标签：应用程序 第37页

组织通常倾向于严重且完全依赖防火墙、负载平衡器和 VPN 等，以防止 DDoS 攻击、保护其任务关键型资产并保护其 IT 基础设施。但是攻击变得更加致命和严重；攻击者已经对其攻击方法进行了现代化改造，并利用一流的技术来协调分布式拒绝服务攻击。众所周知，防火墙存在漏洞，尤其是那些由实施失败引起的漏洞，这使得它们无法有效地保护应用程序并使它们成为威胁参与者的 DDoS 目标。,,那么，使防火墙容易受到DDoS 攻击的这些实施缺陷是什么？组织可以做些什么来加强他们的安全态势并有效地防止这些攻击？请仔细阅读，找出答案。, 什么是防火墙？,防火墙是一种基于硬件或软件的系统，可保护专用网络的资产免受来自外部网络的用户未经授权的访问。它们被放置在网络网关或外围，检查所有传入和传出的数据包，并过滤掉那些不符合安全策略的数据包。它们缺乏灵活性、可扩展性、敏捷性和透明度。它们只能保护局域网免受未经授权的访问，并且对高级威胁无效。,另一方面，下一代WAF位于用户和 Web 应用程序之间，用于审查、监控和过滤对服务器的所有请求。这在云计算和物联网时代特别有用，因为网络没有固定、严格的边界。WAF 分析所有 HTTP 通信以决定是否允许、阻止、标记或挑战每个请求。恶意请求在到达服务器之前被过滤掉，并且应用程序保持受保护和可用。,下一代 WAF 还利用最新技术，包括自学习 AI 系统和分析，并为方程式注入更高的准确性、灵活性、敏捷性和透明度。因此，WAF 能够更好地阻止零日威胁、应用层 DDoS 攻击和各种现代高级威胁。,, 1. 防火墙中TCP实现的弱点,攻击者利用防火墙中 TCP 协议的不良实施来协调反射放大 DDoS 攻击。传统上，放大攻击使用 UDP 协议的无连接特性来用大量欺骗性请求/数据包淹没目标服务器（通常是打开的、配置错误的服务器），从而使服务器无法访问。他们使用 UDP 协议主要是因为 TCP 协议在基于 IP 的网络上建立 TCP/IP 连接所需的三次握手所带来的挑战和复杂性。,然而，许多防火墙并不总是符合这些 TCP 标准，并且容易出现糟糕的实现，从而为反射放大攻击铺平了道路。一种糟糕的 TCP 实现是建立会话的方式。通常，目的主机向 TCP 主机发送一个 SYN 请求，TCP 主机以 SYN/ACK 响应并等待来自客户端的 ACK 响应。威胁参与者用会话请求淹没 TCP 主机，但不返回 ACK 响应。这会导致所谓的SYN 洪水。随着大量不完整的会话打开，主机的缓冲区被填满，它无法接受来自合法用户的新会话请求，从而导致拒绝服务。, 2. 仅使用状态检查,传统防火墙使用状态数据包检查来检查网络流量，了解传入流量的风险，并决定是否允许资源请求。虽然检查数据包中的所有内容并识别风险，但有状态解决方案不会根据预定义的规则查看其他重要参数，例如源、目标等。,,因此，即使没有有效的 TCP 握手，恶意行为者也可以欺骗防火墙响应欺骗性审查请求并返回大块页面。它们也无法提供对 DDoS 流量的完全可见性，并且无法与其他基于云的解决方案进行良好的集成和通信以阻止攻击。, 3. 所有流量都通过防火墙路由,如果所有流量都通过它，防火墙本身可能会被协议和容量攻击耗尽。大多数现代DDoS 服务通过内容交付网络 (CDN) 支持防火墙。鉴于其全球边缘服务器网络，CDN 能够无缝地处理迅猛的流量激增，而无需处理大量请求使源服务器或防火墙不堪重负。只有对未缓存内容的请求才会通过防火墙路由到源服务器。, 4. 控件激活不当,当组织未激活安全控制或操作不当时，它们往往会侵蚀防火墙安全性并使应用程序容易受到 DDoS 攻击。例如，不打开安全解决方案中的反欺骗控制将使应用程序面临各种威胁，包括 DDoS、恶意软件等。, 其他防火墙实施失败,, 结论,为确保您的应用程序始终可用，您必须选择像AppTrana这样的下一代托管 WAF 解决方案，该解决方案易于部署并针对 DDoS 和大量威胁提供强大的安全性。, ,组织通常倾向于严重且完全依赖防火墙、负载平衡器和 VPN 等，以防止 DDoS 攻击、保护其任务关键型资产并保护其 IT 基础设施。但是攻击变得更加致命和严重；攻击者已经对其攻击方法进行了现代化改造，并利用一流的技术来协调分布式拒绝服务攻击。众所周知，防火墙存在漏洞，尤其是那些由实施失败引起的漏洞，这使得它们无法有效地保护应用程序并使它们成为威胁参与者的 DDoS 目标。,另一方面，下一代WAF位于用户和 Web 应用程序之间，用于审查、监控和过滤对服务器的所有请求。这在云计算和物联网时代特别有用，因为网络没有固定、严格的边界。WAF 分析所有 HTTP 通信以决定是否允许、阻止、标记或挑战每个请求。恶意请求在到达服务器之前被过滤掉，并且应用程序保持受保护和可用。,

分布式拒绝服务攻击甚至可以使结构最完善的网络瘫痪数天，造成数百万美元的销售损失，冻结在线服务并损害公司的声誉。当 SCO Group Inc. 与 Mydoom.B 蠕虫对其网站的攻击作斗争时，最广泛报道的 DDoS 攻击之一就发起了。但是 DDoS 攻击对于任何行业的任何规模的企业来说都是一个问题。根据 2003 年 CSI/FBI 计算机犯罪和安全调查，DDoS 攻击是成本第二高的网络犯罪，也是 2003 年唯一增加的。,,互联网可能是一个危险的地方，DDoS 攻击正在成为黑客、政治活动家和国际网络恐怖分子的首选武器。此外，随着黑客武器库中的工具越来越强大，DDoS 攻击变得越来越容易发起。每个月都会出现新的病毒和蠕虫，因此公司需要做好准备抵御这种不断扩大的安全威胁。,DDoS 攻击利用了 Internet 的开放性及其将数据包从几乎任何来源传送到任何目的地的优势。使 DDoS 攻击如此具有挑战性的原因在于，非法数据包与合法数据包几乎无法区分。典型的 DDoS 攻击类型包括带宽攻击和应用程序攻击。,在带宽攻击中，网络资源或设备被大量数据包消耗。对于应用程序攻击，TCP 或 HTTP 资源无法处理事务或请求。那么，您如何保护公司的服务器免受从受感染的 PC 通过 Internet 发送的数据的冲击呢？您如何防止 DDoS 攻击破坏您公司的网络？您可以采取多种方法来防御 DDoS 攻击：,黑洞或沉洞：这种方法会阻止所有流量并将其转移到黑洞，然后将其丢弃。不利的一面是，所有流量都被丢弃——无论好坏——并且目标业务被离线。同样，包过滤和速率限制措施只是简单地关闭一切，拒绝合法用户的访问。,路由器和防火墙：路由器可以配置为通过过滤非必要协议来阻止简单的 ping 攻击，也可以阻止无效的 IP 地址。但是，路由器通常对使用有效 IP 地址的更复杂的欺骗攻击和应用程序级攻击无效。防火墙可以关闭与攻击相关的特定流，但与路由器一样，它们不能执行反欺骗。,,入侵检测系统： IDS 解决方案将提供一些异常检测功能，以便它们能够识别出有效协议何时被用作攻击工具。它们可以与防火墙结合使用以自动阻止流量。不利的一面是，它们不是自动化的，因此需要安全专家手动调整，而且它们经常会产生误报。,服务器：正确配置服务器应用程序对于最大限度地减少 DDoS 攻击的影响至关重要。管理员可以明确定义应用程序可以使用哪些资源以及它将如何响应来自客户端的请求。结合 DDoS 缓解设备，优化的服务器有机会通过 DDoS 攻击继续运行。,DDoS 缓解设备：几家公司要么制造专用于净化流量的设备，要么将 DDoS 缓解功能构建到主要用于其他功能（如负载平衡或防火墙）的设备中。这些设备具有不同程度的有效性。没有一个是完美的。一些合法流量将被丢弃，一些非法流量将到达服务器。服务器基础设施必须足够强大以处理此流量并继续为合法客户端提供服务。,过度配置：或购买多余的带宽或冗余网络设备来处理需求高峰可能是处理 DDoS 攻击的有效方法。使用外包服务提供商的一个优势是您可以按需购买服务，例如可在需要时为您提供更多带宽的突发电路，而不是在冗余网络接口和设备上进行昂贵的资本投资。,在大多数情况下，公司事先并不知道 DDoS 攻击即将到来。攻击的性质通常会在中途发生变化，要求公司在几个小时或几天内快速、持续地做出反应。由于大多数攻击的主要影响是消耗您的 Internet 带宽，因此装备精良的托管主机提供商拥有减轻攻击影响的带宽和设备。,, 结论,DDoS 攻击是可以关闭企业的破坏性隐形武器。我们对互联网的依赖不断增长，DDoS 攻击的威胁不断扩大。如果组织想要“照常营业”，则需要通过警惕的 DDoS 缓解方法来确保运营连续性和资源可用性。, ,分布式拒绝服务攻击甚至可以使结构最完善的网络瘫痪数天，造成数百万美元的销售损失，冻结在线服务并损害公司的声誉。当 SCO Group Inc. 与 Mydoom.B 蠕虫对其网站的攻击作斗争时，最广泛报道的 DDoS 攻击之一就发起了。但是 DDoS 攻击对于任何行业的任何规模的企业来说都是一个问题。根据 2003 年 CSI/FBI 计算机犯罪和安全调查，DDoS 攻击是成本第二高的网络犯罪，也是 2003 年唯一增加的。,黑洞或沉洞：这种方法会阻止所有流量并将其转移到黑洞，然后将其丢弃。不利的一面是，所有流量都被丢弃——无论好坏——并且目标业务被离线。同样，包过滤和速率限制措施只是简单地关闭一切，拒绝合法用户的访问。,

您可能听说过很多关于 DDoS 攻击的信息，以及它们如何通过僵尸网络和恶意流量的请求淹没服务器，从而导致您的网站和 Web 应用程序崩溃、面临停机时间以及对合法用户不可用。如果您还没有遇到过这样的攻击，您应该认为自己很幸运！如果您已经面临 DDoS 攻击，您可能知道它对您的品牌形象和收入的破坏性有多大，并且您必须采取强大而有凝聚力的DDoS 攻击预防措施。,,以下是在下一次 DDoS 攻击之前您应该知道的一些事情（无论您是否已经面临过攻击），以便您能够做好准备来防止它或至少将其影响降到最低。, 在下一次 DDoS 攻击之前你应该知道的 6 件事, 1. 被攻击过一次，不代表不会再被攻击,DDoS 攻击就像任何家庭闯入一样。它可能发生在任何易受攻击的网站/ Web 应用程序上，并且经常反复发生。因此，如果您遇到了 DDoS 攻击，而您只是纠正了症状而没有解决潜在的漏洞和差距，那么您基本上会让您的数字资产受到更多 DDoS 攻击。面对 DDoS 攻击后，您必须问自己以​​下问题：,这些将帮助您在下一次攻击之前获得装备。, 2. 每个组织都是潜在的攻击目标,无论您是小型组织还是大型公司，无论您拥有简单的博客、动态网站还是高流量的电子商务网站，您都是潜在的攻击目标。事实上，较小的公司和简单的网站/Web 应用程序通常在强大的 DDoS 保护上投入很少的时间和精力（因为他们不会成为攻击目标的神话），因此很容易成为攻击目标。,, 3. DDoS 攻击非常普遍且不断发展,DDoS 攻击在过去两年中增加了近 20%。这些攻击的影响和规模在同一时期增加了近 200%。2019 年初，DDoS 攻击总数接近 2018 年此类攻击的总数。因此，DDoS 攻击比您想象的要普遍得多，并且攻击的方式和性质随着网络攻击者和黑客利用技术寻找创新方法来协调 DDoS 攻击。例如，过去一年利用了多向量攻击、多方法攻击。因此，您的缓解方法不能过时，它们也必须不断发展。, 4. DDoS 攻击并不总是体积庞大的,DDoS 攻击 有两种关键类型——容量/网络级攻击和第 7 层/应用层攻击。体积或网络层攻击，如 UDP 泛洪、SYN 泛洪、DNS 放大等，大量非法请求使 Web 服务器不堪重负，侵蚀带宽和计算资源，使网站不可用。,而第 7 层/应用程序层攻击可以通过针对应用程序级别的漏洞和/或业务逻辑缺陷以更少的计算资源更轻松地进行编排，并且数量级小于 1GB。这些更难以识别并从安全团队的眼中溜走，直到为时已晚，尤其是在没有采取主动和全面的安全措施的情况下。示例——HTTP 泛洪、Slowloris 等。, 5. DDoS 攻击通常是其他恶意活动的烟幕弹，并且可能非常具有破坏性,DDoS 攻击经常被竞争对手、黑客活动家、犯罪集团等用作烟幕，将安全团队的注意力从漏洞上转移开，从而利用这些漏洞来策划其他更具破坏性的攻击并完成他们的议程——勒索、数据泄露、带来对组织名誉扫地，将流量转移到竞争对手网站的肮脏策略等。,, 6. 高成本甚至会导致企业倒闭,DDoS 攻击的成本不仅包括因停机和崩溃而损失的收入，还包括补救和升级成本、法律成本、品牌形象/声誉损失以及客户信任损失。据研究，小企业可能面临12万美元的财务负担，而大企业可能面临超过200万美元的负担。如此高的成本可能导致小型企业甚至倒闭。, DDoS 攻击缓解：您应该如何选择解决方案？,选择全面、多层、智能和托管的DDoS 防护解决方案，例如 AppTrana。它应该针对所有类型的 DDoS 攻击提供始终在线的即时防御，根据您的业务的风险概况和独特需求进行定制，以及对安全状况的实时可见性。确保您不会措手不及，并且您已做好应对 DDoS 攻击的准备。, ,您可能听说过很多关于 DDoS 攻击的信息，以及它们如何通过僵尸网络和恶意流量的请求淹没服务器，从而导致您的网站和 Web 应用程序崩溃、面临停机时间以及对合法用户不可用。如果您还没有遇到过这样的攻击，您应该认为自己很幸运！如果您已经面临 DDoS 攻击，您可能知道它对您的品牌形象和收入的破坏性有多大，并且您必须采取强大而有凝聚力的DDoS 攻击预防措施。,DDoS 攻击就像任何家庭闯入一样。它可能发生在任何易受攻击的网站/ Web 应用程序上，并且经常反复发生。因此，如果您遇到了 DDoS 攻击，而您只是纠正了症状而没有解决潜在的漏洞和差距，那么您基本上会让您的数字资产受到更多 DDoS 攻击。面对 DDoS 攻击后，您必须问自己以​​下问题：,

专用服务器允许您为您的应用程序、网站和业务访问整个服务器 – 全部由您自己完成。然而，安全专用服务器是当今所有者真正关心的问题，其中一个主要威胁是 DDoS 攻击。这种攻击对依赖互联网进行业务和生产工作的公司产生了重大影响。2000 年初，雅虎等许多著名网站都遭受了 DDoS 攻击。,,DDoS 攻击者可以降低专用服务器的质量或完全破坏受害者的网络连接。DDoS 攻击的主要目的是使该服务器的用户部分或无法使用 CPU、RAM、存储和其他网络资源等资源。本文说明了一些保护您的网站免受 DDoS 攻击的安全做法。, 什么是 DDoS 攻击？,分布式拒绝服务 (DDoS) 攻击是一种破坏目标专用服务器正常运行的恶意企图。这种攻击通过大量互联网流量压倒目标或其周围的基础设施，破坏正常的流量、网络或服务。通过使用许多受损或未受保护的计算机或服务器系统作为攻击流量的来源，DDoS 攻击变得成功。更准确地说，DDoS 攻击就像是由非真实用户造成的意外交通堵塞，以阻止真实用户到达他们的目的地、您的应用程序或网站。, 如何识别 DDoS 攻击？,DDoS 攻击有一些常见的症状。最常见的症状是应用程序或网站突然变得不可用或速度极慢。但是，它可能是由专用服务器高峰时段的合法流量高峰引起的。建议使用流量分析工具来发现 DDoS 攻击的一些常见迹象：,, 了解 DDoS 攻击,发起DDoS攻击以攻击受害服务器，形式如下：,攻击者扫描网络以找到最易受攻击的机器，然后这些机器被攻击者用作代理。攻击者危害主机安全，利用欺骗IP地址发起DDoS攻击，使得攻击源难以追踪。, DDoS 攻击的分类,DDoS 攻击的许多变体正在整个专用服务器的云网络中萌芽。两种主要类型与带宽和资源有关。根据被利用的漏洞，DDoS 攻击可以进一步分为不同的类型。,, 一些常见的例子是：, 什么是受 DDoS 保护的专用服务器？,受 DDoS 保护的专用服务器使用硬件和软件来检测和缓解 DDoS 攻击。受 DDoS 保护的服务器将在您的服务器上设置防护罩，以保护您的网站或 Web 服务免受恶意 DDoS 攻击，从而导致网站崩溃并导致经济损失。受 DDoS 保护的服务器被认为是最容易受到 DDoS 攻击的电子商务和游戏网站的最佳选择。, DDoS防护机制,为了保护专用服务器免受 DDoS 攻击，已经采用并且仍在出现各种对策。大多数 DDoS 攻击是由试图对受害者的专用服务器进行未经授权的访问的入侵者引起的。下面讨论一些常见的 DDoS 保护机制：, 预防技巧：预防胜于治疗！同样的概念也适用于保护专用服务器免受 DDoS 攻击的方法。一种这样的方法是使用过滤器，例如：,其他常见的预防技术包括应用安全补丁、更改 IP 地址、禁用 IP 广播、禁用未使用的服务、负载平衡和蜜罐。这种预防技术不能完全消除对专用服务器的 DDoS 攻击风险，但会提高安全性。,, 检测技术：这种方法可以帮助受害者避免 DDoS 攻击的传播，防止服务器崩溃。常用的方法有：, 检测响应：如果您的专用服务器受到 DDoS 攻击，接下来的任务是阻止攻击并追踪攻击者以找出攻击者的身份。它可以通过两种方式完成，手动使用 ACL（访问控制列表）或自动完成。, 防御机制中要考虑的因素,在为您的专用服务器选择所需的 DDoS 解决方案之前，需要考虑许多事情；喜欢：,, 受 DDoS 保护的专用服务器实例,受 DDoS 保护的专用服务器对于阻止恶意黑客的攻击至关重要。发现容易受到这种攻击的普通服务器有很多活跃用户，或者是产生大量收入的网站。让我们看一下受 DDoS 保护的专用服务器最有用的最常见情况。, 结论,对电子商务、电子通信、电子政务、电子学习和电子竞技网站使用的网络的一个主要威胁是 DDoS 攻击。这种攻击在专用服务器和云计算中不断增加。本文简要介绍了 DDoS 攻击、其类型以及各种应对措施，如检测、预防和容忍技术以防止攻击。如果您没有专门的 IT 资源团队来做同样的事情，建议托管在受 DDoS 保护的专用服务器上。, ,专用服务器允许您为您的应用程序、网站和业务访问整个服务器 – 全部由您自己完成。然而，安全专用服务器是当今所有者真正关心的问题，其中一个主要威胁是 DDoS 攻击。这种攻击对依赖互联网进行业务和生产工作的公司产生了重大影响。2000 年初，雅虎等许多著名网站都遭受了 DDoS 攻击。, 如何识别 DDoS 攻击？,

DDoS 勒索攻击在过去一年中飙升，预计未来也将呈上升趋势。DDoS 攻击并不是新的威胁。然而，网络犯罪分子正在利用这些攻击通过造成停机和阻止合法用户访问 Web 应用程序来向组织勒索钱财。随着全球大流行迫使组织采用远程工作，网络犯罪分子抓住机会发动了前所未有的 DDoS 攻击，包括 DDoS 勒索攻击。在本文中，我们将帮助您了解这些攻击是什么以及如何应对它们。,, 什么是 DDoS 勒索攻击？,DDoS 勒索攻击，也称为 Ransom DDoS (RDDoS) 攻击，是恶意行为者通过威胁分布式拒绝服务 (DDoS) 来向组织/个人勒索金钱的攻击。与 DDoS 攻击类似，DDoS 勒索会阻止合法流量访问应用程序/服务。这会导致严重的运营中断、财务损失、法律成本和声誉损失。, RDDoS 攻击如何运作？,通常，使用以下三种方法之一来执行 RDDoS 攻击：,无论赎金通知是在攻击之前（如果攻击者继续实施他们的威胁）还是在攻击之后，DDoS 勒索都像常规 DDoS 一样工作。它们的流量使应用程序或服务不堪重负，导致它们变慢或导致崩溃，使合法用户无法使用它们。如果支付了赎金，攻击可能会停止，或者攻击者可能会带着额外的要求回来。强烈建议不要支付赎金。,, 最近的 DDoS 勒索攻击,从 2020 年 8 月中旬开始，冒充 Fancy Bear (APT 28) 和 Armada Collective 的网络犯罪分子发起了 RDDoS 活动，要求支付比特币（50,000 至 300,000 美元）以防止攻击。这些 DDoS 勒索活动主要针对金融服务和旅游业。上游互联网传输提供商也面临 RDDoS 攻击。, 最常用的攻击向量,攻击者使用以下一种或多种 DDoS 攻击向量来执行 RDDoS。, 应对 DDoS 勒索,你应该支付赎金吗？不。除了赎金会给组织带来金钱损失之外，支付赎金并不能保证攻击者会停止他们的活动。攻击者可能不会按照约定停止 DDoS 攻击，或者可能无论如何都会发起攻击，或者可能在未来带着额外的需求/后续攻击回来。,其次，DDoS 勒索威胁可能是空洞的威胁。这意味着该组织已经为攻击者支付了任何费用。第三，赎金支付使攻击者能够更好地资助他们的勒索活动。他们可以用这笔钱来扩展他们的能力，提高攻击的复杂性或购买先进的技术来改进侦察。,, 如何回应？,如果该组织收到赎金通知，首先要做的就是将其报告给相应的执法机构。他们还必须与提供面向互联网的关键服务（权威 DNS 主机等）的同行、中转 ISP 和其他组织合作。,如果您已经从服务提供商那里获得了有效的 DDoS 保护，您可以放心，您的应用程序将始终可用，即使威胁参与者发起了攻击。如果您没有任何 DDoS 安全控制措施，请实施保护措施以减轻潜在的攻击。如果您已经受到攻击，请与安全服务提供商联系以阻止攻击并将影响降至最低。, 结论,鉴于 DDoS 勒索攻击数量空前，表现最好的组织是那些拥有强大 DDoS 保护的组织。那些没有适当防御措施的人要么不得不支付赎金，要么在 D 日/在即将受到攻击的威胁下争先恐后地部署安全控制措施，以尽量减少造成的破坏。因此，立即实施有效的 DDoS 缓解实践和安全控制措施，以消除 RDDoS 的影响。, ,DDoS 勒索攻击在过去一年中飙升，预计未来也将呈上升趋势。DDoS 攻击并不是新的威胁。然而，网络犯罪分子正在利用这些攻击通过造成停机和阻止合法用户访问 Web 应用程序来向组织勒索钱财。随着全球大流行迫使组织采用远程工作，网络犯罪分子抓住机会发动了前所未有的 DDoS 攻击，包括 DDoS 勒索攻击。在本文中，我们将帮助您了解这些攻击是什么以及如何应对它们。,通常，使用以下三种方法之一来执行 RDDoS 攻击：,

DDoS 攻击一直是黑客中流行的攻击媒介，并且仍然是 2021 年最常见的攻击媒介之一。这些攻击旨在限制网站/Web 应用程序/服务对目标用户的可用性。应用层 DDoS 攻击是针对应用层的一种特殊类型的 DDoS 攻击。他们通过过度使用来禁用网站/网络应用程序的特定功能或特性。这些攻击通常用于分散组织的 IT 团队对持续安全漏洞的注意力。在本文中，我们将仔细研究应用层 DDoS 攻击以及如何缓解它。,,应用层是由国际标准组织 (ISO) 开发的互联网开放系统互连 (OSI) 模型的第 7 层。OSI 模型不是网络通信中涉及的实际技术的表示，而是用于描述过程的理论模型。,在此模型中，每一层仅与直接位于其上方或下方的层交互。第 7 层是数据处理的最顶层，位于用户与之交互的应用程序表面之下。它的作用是通过堆栈传递用户数据。DDoS 攻击通常发生在这一层，并中断流向网站/Web 应用程序的常规流量。,应用层 DDoS 攻击或第 7 层 DDoS 攻击是针对特定应用程序并破坏向用户交付内容的中低容量攻击。这些攻击通常是在物联网 (IoT) 设备的帮助下进行的。随着当今不安全的物联网设备的迅速增加，黑客有很多机会在应用层发起更高级的 DDoS 攻击。不同类型的应用程序 DDoS 攻击包括 HTTP(/s) Flooding、Slowloris、BGP 劫持、Slow Post、模仿用户浏览、Slow Read、Low and Slow Attack 和 Large Payload POST。,,应用层 DDoS 攻击的工作原理是一次用多个请求压倒 Web 服务器，使应用程序对客户端不可用。即使它们通常是小批量攻击，它们也可能对企业造成毁灭性影响。这些第 7 层攻击特别危险，因为它们直接影响用户体验。此外，它们还可能导致停机、影响业务连续性并给 Web 应用程序带来压力。这些攻击也很难检测，因为它们攻击特定于应用程序的资源并使用恶意机器人发出看似无辜和合法的请求。, 验证码和 JavaScript 挑战,CAPTCHA 验证是一种网络技术，用于确定用户是真人还是垃圾邮件机器人。验证码通过操纵字母或符号来挑战用户，这些字母或符号依赖于人类的解码能力。JavaScript 计算挑战是过滤来自僵尸网络或攻击计算机的请求的另一种方法。大多数僵尸网络无法应对这些复杂的挑战。,, 行为分析,行为分析是一个安全过程，它使用人工智能和机器学习等技术来观察和记录用户和实体的行为。然后，它会检测与日常/通常模式不匹配的任何异常活动或流量。该模型使用高级分析、来自日志和报告的数据以及威胁数据来有效识别可能表明恶意行为的异常情况。据技术专家称，这种方法可以准确检测可能威胁您系统的不良行为者。, 网络应用防火墙,Web 应用程序防火墙充当您的应用程序和 Internet 之间的屏障。智能WAF可以管理、过滤和分析来自不同来源的流量。WAF 在规则和策略的帮助下运行，这些规则和策略可以轻松快速地进行定制和更新。这有助于它更快地响应攻击。WAF 提供了对一些最常见的DDoS 攻击（包括第 7 层攻击）的最佳防御。托管 WAF 筛选第 7 层流量并将数据直接提供给网络安全专家，他们可以识别试图破坏您的服务的恶意流量。, ,DDoS 攻击一直是黑客中流行的攻击媒介，并且仍然是 2021 年最常见的攻击媒介之一。这些攻击旨在限制网站/Web 应用程序/服务对目标用户的可用性。应用层 DDoS 攻击是针对应用层的一种特殊类型的 DDoS 攻击。他们通过过度使用来禁用网站/网络应用程序的特定功能或特性。这些攻击通常用于分散组织的 IT 团队对持续安全漏洞的注意力。在本文中，我们将仔细研究应用层 DDoS 攻击以及如何缓解它。,,

分布式拒绝服务 (DDoS) 攻击是一种网络攻击，源自分布式网络，旨在拒绝来自您的服务的响应。DDoS 攻击旨在通过非法请求压倒您的系统来使您的服务无响应。,,越来越多的企业和网站所有者在问自己，什么是 DDoS？他们已经看到其他公司成为网络攻击的牺牲品，并想知道如何防止这种攻击发生在他们身上。,2020 年 2 月，Amazon Web Services 遭受了持续近三天的大规模 DDoS 攻击，还影响了无数其他依赖 AWS 的发布商和网站所有者。目标 IP 地址比正常发送的数据量增加了 56-70 倍。,2018 年，GitHub 遭受了当时有记录以来最大的 DDoS 攻击。尽管每秒 1.3 TB 的数据（Tbps）和每秒 126.9 个数据包（Pps）淹没了 GitHub 的服务器，但由于 Github 强大的 DDoS 保护措施，这次攻击仅使 GitHub 离线 20 分钟。,这种高度可变的效力和风险水平表明，公司必须优先考虑减轻潜在 DDoS 攻击造成的损害。随着越来越多的流量在线以及敏感数据和服务继续保值，这些网络攻击只会越来越多。,在这篇文章中，我们将按照DDoS的思路介绍以下领域：,防御 DDoS 的最重要方面可能是早期检测。如果您的组织可以及早识别 DDoS 攻击，您可以采取措施减轻损害、限制流量并提高未来的安全性。,,那么，什么是 DDoSing，如何检测它？DDoS 是指当您的服务器、网站、应用程序、基础设施或其他资产充斥着来自恶意行为者的请求，这些请求试图关闭或使您的服务脱机时，就会发生 DDoS。尽管托管解决方案的安全措施各不相同，但即使是最坚固的专用服务器托管也可能仍然容易受到 DDoS 攻击。,很难确定 DDoS 攻击何时发生而不是合法的服务故障。DDoS 攻击通常表现为合法流量或服务器停机。为了确定地识别攻击，使用分析工具进行进一步调查可以帮助发现DDoS 的一些迹象：,检测 DDoS 还与意识有关，并确保您熟悉一些攻击示例。让我们分解几种类型的 DDoS 攻击来展示 DDoS 保护的工作原理。,现实世界中的 DDoS 是什么？我们已经提到了一些针对 Amazon 和 GitHub 的高调攻击。这些真实世界的例子可以让我们更好地了解网络犯罪分子的趋势以及我们如何在未来加强 DDoS 保护。,,最早记录的 DDoS 攻击之一发生在 2000 年，当时一名化名为“MafiaBoy ”的青少年黑客能够以巨大的流量淹没许多大学和企业。可以公平地说，从那时起，DDoS 已经呈指数级发展，并且至今仍在影响着主要行业。,在 2020 年 2 月针对 AWS 的网络攻击仅几个月后，谷歌就披露了针对其服务的 DDoS 攻击的详细信息，并以 2.6 Tbps 的速度注册了更高的攻击速度。各种规模的公司都面临着这种日益增长的网络威胁的风险。,DDoS 攻击可以根据它们针对的服务层分为三大类：容量攻击、协议攻击和应用程序攻击。让我们逐一检查并了解它们如何影响具有VPS DDoS 保护的站点。, 体积攻击,当大量非法流量淹没您的服务器、网站或其他资源时，就会发生容量攻击。也称为基于容量的攻击，容量攻击以每秒比特数 (BPS) 为单位。几种类型的容量攻击包括用户数据报协议 (UDP)、互联网控制消息协议 (ICMP) 和垃圾泛滥攻击。,简单地说，什么是基于容量的 DDoS 攻击？容量攻击就像交通堵塞。想象一下，去上班并驶上匝道，却发现高速公路上的每条车道都挤满了汽车。你被卡住了，无法上路。然而，与交通拥堵不同的是，交通不仅仅是排队等候。用户会看到可怕的“无连接错误”，或者加载时间会减慢到令人沮丧的程度，导致用户放弃最初的请求。, 协议攻击,当您的基础设施或部分基础设施被过多的数据包淹没时，就会发生协议攻击。也称为网络层攻击，协议 DDoS 攻击以每秒数据包数 (Pps) 为单位。不同类型的协议攻击包括 Smurf DDoS、TCP 连接攻击或 TCP SYN 洪水。,SYN 洪水（也称为 TCP 连接攻击）针对所谓的三向握手连接。这个常见的 TCP 连接点就是攻击所利用的漏洞。在 SYN Flood 期间，“握手”请求被发送到目标服务器，但从未完成。然后目标端口将无法响应任何请求。随着越来越多的请求被发送，攻击从那里蔓延，直到服务器关闭。,, 应用层攻击,答案 – 什么是 DDoS？– 如果不看看攻击对应用程序的影响，就不会完整。应用层攻击用恶意请求淹没应用程序，影响生成网页和发出 HTTP...

,

DDoS对业务连续性构成重大威胁。随着组织越来越依赖 Internet 和基于 Web 的应用程序和服务，可用性已变得与电力一样重要。DDoS不仅对具有明显可用性需求的零售商、金融服务和游戏公司构成威胁。DDoS攻击还针对贵组织用来管理日常运营的关键任务业务应用程序，例如电子邮件、销售自动化、CRM 等。此外，制造、制药和医疗保健等其他行业拥有供应链和其他业务合作伙伴日常业务运营所依赖的内部网络资产。所有这些都是当今复杂的网络攻击者的目标。,,成功的DDoS攻击的后果是什么？,当面向公众的网站或应用程序不可用时，可能会导致客户愤怒、收入损失和品牌受损。当业务关键应用程序变得不可用时，运营和生产力就会陷入停顿。合作伙伴依赖的内部网站意味着供应链和生产中断。成功的DDoS活动还意味着您的组织邀请了更多攻击。在部署更强大的DDoS防御之前，您可以预期攻击将继续。,您的DDoS保护选项是什么？,鉴于DDoS攻击的引人注目的性质及其潜在的破坏性后果，许多安全供应商突然开始提供DDoS保护解决方案。由于您的决定受到如此多的影响，因此了解您的选择的优势和劣势至关重要。,现有基础设施解决方案,（防火墙、入侵检测/保护系统、应用交付控制器/负载平衡器）,IPS 设备、防火墙和其他安全产品是分层防御策略的基本要素，但它们旨在解决与专用DDoS检测和缓解产品根本不同的安全问题。例如，IPS 设备会阻止导致数据被盗的闯入企图。同时，防火墙充当策略执行者，以防止对数据的未授权访问。虽然此类安全产品有效地解决了“网络完整性和机密性”问题，但它们未能解决有关DDoS攻击的根本问题——“网络可用性”。更重要的是，IPS 设备和防火墙是有状态的内联解决方案，这意味着它们容易受到DDoS攻击并经常成为目标。,与 IDS/IPS 和防火墙类似，ADC 和负载均衡器没有更广泛的网络流量可见性，也没有集成的威胁情报，它们也是有状态设备，易受状态耗尽攻击。状态耗尽的体积威胁和混合应用程序级攻击的增加，使 ADC 和负载平衡器成为需要同类最佳DDoS保护的客户的有限和部分解决方案。,,内容交付网络 (CDN),事实是，CDN 解决了??DDoS攻击的症状，但只是吸收了这些大量数据。它让所有信息进入和通过。欢迎所有人。这里有三个警告。首先，必须有可用的带宽来吸收这种大容量流量，其中一些基于容量的攻击超过 300 Gbps，所有容量能力都是有代价的。其次，CDN 是有办法的。并非每个网页或资产都会使用 CDN。第三，CDN 无法抵御基于应用程序的攻击。所以让 CDN 做它想要做的事情。,Web 应用程序防火墙 (WAF),WAF 是一种状态包处理设备，旨在阻止基于 Web 的应用程序攻击，因此不会阻止所有DDoS攻击类型，例如 TCP 状态耗尽攻击。使用众多来源的任何类型的反射或放大泛洪攻击都会使 WAF 不堪重负，从而使整个解决方案变得毫无用处。最重要的是，这两种技术在保护组织免受攻击方面是互补的，但 WAF 不会保护免受DDoS攻击的广泛载体。, ,DDoS对业务连续性构成重大威胁。随着组织越来越依赖 Internet 和基于 Web 的应用程序和服务，可用性已变得与电力一样重要。DDoS不仅对具有明显可用性需求的零售商、金融服务和游戏公司构成威胁。DDoS攻击还针对贵组织用来管理日常运营的关键任务业务应用程序，例如电子邮件、销售自动化、CRM 等。此外，制造、制药和医疗保健等其他行业拥有供应链和其他业务合作伙伴日常业务运营所依赖的内部网络资产。所有这些都是当今复杂的网络攻击者的目标。,鉴于DDoS攻击的引人注目的性质及其潜在的破坏性后果，许多安全供应商突然开始提供DDoS保护解决方案。由于您的决定受到如此多的影响，因此了解您的选择的优势和劣势至关重要。,

有多种方法可以保护您的网络和/或应用程序免受 DDoS 攻击。这里的主要挑战是我们如何区分合法流量和恶意流量。目前有许多 DDoS 缓解方法可用于应对这一挑战，每种方法都有自己的优点和缺点。然而，当今最常见的 DDoS 防护方法有三种：清洁管道法、CDN 稀释法和 TCP/UDP-DDoS 代理：,, 清洁管道 DDoS 保护,清洁管道方法的核心是让所有传入的流量通过一个“清洁管道”，也称为洗涤中心。在这个干净的管道中，将恶意流量与合法流量区分开来，只允许合法用户流量进入网络服务器。Clean Pipe 保护方法现在非常流行，并由许多 ISP 和 DDoS 缓解服务提供。过去，ISP 通常使用黑洞来缓解传入的 DDoS 攻击 ，其中包括合法流量在内的所有流量都被完全否定。但是，清洁管道保护方法存在一些弱点，即：,1.它们部署起来非常困难且昂贵。您需要一个 BGP（边界网关协议路由器）和能够终止 GRE 隧道的硬件。如今，我们可以使用基于云的服务来解决这个问题，但它们往往非常昂贵。,2.Clean Pipe 方法涉及将流量重新路由到清洁管道/清洗中心，因此依赖于正确的 DDoS 检测。此外，重新路由过程从重新路由到缓解过程可能需要至少几分钟的时间。,3.Clean Pipe 方法在防止基于数据包和应用程序泛洪攻击（第 7 层 DDoS 攻击）方面不是很有效。,4.尽管比黑洞好得多，但在允许合法流量方面，Clean Pipe 涉及混合客户端和服务器端流量，因此缓解配置文件可能非常复杂，因此它可能会引入许多误报（合法流量被阻止） .,然而，清洁管道方法是最通用的，支持几乎所有类型的应用程序。我们可以将 Clean Pipe 方法视为一种全面的、万事通的 DDoS 保护方法，但它缺乏针对特定应用程序的高级保护（也就是说，它是无所不能的）。, CDN 稀释 DDoS 保护,CDN，即内容交付网络，是一个向用户提供内容的分布式网络系统。因此，离用户最近的服务器将响应请求，而不是您的原始服务器。因此，CDN 系统在保护系统免受 DDoS 攻击方面具有两个关键优势：首先，由于涉及大量服务器，因此带宽总和要大得多。CDN 技术具有巨大的带宽，可以有效吸收第 3 层或第 4 层 DDoS 攻击（或容量 DDoS 攻击）。其次，原始服务器不是响应用户请求的服务器，因此任何 DDoS 攻击都很难到达该服务器。这并不是说 CDN 稀释是完美的，因为也有一些缺点：,1.CDN 稀释服务成本高昂，并且可能涉及许多隐藏成本，尤其是因为您涉及使用第三方网络,2.与 DDoS 保护没有直接关系，某些国家/地区已屏蔽了流行 CDN 的 IP 地址，因此某些国家/地区的受众可能无法访问您的站点。,3.如果 CDN 服务器关闭（这是可能的），源服务器很容易受到 DDoS 攻击。,4.CDN 仅适用于 Web 应用程序，您不能在专有 TCP/UDP 应用程序上使用它,但是，CDN 服务器是应用程序上下文感知的，并且与 Clean Pipe（无前置时间）相比，动作更快。因此，除非您使用专有 TCP/UDP 应用程序，否则 CDN 稀释可能是一个很好的 DDoS 保护解决方案。, TCP/UDP 代理 DDoS 防护,如果您的网站/平台包含 TCP 或 UDP 服务，例如电子邮件 (SMTP)、SSH 访问、游戏服务等，请了解它们的开放端口可能意味着 DDoS 攻击的漏洞。为了解决这个问题，放置了一个基于 TCP/UDP 的代理，其工作方式类似于基于 CDN 稀释的保护。在这种方法中，数据包被发送到 TCP/UDP 反向代理，然后过滤掉恶意流量和数据包。与之前的两种 DDoS 保护方法一样，这种方法也有缺点：,1.后端的源 IP 将更改。由于我们无法获得真实访问者的 IP，这可能是一个额外的漏洞。,2.TCP/UDP 代理的配置基于每个应用程序而不是每个域（如 CDN 稀释）。,3.与 CDN 稀释相比，它更容易出现误报（在这方面与 Clean Pipe 方法非常相似）。,4.不提供网络粒度,TCP/UDP...