经呈指数级发展,并且至今仍在影响着主要行业。
在 2020 年 2 月针对 AWS 的网络攻击仅几个月后,谷歌就披露了针对其服务的 DDoS 攻击的详细信息,并以 2.6 Tbps 的速度注册了更高的攻击速度。各种规模的公司都面临着这种日益增长的网络威胁的风险。
DDoS 攻击可以根据它们针对的服务层分为三大类:容量攻击、协议攻击和应用程序攻击。让我们逐一检查并了解它们如何影响具有VPS DDoS 保护的站点。
体积攻击
当大量非法流量淹没您的服务器、网站或其他资源时,就会发生容量攻击。也称为基于容量的攻击,容量攻击以每秒比特数 (BPS) 为单位。几种类型的容量攻击包括用户数据报协议 (UDP)、互联网控制消息协议 (ICMP) 和垃圾泛滥攻击。
简单地说,什么是基于容量的 DDoS 攻击?容量攻击就像交通堵塞。想象一下,去上班并驶上匝道,却发现高速公路上的每条车道都挤满了汽车。你被卡住了,无法上路。然而,与交通拥堵不同的是,交通不仅仅是排队等候。用户会看到可怕的“无连接错误”,或者加载时间会减慢到令人沮丧的程度,导致用户放弃最初的请求。
协议攻击
当您的基础设施或部分基础设施被过多的数据包淹没时,就会发生协议攻击。也称为网络层攻击,协议 DDoS 攻击以每秒数据包数 (Pps) 为单位。不同类型的协议攻击包括 Smurf DDoS、TCP 连接攻击或 TCP SYN 洪水。
SYN 洪水(也称为 TCP 连接攻击)针对所谓的三向握手连接。这个常见的 TCP 连接点就是攻击所利用的漏洞。在 SYN Flood 期间,“握手”请求被发送到目标服务器,但从未完成。然后目标端口将无法响应任何请求。随着越来越多的请求被发送,攻击从那里蔓延,直到服务器关闭。
应用层攻击
答案 – 什么是 DDoS?– 如果不看看攻击对应用程序的影响,就不会完整。应用层攻击用恶意请求淹没应用程序,影响生成网页和发出 HTTP 请求的服务层。这些应用程序 DDoS 攻击以每秒请求数 (RPS) 为单位。
与传统的容量攻击相比,应用层攻击的发展速度往往较慢。这种较慢的速率允许请求看起来是合法的,直到它们足以使应用程序不堪重负。
重要的是要记住,这些不同类型的攻击通常相互协同工作。网络犯罪分子很少会将所有精力集中在一个端点上。例如,初始应用层攻击之后可能是容量攻击。站点所有者必须对所有端点进行防御,以确保检测到每种类型的 DDoS 攻击。
如何防御 DDoS 攻击
到目前为止,我们已经回答了——什么是 DDoS 攻击?我们已经研究了不同类型的攻击和检测。但是 DDoS 保护如何工作?在保护您的服务器免受潜在的 DDoS 攻击时,从主动的角度保持警惕非常重要。在 DDoS 保护领域需要考虑的一些有用概念包括:
- 了解您的流量模式:在网络和服务器监控工具的帮助下,您需要了解典型的入站流量。当它急剧上升或超过正常范围时,您可以采取适当的措施。值得一提的是,您还应该监控攻击期间的活动,以帮助破译攻击背后的原因。
- 安全胜于抱歉:除了缓解工具和过度配置带宽外,考虑使用入侵检测系统 (IDS)和入侵保护系统 (IPS) 进行早期攻击检测、过滤器以阻止来自常见嫌疑人的数据包、丢弃所有格式错误/欺骗的数据包,并降低 SYN、ICMP 和 UDP 洪水丢弃的阈值。
- DDoS 缓解工具必不可少:对于大型或特别复杂的 DDoS 攻击,缓解平台和设备通常配备强大的基础设施和先进的检测和监控技术。当假设的攻击成为现实时,你会让事情变得更容易,并感谢你所做的。