DDoS代表分佈式拒絕服務。因爲它可能產生的巨大破壞性,對企業和組織構成了嚴重威脅。
DDoS***能做什麼?
可使用看起來有效但不存在或充斥數據的網站的請求轟炸網站和服務器。DDoS***集中並自動嘗試使目標網絡超載,其中包含大量無用的請求。***通過以非常快速地向目標計算機系統發送一系列數據包來實現這一目標,直到它開始滯後或完全使對方宕機。
什麼情況下會有人發起DDoS***?
DDoS***發起的原因有多種。長期以來,在線遊戲行業一直是DDoS***的受害者。還有DDoS用於租用服務,***競爭對手的網站以試圖降低它。當然也有其他的原因。
爲什麼發起DDoS***?
網絡犯罪分子有時候會使用DDoS***作爲僞裝,以引起企業的注意力遠離更重要的安全漏洞。DDoS被用作“×××”以掩飾其針對另一個漏洞發起***的目的。因此,在這樣的***中,***者會在目標上發起多種看似不同的***。***已將其轉變爲複雜的轉移***,以掩蓋其他***。
大多數情況下,處理大量數據的金融服務公司容易受到此類***。最近,有人針對許多歐洲銀行的IT管理員進行了網絡釣魚***。啓動惡意軟件以***銀行系統並竊取其登錄憑據。一旦犯罪分子訪問登錄詳細信息,他們就會對銀行發起DDoS***並讓他們忙於處理DDoS***。
這不是網絡犯罪分子發動DDoS***的唯一方式。家庭路由器,IP攝像機和其他受惡意軟件感染的物聯網設備也可能被用於發起DDoS***。***者已開始對Android設備做同樣的事情。他們使用託管在Google Play和其他第三方應用商店中的惡意應用來實現此目的。
來自RiskIQ,Team Cymru,Cloudflare,Akamai和Flashpoint的安全團隊進行了聯合調查,發現一個由超過100個國家的100,000多個Android設備構建的大型殭屍網絡。此次調查的起因是大量DDoS***襲擊了一些內容傳送網絡和提供商。特定的Android殭屍網絡(WireX)用於發送數以萬計的HTTP請求。這些請求看似來自合法的瀏覽器,但其實並不是。
通常,啓動此類***的目的是使服務器充斥着虛假的流量並使用其可用的互聯網Android,RAM或CPU,以便他們無法再爲用戶提供請求。它背後可能還有其他一些動機。由於受感染的應用程序在安裝期間請求設備管理員權限,因此即使這些應用程序本身未被主動使用或設備被鎖定,它們也允許它們啓動後臺服務並參與DDoS***。
DDoS***受害者是誰?
DDoS是大規模***,他們的受害者大多是巨型企業組織,甚至是各州政府。但是,也有消費者級別的產品(潛伏在用戶設備內),它可以很好地按照***設定好的去做一些其他的事情,但一般規模較小。間諜應用程序,包括Xnspy,TrackmyFone等,其中一些名稱可以與遠程類似移動***或移動間諜的一些東西產生共鳴。這些東西安裝在手機上時可以允許第三人遠程訪問存儲在設備上的所有內容。它不能與DDoS***相提並論,而是用於發起DDoS***的惡意軟件。
DDoS***的類型
下面列出了DoS和DDoS***的主要形式:
基於Volume
基於Volume的***涉及發送到目標系統的大量請求。系統將這些請求視爲有效(欺騙數據包)或無效請求(格式錯誤的數據包)。***爲了壓倒網絡容量而進行這種***。
這些請求可以跨系統上的各種端口。***使用的方法之一是UDP放大***,其中它們向第三方服務器發送數據請求,然後他們將服務器的IP地址僞裝成返回地址。然後,第三方服務器將大量數據發送到服務器作爲響應。
這樣,***只需要調度請求,但是受害者的服務器會受到來自第三方服務器的放大數據的***。在這種形式的***中,這種形式的***可能涉及數十,數百甚至數千個系統。
基於應用程序
在這種形式的***中,***利用Web服務器軟件或應用程序軟件中的漏洞導致Web服務器掛起或崩潰。常見類型的基於應用程序的***涉及將部分請求發送到服務器,用以嘗試使服務器的整個數據庫連接池忙,以便阻止合法請求。
基於協議
這些***針對服務器或負載平衡器,這些服務器或負載平衡器利用系統用於彼此通信的方法。數據包可能被設計爲使服務器在常規握手協議(如SYN泛洪)期間等待不存在的響應。
預防DDoS***和緩解策略
購買更多帶寬
爲防止DDoS***並使您的基礎設施DDoS抵抗,您必須採取的第一步是確保您有足夠的帶寬來處理可能由於惡意活動而導致的流量高峯。
過去可以通過確保您擁有更多帶寬來避免DDoS***,但隨着放大***的出現,這已不再實用。擁有更多帶寬實際上提高了***者在啓動成功的DDoS***之前必須克服的障礙。這是一種安全措施,但不是DDoS***解決方案。
針對DDoS***的網絡硬件配置
一些非常簡單的硬件配置更改可以幫助您防止DDoS***。例如,如果您將路由器或防火牆配置爲從網絡外部刪除DNS響應或丟棄傳入的ICMP數據包,這可以幫助您在一定程度上防止某些DNS和基於ping的容量***。
保護DNS服務器
***者可以通過***您的DNS服務器來使您的網站和Web服務器脫機。因此,請確保您的DNS服務器具有冗餘。DNS就像是互聯網的電話簿,它被用來匹配尋求具有正確IP地址的用戶的網站名稱,有超過3億個域名,使全球數百萬互聯網用戶保持聯繫。沒有它,互聯網就無法真正發揮作用。這就是爲什麼它是***者的關鍵目標。
對您的DNS基礎架構的DDoS***可能導致您的應用程序或網站完全無法訪問。因此,網絡運營商需要充分保護其DNS基礎設施,以保護其免受DDoS***。
除此之外,如果您不想讓***者成功地針對您的服務器成功發起DDoS***,請將您的服務器分佈在多個數據中心。您可以將這些數據中心設置在不同的國家/地區,或至少在同一個國家/地區的不同地區。
如果您希望此策略效果更好,則必須將所有數據中心連接到不同的網絡,並且不存在網絡瓶頸或這些網絡上的單點故障。當您在地理位置和地理位置分佈服務器時,***者很難成功***超過部分服務器。此外,它會使其他服務器不受影響,並使它們能夠承受受影響的服務器正常處理之外的一些額外流量。
透明緩解
***可能會啓動DDos以使您的使用者無法訪問您的網站。當您的站點受到***時,您必須使用緩解技術使人們能夠繼續使用它而不會使其變的不可用,並且不會讓他們看到啓動屏幕和過時的緩存內容。一旦***發現您沒有受到***影響並且您的用戶仍然可以訪問該網站,他可能會停止***。
Anti-DDoS硬件和軟件模塊
除了讓您的服務器受到網絡防火牆和其他專用Web應用程序防火牆的保護外,您還必須使用負載平衡器。您還可以將軟件模塊添加到另一個Web服務器軟件以進行DDoS預防。例如,Apache 2.2.15附帶了一個mod_reqtimeout,可以保護您免受像Slowloris這樣的應用程序層***。它們通過發送部分請求來儘可能長時間地保持與Web服務器的連接,直到服務器無法接受任何新的連接請求爲止。
您還可以使用帶有軟件保護的硬件模塊來抵禦DDoS協議***,例如SYN泛洪***。這可以通過監視存在多少不完整的連接來完成,然後您可以在數量達到可配置的閾值時刷新它們。
在DDoS***期間該做什麼?
爲了確保您的網站或應用程序可以承受在短時間內受到的***,您必須制定積極的緩解策略。以下是您可以遵循的行動方案:
在單獨的信譽良好的主機提供商上擁有備份靜態“暫時不可用”網站。確保他們提供自己的DDoS緩解服務。
將您的商店DNS重定向到臨時站點,並與您的員工,利益相關者和合作伙伴一起確定如何處理易受***的服務器。