DDoS代表分布式拒绝服务。因为它可能产生的巨大破坏性,对企业和组织构成了严重威胁。
DDoS***能做什么?
可使用看起来有效但不存在或充斥数据的网站的请求轰炸网站和服务器。DDoS***集中并自动尝试使目标网络超载,其中包含大量无用的请求。***通过以非常快速地向目标计算机系统发送一系列数据包来实现这一目标,直到它开始滞后或完全使对方宕机。
什么情况下会有人发起DDoS***?
DDoS***发起的原因有多种。长期以来,在线游戏行业一直是DDoS***的受害者。还有DDoS用于租用服务,***竞争对手的网站以试图降低它。当然也有其他的原因。
为什么发起DDoS***?
网络犯罪分子有时候会使用DDoS***作为伪装,以引起企业的注意力远离更重要的安全漏洞。DDoS被用作“×××”以掩饰其针对另一个漏洞发起***的目的。因此,在这样的***中,***者会在目标上发起多种看似不同的***。***已将其转变为复杂的转移***,以掩盖其他***。
大多数情况下,处理大量数据的金融服务公司容易受到此类***。最近,有人针对许多欧洲银行的IT管理员进行了网络钓鱼***。启动恶意软件以***银行系统并窃取其登录凭据。一旦犯罪分子访问登录详细信息,他们就会对银行发起DDoS***并让他们忙于处理DDoS***。
这不是网络犯罪分子发动DDoS***的唯一方式。家庭路由器,IP摄像机和其他受恶意软件感染的物联网设备也可能被用于发起DDoS***。***者已开始对Android设备做同样的事情。他们使用托管在Google Play和其他第三方应用商店中的恶意应用来实现此目的。
来自RiskIQ,Team Cymru,Cloudflare,Akamai和Flashpoint的安全团队进行了联合调查,发现一个由超过100个国家的100,000多个Android设备构建的大型僵尸网络。此次调查的起因是大量DDoS***袭击了一些内容传送网络和提供商。特定的Android僵尸网络(WireX)用于发送数以万计的HTTP请求。这些请求看似来自合法的浏览器,但其实并不是。
通常,启动此类***的目的是使服务器充斥着虚假的流量并使用其可用的互联网Android,RAM或CPU,以便他们无法再为用户提供请求。它背后可能还有其他一些动机。由于受感染的应用程序在安装期间请求设备管理员权限,因此即使这些应用程序本身未被主动使用或设备被锁定,它们也允许它们启动后台服务并参与DDoS***。
DDoS***受害者是谁?
DDoS是大规模***,他们的受害者大多是巨型企业组织,甚至是各州政府。但是,也有消费者级别的产品(潜伏在用户设备内),它可以很好地按照***设定好的去做一些其他的事情,但一般规模较小。间谍应用程序,包括Xnspy,TrackmyFone等,其中一些名称可以与远程类似移动***或移动间谍的一些东西产生共鸣。这些东西安装在手机上时可以允许第三人远程访问存储在设备上的所有内容。它不能与DDoS***相提并论,而是用于发起DDoS***的恶意软件。
DDoS***的类型
下面列出了DoS和DDoS***的主要形式:
基于Volume
基于Volume的***涉及发送到目标系统的大量请求。系统将这些请求视为有效(欺骗数据包)或无效请求(格式错误的数据包)。***为了压倒网络容量而进行这种***。
这些请求可以跨系统上的各种端口。***使用的方法之一是UDP放大***,其中它们向第三方服务器发送数据请求,然后他们将服务器的IP地址伪装成返回地址。然后,第三方服务器将大量数据发送到服务器作为响应。
这样,***只需要调度请求,但是受害者的服务器会受到来自第三方服务器的放大数据的***。在这种形式的***中,这种形式的***可能涉及数十,数百甚至数千个系统。
基于应用程序
在这种形式的***中,***利用Web服务器软件或应用程序软件中的漏洞导致Web服务器挂起或崩溃。常见类型的基于应用程序的***涉及将部分请求发送到服务器,用以尝试使服务器的整个数据库连接池忙,以便阻止合法请求。
基于协议
这些***针对服务器或负载平衡器,这些服务器或负载平衡器利用系统用于彼此通信的方法。数据包可能被设计为使服务器在常规握手协议(如SYN泛洪)期间等待不存在的响应。
预防DDoS***和缓解策略
购买更多带宽
为防止DDoS***并使您的基础设施DDoS抵抗,您必须采取的第一步是确保您有足够的带宽来处理可能由于恶意活动而导致的流量高峰。
过去可以通过确保您拥有更多带宽来避免DDoS***,但随着放大***的出现,这已不再实用。拥有更多带宽实际上提高了***者在启动成功的DDoS***之前必须克服的障碍。这是一种安全措施,但不是DDoS***解决方案。
针对DDoS***的网络硬件配置
一些非常简单的硬件配置更改可以帮助您防止DDoS***。例如,如果您将路由器或防火墙配置为从网络外部删除DNS响应或丢弃传入的ICMP数据包,这可以帮助您在一定程度上防止某些DNS和基于ping的容量***。
保护DNS服务器
***者可以通过***您的DNS服务器来使您的网站和Web服务器脱机。因此,请确保您的DNS服务器具有冗余。DNS就像是互联网的电话簿,它被用来匹配寻求具有正确IP地址的用户的网站名称,有超过3亿个域名,使全球数百万互联网用户保持联系。没有它,互联网就无法真正发挥作用。这就是为什么它是***者的关键目标。
对您的DNS基础架构的DDoS***可能导致您的应用程序或网站完全无法访问。因此,网络运营商需要充分保护其DNS基础设施,以保护其免受DDoS***。
除此之外,如果您不想让***者成功地针对您的服务器成功发起DDoS***,请将您的服务器分布在多个数据中心。您可以将这些数据中心设置在不同的国家/地区,或至少在同一个国家/地区的不同地区。
如果您希望此策略效果更好,则必须将所有数据中心连接到不同的网络,并且不存在网络瓶颈或这些网络上的单点故障。当您在地理位置和地理位置分布服务器时,***者很难成功***超过部分服务器。此外,它会使其他服务器不受影响,并使它们能够承受受影响的服务器正常处理之外的一些额外流量。
透明缓解
***可能会启动DDos以使您的使用者无法访问您的网站。当您的站点受到***时,您必须使用缓解技术使人们能够继续使用它而不会使其变的不可用,并且不会让他们看到启动屏幕和过时的缓存内容。一旦***发现您没有受到***影响并且您的用户仍然可以访问该网站,他可能会停止***。
Anti-DDoS硬件和软件模块
除了让您的服务器受到网络防火墙和其他专用Web应用程序防火墙的保护外,您还必须使用负载平衡器。您还可以将软件模块添加到另一个Web服务器软件以进行DDoS预防。例如,Apache 2.2.15附带了一个mod_reqtimeout,可以保护您免受像Slowloris这样的应用程序层***。它们通过发送部分请求来尽可能长时间地保持与Web服务器的连接,直到服务器无法接受任何新的连接请求为止。
您还可以使用带有软件保护的硬件模块来抵御DDoS协议***,例如SYN泛洪***。这可以通过监视存在多少不完整的连接来完成,然后您可以在数量达到可配置的阈值时刷新它们。
在DDoS***期间该做什么?
为了确保您的网站或应用程序可以承受在短时间内受到的***,您必须制定积极的缓解策略。以下是您可以遵循的行动方案:
在单独的信誉良好的主机提供商上拥有备份静态“暂时不可用”网站。确保他们提供自己的DDoS缓解服务。
将您的商店DNS重定向到临时站点,并与您的员工,利益相关者和合作伙伴一起确定如何处理易受***的服务器。