标签：分布式拒绝服务 第16页

DDoS 保护和缓解服务在当今任何组织的网络安全战略中都至关重要。 2020 年发生了超过 1000 万次 DDoS（分布式拒绝服务）攻击 ，新的攻击媒介和新的威胁参与者浮出水面。,仅在 2021 年上半年，攻击者就发起了近 540 万次 DDoS 攻击，比 2020 年上半年的数字增加了 11%。攻击者的创新和攻击复杂性不断增加，并助长了影响各种组织的网络安全危机。因此，对 DDoS 防御的积极努力对于确保针对第 3 层和第 4 层攻击的内置保护至关重要。继续阅读以了解 DDoS 攻击预防的最佳实践以及有效的 DDoS 保护和缓解服务是什么样的。,,分布式拒绝服务保护、缓解和防御的 8 个有效技巧, 1. 通过多层、多模块防御缓解 DDoS 攻击,DDoS 攻击与 5-10 年前不同。今天，我们不仅有容量攻击，攻击者用大量虚假数据请求淹没应用程序/服务器，还有协议攻击和第 7 层/应用程序层攻击。此外，攻击者正在寻找使合法流量无法访问网站的新方法以及利用漏洞的致命方法，从而策划高度复杂的攻击。,在这种情况下，无法通过简单地增加网络带宽或使用传统防火墙来阻止 DDoS 攻击。组织需要全面、多模块 和 多层的 DDoS 缓解解决方案，以防止包括应用层 D DoS 攻击在内的 各种 攻击。因此，您选择的解决方案必须具有可扩展性、内置冗余、流量监控功能、业务逻辑缺陷检测和漏洞管理功能。, 2. 早期检测和交通监控至关重要 ,使用 包含智能扫描工具和下一代 Web 应用程序防火墙 (WAF)的托管DDoS 保护和缓解服务，您可以持续监控流量、请求和数据包。通过应用行为、模式和签名分析，您将能够区分正常和异常行为/请求。基于此基线，您可以调整 WAF 以允许或阻止请求，从而阻止非法/恶意用户。,放置在网络边缘的 AI 驱动的 WAF 不仅可以监控和过滤流量，还可以帮助识别漏洞并在攻击者发现漏洞之前对其进行修复。由于此类解决方案由经过认证的安全专家管理，因此最好的 DDoS 保护和缓解服务能够识别和保护业务逻辑缺陷和 0-day 漏洞。, 3. 构建弹性基础设施 ,关键的分布式拒绝服务预防最佳实践之一是使基础架构和网络能够处理任何雷鸣般的激增或流量的突然激增。在将操作转移到云端时，它们可用于缓解攻击，但不能防止 DDoS 攻击。云提供比任何本地解决方案更大的带宽。,,使基础架构和网络具有弹性的最佳方法是使用全球内容交付网络 (CDN)。CDN 将数据中心全球分散在不同的网络上，缓存应用，不允许直接访问源站。此外，当使用可扩展的 WAF 时，它具有内置冗余并自动扩展以观察任何负载。, 4. 获取实时情报并采取行动,对应用程序和流量的完全可见性、整体报告、集中管理、安全分析和实时警报都是有效的分布式拒绝服务保护所必需的。基于这种实时情报，您需要不断调整您的 WAF 和安全解决方案以防止攻击。基于实时洞察的速率限制、地理访问限制、基于信誉分数的访问限制等措施在防止 DDoS 攻击方面大有帮助。, 5.了解攻击症状 ,从内部网不稳定的互联网连接到间歇性网站断开连接到莫名其妙的网络速度变慢，DDoS 攻击显示出早期预警信号。通过及早识别这些迹象，您可以有效地调查情况并防止攻击。, 6. 良好的网络卫生必不可少,从网络钓鱼攻击到默认密码再到安全配置错误，不卫生的网络安全做法是 DDoS 攻击的主要原因。因此，您必须始终保持应用程序清洁、减少攻击面并遵循所有网络安全最佳实践。此外，您必须教育所有用户始终保持良好的网络卫生。, 7. 创建 DDoS 响应计划 ,尽管尽了最大努力，DDoS 攻击还是会发生。当组织拥有强大的 DDoS 响应计划时，他们会更快地做出响应，从而最大限度地减少损失并更快地恢复。, 8. 当心二次攻击 ,DDoS 攻击通常用作其他攻击的烟幕。除非您的 DDoS 保护和缓解服务是您的安全解决方案的一部分，否则您将无法有效检测和缓解此类二次攻击。, ,DDoS 保护和缓解服务在当今任何组织的网络安全战略中都至关重要。 2020 年发生了超过 1000 万次 DDoS（分布式拒绝服务）攻击 ，新的攻击媒介和新的威胁参与者浮出水面。,DDoS 攻击与 5-10 年前不同。今天，我们不仅有容量攻击，攻击者用大量虚假数据请求淹没应用程序/服务器，还有协议攻击和第 7 层/应用程序层攻击。此外，攻击者正在寻找使合法流量无法访问网站的新方法以及利用漏洞的致命方法，从而策划高度复杂的攻击。,

分布式拒绝服务攻击是网络攻击中常见的攻击方式。分布式拒绝服务攻击(DDoS)是指不同位置的多个攻击者同时攻击一个或多个目标，或者一个攻击者控制不同位置的多台机器，并使用这些机器同时攻击受害者。由于攻击点分布在不同的地方，这种攻击称为分布式拒绝服务攻击，其中可以有多个攻击者。,1.UDP Flood：UDP协议是一种无连接服务。在UDP Flood中，攻击者通常会发送大量伪造源IP地址的小UDP数据包来攻击DNS服务器、Radius认证服务器和流媒体视频服务器。10万bps的UDP Flood经常会瘫痪线路上的骨干设备，比如防火墙，造成整个网段瘫痪。上述传统流量攻击方式技术含量低，造成1000人受伤，800人自损。攻击效果通常取决于被控主机本身的网络性能，很容易找到攻击源，因此单独使用并不常见。于是出现了四两千磅效果的反射式放大攻击。,,2.CC攻击：CC攻击是目前应用层的主要攻击手段之一，利用代理服务器产生指向目标系统的合法请求，实现伪装和DDOS。我们都有这样的经历。访问一个静态页面不需要太长时间，即使人很多。但是，如果你访问论坛、贴吧等。高峰时期会非常慢，因为服务器系统需要去数据库判断访客是否有权限看帖子、说话等。访问量越大，论坛的页面越多，对数据库的压力越大，被访问的频率越高，占用的系统资源也相当可观。CC攻击充分利用了这一特性，模拟很多正常用户不断访问论坛等需要大量数据操作的页面，造成服务器资源的浪费。CPU长时间处于100%，总是有无穷无尽的请求需要处理。网络拥塞，正常访问被暂停。这种攻击技术含量高，看不到真实的源IP和异常流量，而服务器就是无法正常连接。,3.SYN Flood：这是一种利用TCP协议的缺陷，发送大量伪造的TCP连接请求，从而使被攻击方资源耗尽(CPU已满或内存不足)的攻击方法。建立TCP连接需要三次握手——客户端发送SYN消息，服务器接收请求并返回消息表示接受，客户端也返回确认完成连接。SYN Flood是指用户在向服务器发送消息后突然崩溃或掉线，因此服务器在发送回复消息后无法收到客户端的确认消息(第一次三次握手无法完成)。此时，服务器通常会重试并等待一段时间，然后丢弃未完成的连接。服务器的一个线程因为用户的异常而等待一段时间并不是什么大问题，但是恶意攻击者大量模拟这种情况，服务器为了维持几万个半连接，消耗了大量资源，结果往往忙得顾不上客户的正常请求，甚至崩溃。从正常客户的角度来看，网站反应迟钝，无法访问。,4.DNS Query Flood：作为互联网的核心服务之一，DNS也是DDOS攻击的主要目标。DNS Query Flood使用的方法是操纵大量傀儡机，向目标服务器发送大量域名解析请求。当服务器收到域名解析请求时，会先查找服务器上是否有对应的缓存，如果找不到且无法直接解析域名，会递归向其上层DNS服务器查询域名信息。通常，攻击者请求的域名是随机生成的，或者根本不存在于网络中。由于在本地找不到相应的结果，服务器必须使用递归查询将解析请求提交给上层域名服务器，造成连锁反应。解析过程给服务器带来了很大的负载，当域名解析请求数超过每秒一定数量时，DNS服务器就会超时。根据微软的统计，一台DNS服务器可以承受的动态域名查询上限是每秒9000个请求。然而，一台P3 PC每秒可以轻松构造上万个域名解析请求，足以瘫痪一台硬件配置极高的DNS服务器，由此可见DNS服务器的脆弱性。,,5.ICMP Flood：ICMP(互联网控制消息协议)用于在IP主机和路由器之间传输控制消息。控制消息指的是网络本身的消息，比如网络是否无法通行，主机是否可达，路由是否可用等。虽然它不传输用户数据，但它在用户数据传输中起着重要的作用。通过向目标系统发送大量数据包，目标主机可能会瘫痪。如果发送大量数据包，将成为洪水攻击。,6.混合攻击：实际情况中，攻击者只想打败对方。到目前为止，高级攻击者不再倾向于使用单一的攻击手段进行战斗，而是根据目标系统的具体环境发动多种攻击手段，不仅流量大，而且利用协议和系统的缺陷尽可能多地发动攻势。对于被攻击的目标，需要面对不同协议和资源的分布式攻击，因此分析、响应和处理的成本会大大增加。,7.NTP Flood：NTP是基于UDP协议传输的标准网络时间同步协议。由于UDP协议的无连接特性，伪造源地址非常方便。攻击者使用特殊数据包，即IP地址指向服务器作为反射器，源IP地址伪造为攻击目标的IP。反射器收到数据包时被骗，响应数据发送给被攻击目标，耗尽了目标网络的带宽资源。一般NTP服务器带宽较大，攻击者可能仅用1Mbps的上传带宽欺骗NTP服务器，可给目标服务器带来数十万Mbps的攻击流量。因此，反射攻击可以使用“问答”协议。通过将质询数据包的地址伪造为目标的地址，所有回复数据包都将被发送到目标。一旦协议具有递归效应，流量就会显著放大，这可以称之为“不畅”流量攻击。有不懂的请咨询梦飞云idc了解。, ,分布式拒绝服务攻击是网络攻击中常见的攻击方式。分布式拒绝服务攻击(DDoS)是指不同位置的多个攻击者同时攻击一个或多个目标，或者一个攻击者控制不同位置的多台机器，并使用这些机器同时攻击受害者。由于攻击点分布在不同的地方，这种攻击称为分布式拒绝服务攻击，其中可以有多个攻击者。,4.DNS Query Flood：作为互联网的核心服务之一，DNS也是DDOS攻击的主要目标。DNS Query Flood使用的方法是操纵大量傀儡机，向目标服务器发送大量域名解析请求。当服务器收到域名解析请求时，会先查找服务器上是否有对应的缓存，如果找不到且无法直接解析域名，会递归向其上层DNS服务器查询域名信息。通常，攻击者请求的域名是随机生成的，或者根本不存在于网络中。由于在本地找不到相应的结果，服务器必须使用递归查询将解析请求提交给上层域名服务器，造成连锁反应。解析过程给服务器带来了很大的负载，当域名解析请求数超过每秒一定数量时，DNS服务器就会超时。根据微软的统计，一台DNS服务器可以承受的动态域名查询上限是每秒9000个请求。然而，一台P3 PC每秒可以轻松构造上万个域名解析请求，足以瘫痪一台硬件配置极高的DNS服务器，由此可见DNS服务器的脆弱性。,

分布式拒绝服务 (DDoS) 攻击是一种暴力尝试，可以降低服务器速度或使服务器完全崩溃。尽管仍然对企业构成严重威胁，但企业意识的增强以及 Internet 安全软件的增强有助于减少攻击的数量。尽管如此，任何拒绝服务都代表着严重的风险——但这些攻击究竟是如何运作的，它们究竟能造成什么样的损害？,,对企业的经济损失可能是严重的。一个由卡巴斯基实验室最近的一项研究显示，DDoS 攻击可以花费公司超过160万$ -一大笔钱对任何一家公司。DDoS 攻击几乎可以理解为“烟幕弹”，在另一次攻击（如数据盗窃）发生时转移员工的注意力。这强调了不惜一切代价防范 DDoS 攻击并采取必要的安全程序以避免灾难性经济损失的重要性。, DDoS 剖析,DDoS 攻击的目标是通过向服务器或网络资源发出大量服务请求来切断用户与服务器或网络资源的联系。虽然简单的拒绝服务涉及一台“攻击”计算机和一个受害者，但分布式拒绝服务依赖于能够同时执行任务的受感染计算机或“机器人”计算机的军队。,这个“僵尸网络”是由利用易受攻击的系统的黑客构建的，将其转变为僵尸大师。botmaster 寻找其他易受攻击的系统并使用恶意软件感染它们——最常见的是特洛伊木马病毒。当足够多的设备被感染时，黑客命令它们进行攻击；每个系统开始向目标服务器或网络发送大量请求，使其过载以导致速度减慢或完全失败。,有几种常见的 DDoS 攻击类型，例如基于卷、协议和应用层。基于流量的攻击包括 UDP、ICMP 和任何其他试图消耗带宽的欺骗性数据包泛洪；这种攻击产生的每秒比特 (Bps) 速率越高，它就越有效。协议攻击直接攻击服务器资源，包括 Smurf DDoS、Ping of Death 和 SYN floods。如果达到足够大的每秒数据包速率，服务器将崩溃。,最后，零日DDoS 或 Slowloris等应用层攻击通过发出看似合法但数量非常大的请求来针对应用程序。如果在足够短的时间内有足够多的请求，受害者的 Web 服务器将关闭。, DDoS 攻击的影响,DDoS 攻击可能会导致金钱、时间、客户甚至声誉的损失。根据攻击的严重程度，资源可能会离线 24 小时、多天甚至一周。事实上，卡巴斯基实验室的一项调查显示，五分之一的 DDoS 攻击可以持续数天甚至数周，证明它们的复杂性和对所有企业构成的严重威胁。,在攻击期间，任何员工都无法访问网络资源，而在运行电子商务站点的 Web 服务器的情况下，消费者将无法购买产品或获得帮助。美元数字各不相同，但如果攻击成功，公司每小时可能损失20,000 美元。,考虑对攻击中使用的“机器人”计算机的影响也很重要。虽然这些人通常被认为是自愿的罪魁祸首，但他们实际上是由于系统漏洞而陷入交火中的旁观者。在某些情况下，固有的安全问题可能会使特洛伊木马病毒潜入公司网络并感染计算机，而在其他情况下，员工打开未知电子邮件附件或下载未经验证的文件是原因。在 DDoS 事件期间，这些次要受害设备也会运行缓慢，如果自身资源消耗过大，可能会崩溃。即使它们保持运行，系统也不会很好地响应合法的服务请求。, 防御 DDoS,有多种方法可以防御 DDoS 攻击。根据卡内基梅隆软件工程研究所的说法，最常见的方法之一是限制任何用户在被“锁定”帐户之前可以进行的登录尝试次数。然而，在 DDoS 事件的情况下，此技术可用于对抗公司，有效地将用户长时间锁定在自己的计算机之外。应始终在系统中内置紧急接入点以应对这种情况。始终应该有其他可靠的反 DDoS 解决方案。为了使该解决方案的工作更加有效，公司可以执行以下操作：,此外，公司应禁用任何可能用作 DDoS 渗透点的不需要或不熟悉的网络服务。数据配额和磁盘分区功能也是一种帮助限制攻击影响的选项。为网络性能和服务器流量建立基线也很重要。没有明显原因的极高消耗率通常表明攻击者试图衡量公司防御的强度。除了这种监控，公司还应该投资一种特殊的反 DDoS 服务，该服务具有自动扫描功能，以检测最常见的 DDoS 攻击类型。该软件应定期更新以提供最大程度的保护。, DDoS：保护自己,分布式拒绝服务攻击可能会导致服务器中断和金钱损失，并对试图将资源恢复联机的 IT 专业人员造成过度压力。正确的检测和预防方法有助于在 DDoS 事件获得足以颠覆公司网络的势头之前阻止它。, ,分布式拒绝服务 (DDoS) 攻击是一种暴力尝试，可以降低服务器速度或使服务器完全崩溃。尽管仍然对企业构成严重威胁，但企业意识的增强以及 Internet 安全软件的增强有助于减少攻击的数量。尽管如此，任何拒绝服务都代表着严重的风险——但这些攻击究竟是如何运作的，它们究竟能造成什么样的损害？,这个“僵尸网络”是由利用易受攻击的系统的黑客构建的，将其转变为僵尸大师。botmaster 寻找其他易受攻击的系统并使用恶意软件感染它们——最常见的是特洛伊木马病毒。当足够多的设备被感染时，黑客命令它们进行攻击；每个系统开始向目标服务器或网络发送大量请求，使其过载以导致速度减慢或完全失败。,