成功的 DDoS 攻击不仅会使您在很长一段时间内无法行动,甚至会导致某些系统出现故障。每天你没有行动都会增加你本来没有的成本。在本文中,我们将研究 DoS 与 DDoS 的危险,看看有什么区别。
什么是 DoS 攻击,什么是 DDoS 攻击,有什么区别?
DoS 攻击是一种拒绝服务攻击,其中使用计算机向服务器发送 TCP 和 UDP 数据包。DDoS 攻击是指多个系统以 DoS 攻击为目标的单个系统。然后目标网络会受到来自多个位置的数据包的轰炸。所有 DDoS = DoS,但并非所有 DoS = DDoS。拒绝服务 (DoS)和分布式拒绝服务 (DDoS)攻击是现代企业面临的两个最可怕的威胁。很少有攻击形式能够像成功的 DoS 攻击那样产生财务后果。安全调查表明,DDoS 攻击的平均成本在每小时 20,000 美元到 40,000 美元之间。这是一个天文数字,即使是最大的组织也可能面临压力。
什么是 DoS 攻击?
DoS 攻击是一种拒绝服务攻击,其中使用计算机向服务器发送 TCP 和 UDP 数据包。在这种类型的攻击中,服务会因为通过网络发送的数据包而停止运行,从而使服务器的功能过载,并使整个网络中的其他设备和用户无法使用服务器。DoS 攻击用于关闭单个机器和网络,使其无法被其他用户使用。可以使用多种不同的方式进行 DoS 攻击。其中包括:
- 缓冲区溢出攻击——这种类型的攻击是最常见的 DOS 攻击。在这种攻击下,攻击者通过流量使网络地址过载,从而使其无法使用。
- Ping of Death 或 ICMP 洪水——ICMP洪水攻击用于获取未配置或配置错误的网络设备,并使用它们发送欺骗数据包以 ping 目标网络中的每台计算机。这也称为死亡 ping (POD) 攻击。
- SYN flood——SYN flood 攻击发送连接到服务器的请求,但不完成握手。最终结果是网络被阻止任何人连接到网络的连接请求所淹没。
- 泪滴攻击——在泪滴 DoS 攻击期间,攻击者将 IP 数据包片段发送到网络。然后网络尝试将这些片段重新编译成它们的原始数据包。编译这些片段的过程会耗尽系统并最终崩溃。它崩溃是因为这些字段旨在混淆系统,使其无法将它们重新组合在一起。
可以轻松协调 DoS 攻击意味着它们已成为现代组织必须面对的最普遍的网络安全威胁之一。DoS 攻击简单但有效,可以给他们所针对的公司或个人带来毁灭性的破坏。通过一次攻击,一个组织可能会在数天甚至数周内无法运作。组织离线花费的时间加起来。无法访问网络每年都会使组织花费数千美元。数据可能不会丢失,但服务中断和停机时间可能会很大。防止 DoS 攻击是在现代保持保护的基本要求之一。
什么是 DDoS 攻击?
DDoS 攻击是当今使用的最常见的 DoS 攻击类型之一。在 DDoS 攻击期间,多个系统以具有恶意流量的单个系统为目标。通过使用多个位置来攻击系统,攻击者可以更容易地使系统脱机。
原因是攻击者可以使用大量机器,受害者很难确定攻击的来源。此外,使用 DDoS 攻击会使受害者恢复. 十分之九的用于执行 DDoS 攻击的系统已被攻破,因此攻击者可以通过使用从属计算机远程发起攻击。这些从属计算机被称为僵尸或机器人。这些僵尸程序形成了一个连接设备的网络,称为僵尸网络,由攻击者通过命令和控制服务器进行管理。命令和控制服务器允许攻击者或僵尸主机协调攻击。僵尸网络可以由少数几个机器人到数百个不同的机器人组成。
广泛的 DoS 和 DDoS 攻击类型
DoS 攻击分为许多大类,用于使网络脱机。它们以以下形式出现:
- 容量攻击——容量攻击被归类为攻击者故意消耗目标网络带宽资源的任何形式的攻击。一旦网络带宽被消耗,网络内的合法设备和用户就无法使用它。当攻击者使用 ICMP 回显请求淹没网络设备直到没有更多可用带宽时,就会发生容量攻击。
- 碎片攻击——碎片攻击是任何类型的攻击,它迫使网络重新组装被操纵的网络数据包。在碎片攻击期间,攻击者将经过处理的数据包发送到网络,这样一旦网络尝试重新组装它们,它们就无法重新组装。这是因为数据包具有比允许的更多的数据包头信息。最终结果是数据包标头太大而无法批量重组。
- TCP 状态耗尽攻击——在 TCP 状态耗尽攻击中,攻击者以 Web 服务器或防火墙为目标,试图限制他们可以建立的连接数。这种攻击方式背后的想法是将设备推到并发连接数的极限。
- 应用层攻击——应用层或第 7 层攻击是针对应用程序或服务器的攻击,试图通过创建尽可能多的进程和事务来耗尽资源。应用层攻击特别难以检测和解决,因为它们不需要很多机器来发起攻击。
最常见的 DDoS 攻击形式
如您所见,DDoS 攻击是这两种威胁中更为复杂的一种,因为它们使用的一系列设备会增加攻击的严重性。被一台电脑攻击和被一百台设备的僵尸网络攻击是不一样的!为 DDoS 攻击做好准备的一部分是尽可能多地熟悉不同的攻击形式。在本节中,我们将更详细地了解这些攻击,以便您了解这些攻击如何用于破坏企业网络。
DDoS 攻击可以有多种形式,包括:
- Ping of Death——在 Ping of Death (POD) 攻击期间,攻击者向一台计算机发送多个 ping。POD 攻击使用操纵的数据包将数据包发送到具有大于最大数据包长度的 IP 数据包的网络。这些非法数据包作为片段发送。一旦受害者的网络尝试重新组装这些数据包,网络资源就用完了,合法数据包就无法使用它们。这会使目标网络停止运行并使其完全停止运行。
- UDP 洪水——UDP 洪水是一种 DDoS 攻击,它使用用户数据报协议 (UDP) 数据包淹没受害者网络。该攻击通过淹没远程主机上的端口来进行,以便主机不断寻找在该端口上侦听的应用程序。当主机发现没有应用程序时,它会回复一个数据包,说明目的地不可到达。这会消耗网络资源并意味着其他设备无法正常连接。
- Ping Flood——与 UDP Flood 攻击非常相似,ping Flood 攻击使用 ICMP Echo Request 或 ping 数据包来破坏网络服务。攻击者在不等待回复的情况下快速发送这些数据包,试图通过暴力破解使目标网络无法访问。这些攻击尤其令人担忧,因为受攻击的服务器试图用自己的 ICMP Echo Reply 数据包进行回复,这两种方式都会消耗带宽。最终结果是整个网络的速度下降。
- SYN Flood——SYN Flood 攻击是另一种类型的 DoS 攻击,攻击者使用 TCP 连接序列使受害者的网络不可用。攻击者向受害者的网络发送 SYN 请求,然后以 SYN-ACK 响应进行响应。然后发送者应该用 ACK 响应来响应,但是攻击者没有响应(或者使用欺骗的源 IP 地址来发送 SYN 请求)。每个未响应的请求都会占用网络资源,直到没有设备可以建立连接。
- Slowloris——Slowloris 是一种 DDoS 攻击软件,最初由 Robert Hansen 或 RSnake 开发,用于攻击 Web 服务器。当攻击者发送部分 HTTP 请求而不打算完成它们时,就会发生 Slowloris 攻击。为了继续攻击,Slowloris 会定期为每个请求发送 HTTP 标头,以保持计算机网络资源的占用。这种情况一直持续到服务器无法建立更多连接。攻击者使用这种形式的攻击,因为它不需要任何带宽。
- HTTP Flood——在 HTTP Flood 攻击中,攻击者使用 HTTP GET 或 POST 请求对单个 Web 服务器或应用程序发起攻击。HTTP 洪水是第 7 层攻击,不使用格式错误或欺骗的数据包。攻击者使用这种类型的攻击是因为它们比其他攻击需要更少的带宽来使受害者的网络停止运行。
- 零日攻击——零日攻击是利用尚未发现的漏洞的攻击。这是对未来可能面临的攻击的总称。这些类型的攻击可能特别具有破坏性,因为受害者在遭受实时攻击之前没有具体的准备方法。
DoS 与 DDoS:有什么区别?
DoS 和 DDoS攻击之间的主要区别在于,后者使用多个 Internet 连接使受害者的计算机网络脱机,而前者使用单个连接。DDoS 攻击更难检测,因为它们是从多个位置发起的,因此受害者无法分辨攻击的来源。另一个关键区别是利用的攻击量,因为 DDoS 攻击允许攻击者向目标网络发送大量流量。值得注意的是,DDoS 攻击的执行方式也与 DoS 攻击不同。DDoS 攻击是通过在攻击者控制下使用僵尸网络或设备网络来执行的。相比之下,DoS 攻击通常是通过使用脚本或 DoS 工具(如Low Orbit Ion Cannon )发起的。
为什么会发生 DoS 和 DDoS 攻击?
无论是 DoS 还是 DDoS 攻击,攻击者想要使企业下线的原因有很多。在本节中,我们将了解 DoS 攻击用于攻击企业的一些最常见原因。常见原因包括:
- 赎金——也许 DDoS 攻击最常见的原因是勒索赎金。一旦攻击成功完成,攻击者将要求赎金以停止攻击并使网络重新上线。不建议支付这些赎金,因为无法保证业务将恢复全面运营。
- 恶意竞争者——恶意竞争者希望让企业停止运营是 DDoS 攻击发生的另一个可能原因。通过破坏企业的网络,竞争对手可能会试图从您那里抢走您的客户。这被认为在在线赌博社区中尤为常见,竞争对手会试图让彼此离线以获得竞争优势。
- 黑客行动主义——在许多情况下,攻击的动机不是经济上的,而是个人和政治上的。黑客组织将政府和企业网站下线以示反对的情况并不少见。这可能是由于攻击者认为很重要的任何原因,但通常由于政治动机而发生。
- 制造麻烦——许多攻击者只是喜欢给个人用户和网络制造麻烦。网络攻击者发现让组织脱机很有趣,这已不是什么秘密。对于许多攻击者来说,DDoS 攻击提供了一种恶作剧的方式。许多人认为这些攻击是“没有受害者的”,考虑到成功的攻击可能会使组织损失大量金钱,这是不幸的。
- 心怀不满的员工——网络攻击的另一个常见原因是心怀不满的员工或前雇员。如果此人对您的组织有不满,那么 DDoS 攻击可能是报复您的有效方式。尽管大多数员工成熟地处理了申诉,但仍有少数员工使用这些攻击来破坏与他们有个人问题的组织。
如何防止 DoS 和 DDoS 攻击
尽管 DOS 攻击对现代组织构成持续威胁,但您可以采取许多不同的步骤来在攻击前后保持保护。在实施保护策略之前,重要的是要认识到您将无法阻止遇到的每一次 DoS 攻击。话虽如此,您将能够最大程度地减少您遇到的成功攻击造成的损害。最大限度地减少传入攻击的损害归结为三件事:
- 先发制人的措施
- 测试运行 DOS 攻击
- 攻击后响应
先发制人的措施,如网络监控,旨在帮助您在攻击使您的系统脱机之前识别攻击,并充当被攻击的屏障。同样,通过测试运行 DoS 攻击,您可以测试对 DoS 攻击的防御并改进您的整体策略。您的攻击后响应将确定 DoS 攻击造成的破坏程度,并且是在成功攻击后让您的组织恢复运行的策略。
先发制人的措施:网络监控
监控您的网络流量是您可以采取的最佳先发制人步骤之一。监视常规流量将使您能够在服务完全停止之前看到攻击的迹象。通过监控您的流量,您将能够在看到异常数据流量级别或无法识别的 IP 地址时采取行动。这可能是离线或熬夜之间的区别。在执行全面攻击之前,大多数攻击者会在发起全面攻击之前用几个数据包测试您的网络。监控您的网络流量将使您能够监控这些小迹象并及早发现它们,以便您可以保持服务在线并避免意外停机的成本。
测试运行 DoS 攻击
不幸的是,您将无法阻止遇到的每一次 DoS 攻击。但是,您可以确保在攻击到来时做好准备。最直接的方法之一是模拟针对您自己网络的 DDoS 攻击。模拟攻击可以让您测试当前的预防方法,并有助于建立一些实时预防策略,如果真正的攻击出现在您面前,可以节省大量资金。
攻击后响应:制定计划
如果攻击启动,那么您需要准备好运行损害控制的计划。一个明确的计划可以区分不方便的攻击和毁灭性的攻击。作为计划的一部分,您希望为团队成员指定角色,一旦攻击发生,他们将负责响应。这包括设计客户支持程序,以便在您处理技术问题时不会让客户感到焦躁不安。
边缘服务与 DDoS 攻击
毫无疑问,正面应对 DDoS 攻击的最有效方法之一是利用边缘服务。StackPath或Sucuri等边缘服务解决方案可以位于您的网络边缘,并在 DDoS 攻击生效之前拦截它们。在本节中,我们将了解这些解决方案如何保护您的网络免受无良攻击者的攻击。
您应该在 DDoS 保护系统中寻找什么?
我们回顾了 DDoS 保护服务市场,并根据以下标准分析了选项:
- 将托管您的 IP 地址的服务
- 大流量容量
- 用于传递干净流量的 VPN
- 隐藏您真实 IP 地址的基于云的服务
- 一个报告系统,将向您显示发生的攻击
- 允许免费评估的免费试用或演示服务
- 以合理的价格提供有效的 DDoS 攻击拦截器所代表的物有所值
使用这组标准,我们寻找意味着恶意流量激增甚至无法到达您自己的 Web 服务器的边缘服务。DDoS 保护系统还应该具有高速通过真实流量。
DoS 与 DDoS 攻击:可管理的威胁
对于现代组织来说,很少有服务攻击像 DoS 攻击那样令人担忧。虽然数据被盗可能会造成极大的破坏,但让您的服务因暴力攻击而终止会带来许多其他需要处理的并发症。仅仅一天的停机时间就会对组织产生重大的财务影响。熟悉您可能遇到的 DoS 和 DDoS 攻击类型将大大有助于最大限度地减少攻击的损害。至少你要确保你有一个 网络监控工具 ,这样你就可以检测到表明潜在攻击的异常数据流量。尽管如果您认真对待 DoS 攻击,那么您需要确保您有计划在攻击后做出响应。DoS 攻击已成为世界上最流行的网络攻击形式之一,因为它们易于执行。因此,积极主动并实施尽可能多的措施来防止攻击并在攻击成功时对攻击做出响应是非常重要的。这样做,您将限制您的损失,并使自己处于可以尽快恢复正常操作的位置。