分布式拒绝服务或 DDoS 攻击是阻止企业访问其流量的恶意尝试。在 DDoS 攻击期间,目标服务器充斥着由互联网上被利用的系统产生的不良流量。当您的网站成为 DDoS 攻击的受害者时,您的网站将在一段时间或很长时间内无法使用,具体取决于攻击的强度。保护您的网站免受 DDoS 攻击意味着实施一系列解决方案来处理黑客发送的虚假流量,从而使您的服务器资源不堪重负。网站所有者不应该等到他们的网站受到攻击才采取行动。建议对 DDoS 攻击采取主动方法,这里有一些非技术性的有效解决方案来保护您的网站免受这种恶意流量的侵害。,,鉴于 DDoS 攻击的数量一直在显着增加,并且每次攻击都可能对每个企业的规模或规模产生毁灭性的后果,因此尽早考虑 DDoS 缓解策略非常重要。以下是您可以采取哪些措施来保护您的网站或 Web 应用程序免受各种类型的 DDoS 攻击,并帮助您的网站始终保持在线状态。, 1. 实施服务器级 DDoS 防护,一些 Web 主机在其产品中包含服务器级 DDoS 缓解工具。由于网络托管公司并不总是提供此功能,因此您应该咨询您的网络托管服务商。一些公司将其作为免费服务提供,而另一些公司则将其作为付费附加服务提供。这一切都取决于提供商和托管计划。, 2. 提醒自己,您永远不会“太小”而不会受到 DDoS 攻击,许多小企业主认为他们的规模不足以成为网络攻击的受害者。然而,事实上,网络犯罪分子比大型企业更常针对小型企业和初创企业。这是因为大公司通常更倾向于实施安全解决方案来应对黑客的企图。如前所述,小型企业每次 DDoS 攻击可能遭受高达 120,000 美元的损失,因此,您的网站可能成为黑客的受害者,您应该努力提高网站的安全性。, 3. 防弹您的网络硬件配置,您可以通过进行一些简单的硬件配置更改来防止 DDoS 攻击。例如,您可以将防火墙或路由器配置为丢弃传入的 ICMP 数据包或阻止来自网络外部的 DNS 响应(通过阻止 UDP 端口 53)。这将有助于防止某些 DNS 和基于 ping 的容量攻击。, 4. 做好最坏的打算,提前做好 DDoS 攻击计划,提前规划网络攻击,使您能够在他们真正开始损害您的网站之前迅速做出反应。一个适当的网络安全计划包括一份将处理攻击的同事名单。它还概述了系统对资源进行优先排序以保持大多数应用程序和服务在线的方式,这可以防止您的业务崩溃。最后,您还可以计划如何联系支持攻击的 Internet 服务提供商,因为他们可能能够帮助完全阻止攻击。, 5. 切换到混合或基于云的解决方案,当您切换到使用混合或基于云的服务时,您可能会获得无限带宽。许多受 DDoS 影响的网站都是资源有限的网站。转向基于云的解决方案可以帮助您保持安全。, 6. 增加带宽,您可以采取的防御 DDoS 攻击的最基本步骤之一是使您的托管基础设施具有“DDoS 抗性”。从本质上讲,这意味着您准备了足够的带宽来处理可能由网络攻击引起的流量高峰。但是请注意,购买更多带宽本身并不能满足缓解 DDoS 攻击的完整解决方案。当您增加带宽时,它确实提高了攻击者在发起成功的 DDoS 攻击之前必须克服的门槛,但您应该始终将其与其他缓解策略结合起来以完全保护您的网站。, 7. 利用 CDN 解决方案,甚至更好的 Multi CDN,CDN 提供商提供了大量网络安全功能和工具来保护您的网站免受黑客攻击。他们还提供免费的 SSL 证书。更重要的是,当您将网站添加到这些服务提供商时,默认情况下它会提供 DDoS 保护以减轻对您的服务器网络和应用程序的攻击。这背后的基本原理是,当您利用 CDN 网络时,由于 CDN 的端口协议,所有未通过端口 80 和 443 访问的针对 L3/L4 的恶意请求都将被自动过滤掉。使用 CDN 可以平衡网站流量,这样您的服务器就不会不堪重负。此外,CDN 将您的流量分散到不同位置的服务器上,使黑客难以发现您的原始服务器以发起攻击。此外,借助多 CDN 解决方案,您将能够利用来自多个 CDN 提供商的大型 PoP 网络,从而使您的网站能够通过更大的每秒数兆位元的网络抵御 DDoS 攻击全球分布式网络。, ,分布式拒绝服务或 DDoS 攻击是阻止企业访问其流量的恶意尝试。在 DDoS 攻击期间,目标服务器充斥着由互联网上被利用的系统产生的不良流量。当您的网站成为 DDoS 攻击的受害者时,您的网站将在一段时间或很长时间内无法使用,具体取决于攻击的强度。保护您的网站免受 DDoS 攻击意味着实施一系列解决方案来处理黑客发送的虚假流量,从而使您的服务器资源不堪重负。网站所有者不应该等到他们的网站受到攻击才采取行动。建议对 DDoS 攻击采取主动方法,这里有一些非技术性的有效解决方案来保护您的网站免受这种恶意流量的侵害。, 2. 提醒自己,您永远不会“太小”而不会受到 DDoS 攻击,
根据Akamai 的2015 年第三季度安全报告,DDoS 攻击总数增加了 179.66%!该数字表明,在过去两年中,犯罪分子、激进主义者和黑客出于恶意原因攻击了数量惊人的企业。它不仅会拒绝为企业用户提供服务,还会导致昂贵的账单。一些 DDoS 攻击甚至可能对企业造成经济损失!从尝试使用基于 ping 命令的 ICMP 回声请求来淹没目标到多向量攻击,多年来,DDoS 攻击变得越来越复杂。在这篇文章中,我们将看看不同类型的 DDoS 攻击。以下是不同 DDoS 攻击类型的列表。,, 1、应用级攻击,DDoS 攻击可以针对特定应用程序或编码错误的网站来利用其弱点并因此关闭整个服务器。WordPress(我们现在提供网络上最好的 WordPress 托管)和 Joomla 是两个可以针对耗尽服务器资源(RAM、CPU 等)的应用程序示例。数据库也可以通过旨在利用这些漏洞的 SQL 注入进行攻击。由于资源耗尽,耗尽的服务器将无法处理合法请求。存在安全漏洞的网站和应用程序也容易受到希望窃取信息的黑客的攻击。, 2、零日 (0day) DDoS,这是一个标准术语(如 John Doe),用于描述利用新漏洞的攻击。这些零日 DDoS 漏洞没有补丁或有效的防御机制。, 3、平洪水,作为 ICMP 洪水的演进版本,这种 DDoS 攻击也是特定于应用程序的。当服务器从非常大的源 IP 集收到大量欺骗性 Ping 数据包时,它就会成为 Ping Flood 攻击的目标。这种攻击的目标是用 ping 数据包淹没目标,直到它脱机。它旨在消耗网络中所有可用的带宽和资源,直到它完全耗尽并关闭。这种类型的 DDoS 攻击也不容易被检测到,因为它很容易类似于合法流量。, 4、IP空攻击,数据包包含 IPv4 标头,这些标头携带有关正在使用的传输协议的信息。当攻击者将此字段的值设置为零时,这些数据包可以绕过旨在扫描 TCP、IP 和 ICMP 的安全措施。当目标服务器尝试放置处理这些数据包时,它最终会耗尽其资源并重新启动。, 5、CharGEN 洪水,这是一个非常古老的协议,可用于执行放大攻击。CharGEN 放大攻击是通过向运行 CharGEN 的支持互联网的设备发送携带目标欺骗 IP 的小数据包来执行的。然后使用这些对此类设备的欺骗请求将 UDP 泛洪作为这些设备的响应发送到目标。大多数支持 Internet 的打印机、复印机等默认启用此协议,可用于执行 CharGEN 攻击。这可用于在端口 19 上使用 UDP 数据包泛洪目标。当目标尝试理解这些请求时,它会失败。服务器最终将耗尽其资源并脱机或重新启动。, 6、SNMP泛洪,与 CharGEN 攻击一样,SNMP 也可用于放大攻击。SNMP 主要用于网络设备。SNMP 放大攻击是通过向运行 SNMP 的支持 Internet 的设备发送携带目标欺骗 IP 的小数据包来执行的。然后使用这些对此类设备的欺骗请求将 UDP 泛洪作为这些设备的响应发送到目标。但是,与CHARGEN 和DNS 攻击相比,SNMP 中的放大效果可能更大。当目标试图理解这种大量的请求时,它最终将耗尽其资源并离线或重新启动。, 7、NTP洪水,NTP 协议是另一种可公开访问的网络协议。NTP 放大攻击还通过向运行 NTP 的启用 Internet 的设备发送携带目标欺骗 IP 的小数据包来执行。然后使用这些对此类设备的欺骗请求将 UDP 泛洪作为这些设备的响应发送到目标。当目标试图理解这种大量的请求时,它最终将耗尽其资源并离线或重新启动。, 8、SSDP 洪水,支持 SSDP 的网络设备也可以从 Internet 访问 UPnP,这些设备是生成 SSDP 放大泛洪的简单来源。SSDP 放大攻击也是通过向设备发送带有欺骗目标 IP 的小数据包来进行的。这些对此类设备的欺骗请求用于将 UDP 泛洪作为这些设备的响应发送到目标。当目标试图理解这种大量的请求时,它最终将耗尽其资源并离线或重新启动。, 9、碎片化的 HTTP Flood,在这个针对已知漏洞的复杂攻击示例中,具有有效 IP 的 BOT...
什么是 DDoS 攻击?分布式拒绝服务(DDoS)攻击是通过大规模互联网流量淹没目标服务器或其周边基础设施,以破坏目标服务器、服务或网络正常流量的恶意行为。DDoS 攻击利用多台受损计算机系统作为攻击流量来源以达到攻击效果。利用的机器可以包括计算机,也可以包括其他联网资源(如 IoT 设备)。总体而言,DDoS 攻击好比高速公路发生交通堵塞,妨碍常规车辆抵达预定目的地。,, 常见的 DDoS 攻击有哪几类?,不同类型的 DDoS 攻击针对不同的网络连接组件。为了解不同的 DDoS 攻击如何运作,有必要知道网络连接是如何建立的。互联网上的网络连接由许多不同的组件或“层”构成。就像打地基盖房子一样,模型中的每一步都有不同的用途。OSI 模型是一个概念框架,用于描述 7 个不同层级的网络连接。虽然几乎所有 DDoS 攻击都涉及用流量淹没目标设备或网络,但攻击可以分为三类。攻击者可能利用一种或多种不同的攻击手段,也可能根据目标采取的防范措施循环使用多种攻击手段。, 应用程序层攻击,攻击目标:此类攻击有时称为第 7 层 DDoS 攻击(指 OSI 模型第 7 层),其目标是耗尽目标资源。攻击目标是生成网页并传输网页响应 HTTP 请求的服务器层。在客户端执行一项 HTTP 请求的计算成本比较低,但目标服务器做出响应却可能非常昂贵,因为服务器通常必须加载多个文件并运行数据库查询才能创建网页。第 7 层攻击很难防御,因为难以区分恶意流量和合法流量。, HTTP 洪水,HTTP 洪水攻击类似于同时在大量不同计算机的 Web 浏览器中一次又一次地按下刷新 ——大量 HTTP 请求涌向服务器,导致拒绝服务。这种类型的攻击有简单的,也有复杂的。较简单的实现可以使用相同范围的攻击 IP 地址、referrer 和用户代理访问一个 URL。复杂版本可能使用大量攻击性 IP 地址,并使用随机 referrer 和用户代理来针对随机网址。, 协议攻击,攻击目标:协议攻击也称为状态耗尽攻击,这类攻击会过度消耗服务器资源和/或防火墙和负载平衡器之类的网络设备资源,从而导致服务中断。协议攻击利用协议堆栈第 3 层和第 4 层的弱点致使目标无法访问。, SYN 洪水,SYN 洪水就好比补给室中的工作人员从商店的柜台接收请求。工作人员收到请求,前去取包裹,再等待确认,然后将包裹送到柜台。工作人员收到太多包裹请求,但得不到确认,直到无法处理更多包裹,实在不堪重负,致使无人能对请求做出回应。此类攻击利用 TCP 握手(两台计算机发起网络连接时要经过的一系列通信),通过向目标发送大量带有伪造源 IP 地址的 TCP“初始连接请求”SYN 数据包来实现。目标计算机响应每个连接请求,然后等待握手中的最后一步,但这一步确永远不会发生,因此在此过程中耗尽目标的资源。, 容量耗尽攻击,攻击目标:此类攻击试图通过消耗目标与较大的互联网之间的所有可用带宽来造成拥塞。攻击运用某种放大攻击或其他生成大量流量的手段(如僵尸网络请求),向目标发送大量数据。, DNS 放大,DNS 放大就好比有人打电话给餐馆说“每道菜都订一份,请给我回电话复述整个订单”,而提供的回电号码实际上属于受害者。几乎不费吹灰之力,就能产生很长的响应并发送给受害者。利用伪造的 IP 地址(受害者的 IP 地址)向开放式 DNS 服务器发出请求后,目标 IP 地址将收到服务器发回的响应。, ,什么是 DDoS 攻击?分布式拒绝服务(DDoS)攻击是通过大规模互联网流量淹没目标服务器或其周边基础设施,以破坏目标服务器、服务或网络正常流量的恶意行为。DDoS 攻击利用多台受损计算机系统作为攻击流量来源以达到攻击效果。利用的机器可以包括计算机,也可以包括其他联网资源(如 IoT 设备)。总体而言,DDoS 攻击好比高速公路发生交通堵塞,妨碍常规车辆抵达预定目的地。,攻击目标:此类攻击有时称为第 7 层 DDoS 攻击(指 OSI 模型第 7 层),其目标是耗尽目标资源。攻击目标是生成网页并传输网页响应 HTTP 请求的服务器层。在客户端执行一项 HTTP 请求的计算成本比较低,但目标服务器做出响应却可能非常昂贵,因为服务器通常必须加载多个文件并运行数据库查询才能创建网页。第 7 层攻击很难防御,因为难以区分恶意流量和合法流量。,
DDoS 攻击是通过连接互联网的计算机网络进行的。这些网络由计算机和其他设备(例如 IoT 设备)组成,它们感染了恶意软件,从而被攻击者远程控制。这些个体设备称为机器人(或僵尸),一组机器人则称为僵尸网络。一旦建立了僵尸网络,攻击者就可通过向每个机器人发送远程指令来发动攻击。当僵尸网络将受害者的服务器或网络作为目标时,每个机器人会将请求发送到目标的 IP 地址,这可能导致服务器或网络不堪重负,从而造成对正常流量的拒绝服务。由于每个机器人都是合法的互联网设备,因而可能很难区分攻击流量与正常流量。,, 如何防护 DDoS 攻击?,若要缓解 DDoS 攻击,关键在于区分攻击流量与正常流量。例如,如果因发布某款产品导致公司网站涌现大批热情客户,那么全面切断流量是错误之举。如果公司从已知恶意用户处收到的流量突然激增,或许需要努力缓解攻击。难点在于区分真实客户流量与攻击流量。在现代互联网中,DDoS 流量以多种形式出现。流量设计可能有所不同,从非欺骗性单源攻击到复杂的自适应多方位攻击无所不有。多方位 DDoS 攻击采用多种攻击手段,以期通过不同的方式击垮目标,很可能分散各个层级的缓解工作注意力。,同时针对协议堆栈的多个层级(如 DNS 放大(针对第 3/4 层)外加 HTTP 洪水(针对第 7 层))发动攻击就是多方位 DDoS 攻击的一个典型例子。为防护多方位 DDoS 攻击,需要部署多项不同策略,从而缓解不同层级的攻击。一般而言,攻击越复杂,越难以区分攻击流量与正常流量 —— 攻击者的目标是尽可能混入正常流量,从而尽量减弱缓解成效。如果缓解措施不加选择地丢弃或限制流量,很可能将正常流量与攻击流量一起丢弃,同时攻击还可能进行修改调整以规避缓解措施。为克服复杂的破坏手段,采用分层解决方案效果最理想。,, 黑洞路由,有一种解决方案几乎适用于所有网络管理员:创建黑洞路由,并将流量汇入该路由。在最简单的形式下,当在没有特定限制条件的情况下实施黑洞过滤时,合法网络流量和恶意网络流量都将路由到空路由或黑洞,并从网络中丢弃。如果互联网设备遭受 DDoS 攻击,则该设备的互联网服务提供商(ISP)可能会将站点的所有流量发送到黑洞中作为防御。这不是理想的解决方案,因为它相当于让攻击者达成预期的目标:使网络无法访问。, 速率限制,限制服务器在某个时间段接收的请求数量也是防护拒绝服务攻击的一种方法。虽然速率限制对于减缓 Web 爬虫窃取内容及防护暴力破解攻击很有帮助,但仅靠速率限制可能不足以有效应对复杂的 DDoS 攻击。然而,在高效 DDoS 防护策略中,速率限制不失为一种有效手段。, Web 应用程序防火墙,Web 应用程序防火墙(WAF) 是一种有效工具,有助于缓解第 7 层 DDoS 攻击。在互联网和源站之间部署 WAF 后,WAF 可以充当反向代理,保护目标服务器,防止其遭受特定类型的恶意流量入侵。通过基于一系列用于识别 DDoS 工具的规则过滤请求,可以阻止第 7 层攻击。 有效 WAF 的一个关键价值是能够快速实施自定义规则以响应攻击。, Anycast 网络扩散,此类缓解方法使用 Anycast 网络,将攻击流量分散至分布式服务器网络,直到网络吸收流量为止。这种方法就好比将湍急的河流引入若干独立的小水渠,将分布式攻击流量的影响分散到可以管理的程度,从而分散破坏力。Anycast 网络在缓解 DDoS 攻击方面的可靠性取决于攻击规模及网络规模和效率。采用 Anycast 分布式网络是实施 DDoS防护策略的一个重要组成部分。, ,DDoS 攻击是通过连接互联网的计算机网络进行的。这些网络由计算机和其他设备(例如 IoT 设备)组成,它们感染了恶意软件,从而被攻击者远程控制。这些个体设备称为机器人(或僵尸),一组机器人则称为僵尸网络。一旦建立了僵尸网络,攻击者就可通过向每个机器人发送远程指令来发动攻击。当僵尸网络将受害者的服务器或网络作为目标时,每个机器人会将请求发送到目标的 IP 地址,这可能导致服务器或网络不堪重负,从而造成对正常流量的拒绝服务。由于每个机器人都是合法的互联网设备,因而可能很难区分攻击流量与正常流量。,,
无论您是领导财富 500 强公司还是您自己的小企业,网络安全都必须是基本的业务目标。2017 年上半年发生的几起备受瞩目的网络攻击已经影响到全球各种规模的组织,而且这些攻击只会变得更加普遍和复杂。,,作为业务领导者,重要的是要了解威胁是持续存在的。即使您从未遭受过攻击,您的服务器也会一直被黑客扫描以查找漏洞——而这种损害可能对您的业务造成致命的影响。网络攻击可能导致关键信息丢失,从而危及您的品牌声誉。,如果您遭受网络攻击并且能够迅速做出反应,那么当然可以减轻对您的业务和客户的损害,尽管遏制攻击可能会变得非常昂贵。但是,如果您制定了计划,则可以为自己节省大量时间和金钱,并保护您企业的未来。, 诊断威胁,网络攻击有无数种类型,包括恶意软件、网络钓鱼、流氓软件等等。但在过去的几年里,黑客越来越倾向于针对企业的分布式拒绝服务 (DDoS) 攻击。基本上存在三种类型的 DDoS 攻击。,基于容量的攻击会使服务器的数据过载,导致受害者的网站无法访问。这是通常成为新闻的攻击类型,因为大约 90% 的 DDoS 攻击是基于数量的。剩下的 10% 被分为协议攻击和应用层攻击,协议攻击通过请求过载来耗尽服务器资源,应用层攻击执行特定请求以从服务器中提取重要信息,例如信用卡详细信息或用户登录信息。, 好机器人与坏机器人,DDoS 攻击的关键特征是利用 bot 做脏活,而 bot 无处不在。事实上,如果你分析一个典型的网站,你会发现大约 61% 的流量实际上是非人为的,并且归因于机器人。,,机器人通常是在互联网上运行简单且重复的自动化任务的软件程序。谷歌的爬虫也许是最著名的例子。爬虫搜索网站,分析文本、标题、页面速度、入站链接和其他因素来确定网站的排名。这通常是一件好事——作为发布者,您希望 Google 爬虫进入您的页面并尽可能高地对您进行排名。,同样,许多网站(包括新闻平台、预订网站和购物网站)上的交流通常是通过聊天机器人进行的。这些机器人使公司能够降低成本并更好地为客户服务。但机器人也可以用来造成伤害。,在 DDoS 攻击期间,僵尸牧民通常通过控制服务器控制巨大的僵尸网络或机器人网络,并操纵它们以某种方式从目标网站中提取尽可能多的有价值信息。这与远程文件包含 (RFI) 攻击或跨站点脚本 (XSS) 攻击背后的机制相同。, 行动中的攻击,黑客在网络攻击方面变得越来越有创意,而且威胁也变得越来越严重,而且代价高昂。例如, 2016 年,英国博彩公司 William Hill 的网站因 DDoS 攻击而下线。幸运的是,这次袭击并未发生在重大体育赛事期间,但它可能使公司损失约 440 万英镑。,勒索软件是另一种越来越普遍的网络攻击,黑客也变得越来越独创。例如,奥地利的 Romantik Seehotel Jägerwirt 于 2017 年初被勒索。但黑客并没有简单地控制酒店的网站并索要钱财,而是更进一步,将客人锁在房间外并关闭酒店的预订系统。,,某些类型的网络攻击更为险恶,因为它们不仅仅是让公司的网站下线或索要钱财。例如,在 2015 年,PokerStars 被一个机器人入侵,该机器人为某些玩家提供了不公平的优势,并帮助他们总共赢得了 150 万美元。因为扑克不是一个完全随机的游戏,你可以通过正确的计算来取胜,机器人和人工智能策略正在成为业内更常见的问题。,没有一个行业能对黑客免疫——有时,攻击甚至可能来自竞争对手。在 Leaseweb,我们曾经看到对一家航空公司网站的独特攻击,看起来就像一个简单的座位预订。但在分析请求时,我们注意到它经历了选择承运人、出发时间、目的地和价格的整个预订过程,但一旦到了付款时间,它就立即停止了。,然后我们意识到该请求是由机器人执行的,其目的是显示航班已被预订完毕。这样,当真正的客户访问该网站进行预订并看到没有空位时,他们就会去找竞争对手——这正是黑客想要的。,爱因斯坦曾经说过:“知识分子解决问题;天才会阻止他们。” 同样的理论也适用于网络安全。由于网络攻击在所有行业中都是一个日益严重的问题,因此没有人能够免受威胁。您可以在它们发生后解决它们(在它们已经花费您的公司大量资金并且更重要的是可能损害您的品牌声誉之后),或者您可以制定网络安全计划以确保它们从一开始就不会发生。, ,无论您是领导财富 500 强公司还是您自己的小企业,网络安全都必须是基本的业务目标。2017 年上半年发生的几起备受瞩目的网络攻击已经影响到全球各种规模的组织,而且这些攻击只会变得更加普遍和复杂。,网络攻击有无数种类型,包括恶意软件、网络钓鱼、流氓软件等等。但在过去的几年里,黑客越来越倾向于针对企业的分布式拒绝服务 (DDoS) 攻击。基本上存在三种类型的 DDoS 攻击。,
根据最新数据,近 40% 的网络流量是机器人流量,而在这些机器人流量中,60% 是不良机器人。恶意机器人被广泛用于恶意目的,例如撞库、DDoS 攻击、数据盗窃、价格抓取和未经授权的爬网等,这给企业带来了沉重的成本。,,随着复杂性和杀伤力的不断提高,机器人成为在线欺诈/网络犯罪武器库的重要补充。并且防止 bot 攻击是加强 Web 应用程序安全性的必要条件。本文将提供对机器人攻击及其预防的更深入了解。,机器人是经过编程的自动化脚本,可在互联网上以最少的人工干预/监督运行特定的自动化任务,通常是简单的任务。与人类高管相比,在完成重复性例行任务方面更高的速度、敏捷性、准确性和性能使得机器人为各种合法目的而受到企业追捧。由于这些好处,他们是网络犯罪分子和其他不良行为者,从事各种恶意活动。,Web 应用程序受到不同类型的机器人以不同方式的攻击。, 内容抓取:原始内容是从信誉良好的网站上抓取并在未经许可的情况下发布到其他地方,以损害 SEO 排名。, 价格刮:价格数据被抓取并用于非法的、有竞争力的价格监控,以及跟踪其他与定价相关的情报。, 接触刮擦:纯文本的电子邮件地址和其他联系信息是从合法网站上抓取的。抓取的联系信息可用于形成大量邮件列表,用于发送垃圾邮件、协调数据泄露、robocalls 和社会工程等。,使用自动化,可以将抓取的电子邮件地址与用于凭据填充的常用密码配对,或者可以使用暴力密码破解工具破解其登录凭据以进行凭据破解。因此,攻击者成功地获得了对帐户的未经授权的访问权限或执行了帐户接管。,,由网络攻击者制作的互联网应用程序,用于将垃圾邮件传播到互联网上的目标。,除了直接影响最终用户和组织外,垃圾邮件程序还被用来耗尽服务器带宽并增加 ISP 成本。,攻击者使用黄牛/票务机器人囤积流行活动或其他流行、高价值、供应有限的商品/服务的门票,以高价转售(在许多国家是非法的)。剥削威胁会导致收入损失、业务声誉受损以及合法用户被剥削。,众多受恶意软件感染(特洛伊木马病毒)的计算机和联网设备(如物联网设备、智能设备等)的集合通常分布在全球各地,并由攻击者/恶意行为者控制,称为僵尸网络或僵尸网络。僵尸网络可能包括数千个受感染的设备。,攻击者利用僵尸网络通过虚假请求淹没网站,耗尽其资源,并导致停机/通过 DDoS 攻击使其对合法用户不可用。众所周知,DDoS 攻击通常用作其他非法/恶意目的的烟幕,对小企业造成 120,000 美元的损失(财务和声誉),对大公司造成 2+ 百万美元的损失。,,考虑到大量机器人及其攻击网站的方式, 没有一种万能的机器人预防解决方案。以下是一些提高Web 应用程序安全性的建议。,智能、全面、可管理的 WAF 对于有效防御包括 DDoS 攻击在内的 bot 攻击是必不可少的。速率限制、基于全局历史数据的行为分析、检测伪装成真正机器人的恶意机器人的智能、阻止源自单个 IP 地址的流量和误报管理是在WAF中寻找的必要特征。,结合使用分析工具和人类专业知识对机器人流量进行识别和分类是必要的。一旦识别和分类,必须定义复杂的机器人管理规则,并由安全专家以外科手术的准确性不断调整,以确保有效防御机器人。,基于挑战的方法可以有效地检查用户是人类还是机器人。通过在登录、评论和表单中添加验证码,可以防止恶意机器人访问网站资源/敏感信息。尽可能使用特定于应用程序的工作流规则来区分机器人和真实用户。工作流规则查看完整交易的属性,例如,在电子商务应用程序中(流程类似于 – 选择要购买的商品并将它们放入结账购物车,然后结账,然后付款)。将速率控制规则视为将整个工作流程视为单个阈值限制之上的一个单元,以在每个页面/事务上触发警报。使用直观的自动化 Web 扫描工具,可以主动识别网站中增加机器人攻击风险的恶意软件、垃圾邮件和漏洞。,鉴于 bot 是网络犯罪武器库中的有力工具,并且用于出于各种目的攻击 Web 应用程序,因此没有一种最好的解决方案来防止它。像AppTrana这样的综合性 Web 应用程序安全解决方案将技术的力量与经过认证的安全专家的专业知识相结合,对于加强保护是必要的。, ,根据最新数据,近 40% 的网络流量是机器人流量,而在这些机器人流量中,60% 是不良机器人。恶意机器人被广泛用于恶意目的,例如撞库、DDoS 攻击、数据盗窃、价格抓取和未经授权的爬网等,这给企业带来了沉重的成本。, 内容抓取:原始内容是从信誉良好的网站上抓取并在未经许可的情况下发布到其他地方,以损害 SEO 排名。,
到目前为止,分布式拒绝服务 (DDoS) 攻击可能会对企业或网站造成严重破坏,使用大量虚假网络流量来关闭服务器,这已不是什么秘密。但是,很多人没有意识到,并非所有 DDoS 攻击都以相同的方式进行。具体来说, DDoS 攻击主要分为三种类型:体积、协议和应用层。,,最近,记录的应用层攻击的大小和实例有所增加。事实上,一项研究估计, 2017 年报告的 DDoS 攻击中有一半以上属于这种类型。通过更好地了解什么是应用程序层攻击及其工作原理,您可以采取适当的措施来保护您的站点。, 什么是应用层 DDoS 攻击?,具体来说,应用层攻击是指一种针对域名服务器 (DNS)、HTTPS 和 HTTP 的 DDoS 攻击,其最终目标是使整个网站脱机。受到应用程序层攻击的网站通常会面临持续数小时甚至数天的突发流量。当足够的流量淹没 HTTP、HTTPS 或 DNS 协议时,它可能会完全关闭。当然,这 会对企业和网站产生深远的影响 ,因为他们面临流量损失、收入损失和在网站访问者中的声誉受损。, 防止应用层攻击,虽然无法保证您的网站或企业永远不会成为应用程序层攻击的受害者,但您可以采取一些步骤来更好地保护您的网站。首先确保您拥有适当级别的 DDoS 安全性;如果您还没有通过您的专用服务器托管公司获得免费保护,您应该考虑切换到提供这项有价值服务的主机。,,除了您的主机帐户可能附带的任何 标准 DDoS 保护之外 ,您还应该考虑升级以防止更大的攻击。这可以让您更加安心,并针对应用层 DDoS 攻击进行覆盖,这些攻击的规模和持续时间都在增长。,最后,您应该采取常识性措施来提高您的专用服务器的安全性。这包括定期更改您的密码、备份您的数据以及留意攻击未遂的迹象,以便您可以立即通知您的虚拟主机。, , , ,到目前为止,分布式拒绝服务 (DDoS) 攻击可能会对企业或网站造成严重破坏,使用大量虚假网络流量来关闭服务器,这已不是什么秘密。但是,很多人没有意识到,并非所有 DDoS 攻击都以相同的方式进行。具体来说, DDoS 攻击主要分为三种类型:体积、协议和应用层。, 防止应用层攻击,
网络犯罪分子在做生意是为了赚钱。勒索软件和勒索拒绝服务(RDoS) 攻击等勒索攻击为网络犯罪分子提供了一种通过攻击获利的直接手段。,,勒索拒绝服务 攻击是指攻击者从目标勒索赎金以不执行或阻止 DDoS 攻击的发生。由于破坏组织的网站和其他在线服务会花费公司资金,因此受害者可能会出于经济动机支付赎金以防止或阻止攻击。, RDoS 攻击是如何开始的?,RDoS 攻击始于赎金要求。通常,攻击背后的网络犯罪分子将使用注重隐私的电子邮件提供商将他们的需求发送给目标受害者。该要求将包括赎金金额和必须支付赎金的截止日期。攻击者可能会在规定的截止日期之前执行DDoS 攻击,以证明他们有能力实施威胁。,如果在截止日期之前没有支付赎金,那么 DDoS 攻击将认真开始。通常,这些 DDoS 攻击非常复杂,并且会定期更改策略以使阻止它们更加复杂。一次攻击可能会持续数小时到数周不等,赎金需求可能会随着未付清的时间越长而增长。, RDoS 活动的演变,与其他网络威胁一样,勒索拒绝服务攻击者也在不断努力改进和改进他们的策略和技术。这有助于他们最大限度地提高攻击的盈利能力,并提高他们执行勒索信中威胁的能力。,通常,RDoS 攻击者伪装成著名的 APT,例如 Fancy Bear、Armada Collective 或 Lazarus Group。2020 年,来自这些团体的攻击针对多个行业的公司进行多阶段攻击。那些没有满足最初 20 BTC 赎金要求的组织在当年晚些时候再次成为攻击的目标。通过重用他们现有的研究,威胁参与者试图以最小的努力提取额外的价值。,,2021 年,攻击者将注意力转向互联网和云服务提供商。这些攻击还展示了更深入的研究,仅针对未受保护的资产。这些更有针对性的攻击表明,RDoS 活动背后的网络犯罪分子正在努力提高成功攻击和支付赎金的可能性。, 如何响应 RDoS 威胁,勒索拒绝服务勒索信代表了可信的威胁,但也让组织有时间为潜在的攻击做准备。公司为响应 RDoS 需求应采取的一些步骤包括:,, 如何防范 RDoS 攻击,在收到勒索拒绝服务威胁后,组织应采取措施准备并防止受到威胁的攻击。一些最佳实践包括:,如果您的组织收到了勒索拒绝服务威胁或认为它可能成为 DDoS 攻击的目标,请联系我们。有关减轻 RDoS 威胁的更多信息,请咨询 Check Point 的DDoS 保护器,它提供针对复杂和零日 DDoS 攻击的全面保护。, ,网络犯罪分子在做生意是为了赚钱。勒索软件和勒索拒绝服务(RDoS) 攻击等勒索攻击为网络犯罪分子提供了一种通过攻击获利的直接手段。,如果在截止日期之前没有支付赎金,那么 DDoS 攻击将认真开始。通常,这些 DDoS 攻击非常复杂,并且会定期更改策略以使阻止它们更加复杂。一次攻击可能会持续数小时到数周不等,赎金需求可能会随着未付清的时间越长而增长。,
随着网络犯罪分子利用互联网使用增加的优势,DDoS(分布式拒绝服务)攻击的效力急剧增加。这是一种攻击,其中受害者的服务或网站被攻击者通过恶意流量淹没它而被破坏。在很大程度上,DDoS 数量增加的关键原因与攻击方法的采用增加有关:SYN(同步数据包洪水)攻击。,,以卡巴斯基2019 年和 2020 年的 DDoS 攻击统计为例,在DDoS 攻击类型中,SYN Flood 攻击在 2019 年 Q1 占据了相当大的份额。虽然2020 年 DDoS 攻击类型发生了一些明显的变化, SYN Flood 是榜单上唯一的不动产,但其份额持续增长并触及 92.6% 的最高纪录。,事实证明,超过 80% 的 DDoS 攻击使用 SYN 泛洪方法,这种方法可以造成与 DDoS 攻击相关的所有损害:消费者信任的丧失、收入的损失、财务数据、IP 或客户信息的盗窃,以及软件和硬件损坏。让我们探讨一下什么是 SYN(同步)攻击以及如何防止这种攻击。,SYN Flood攻击又称半开攻击,是一种协议攻击,它利用网络通信中的漏洞,使受害者的服务器对合法请求不可用。通过消耗所有服务器资源,这种类型的攻击甚至可以破坏能够处理数百万个连接的高容量组件。,由于SYN Flood DDoS 攻击利用 TCP 三向握手连接及其在处理半开连接方面的局限性,让我们从正常的 TCP 握手机制如何工作开始,然后继续讨论 SYN 攻击如何干扰连接。,在 SYN 泛洪攻击中,黑客伪装成客户端,以高于受害机器可以处理的速率发送 TCP SYN 连接请求。它是一种资源耗尽型 DoS 攻击。黑客可以通过三种不同的方式进行 SYN 洪水攻击:,, 1. 直接SYN洪水攻击,在这种方法中,黑客使用自己的 IP 地址发起攻击。他向服务器发送多个 SYN 请求。但是,当服务器以 SYN-ACK 响应时,作为确认,他不会以 ACK 响应,而是继续向受害服务器发送新的 SYN 请求。,在服务器等待 ACK 的同时,SYN 报文的到来使服务器资源保留了一定时间,连接会话处于半开状态,最终导致服务器无法正常运行,拒绝合法客户端的请求。,在这种直接攻击方法中,为了确保忽略 SYN/ACK 数据包,黑客会相应地配置防火墙或将流量限制为传出的 SYN 请求。由于黑客使用自己的 IP 地址,因此攻击者更容易被检测到。这种攻击很少使用。, 2. SYN 欺骗攻击,作为避免被检测到的替代方法,恶意攻击从欺骗/伪造的 IP 地址发送 SYN 数据包。服务器收到 SYN 请求后,向伪造的 IP 地址发送 SYN-ACK 并等待响应。由于欺骗源没有发送数据包,因此它们没有响应。,对于这种 SYN Flood 攻击,攻击者会选择未使用的 IP 地址,从而确保系统永远不会响应 SYN-ACK 响应。, 3. DDoS(分布式拒绝服务)SYN攻击,在这种 SYN 泛洪攻击的变种中,受害服务器在攻击者的控制下同时从多台受感染的计算机接收 SYN 数据包。这种被劫持机器的组合称为僵尸网络。,SYN Flood 的脆弱性早已为人所知,因此已经利用了几种 SYN Flood 攻击缓解措施。一些SYN攻击防护如下:,, 1. 增加积压队列,每个操作系统分配一定的内存来保存半开连接作为 SYN 积压。如果达到限制,它将开始断开连接。为了防止 SYN 攻击,我们可以增加 backlog 的限制,以避免拒绝合法连接。, 2. 回收最旧的半开连接,SYN 攻击保护的另一种方法是通过删除最旧的半开连接来重用 SYN 积压的内存。这为新连接创造了空间,并确保在洪水攻击期间系统在一定限度内保持可访问性。这种缓解方法对大容量 SYN Flood DDoS 攻击无效。,...
CDN 已成为任何严肃的扩展策略的标准组件。当然,随着规模的扩大,安全挑战也随之增加。这会导致代码扫描、日志分析、昂贵的入侵检测系统等等,但锁定在CDN内部的数据通常会被忽略。,这些数据对于强大的安全态势至关重要,并且可能是您早期发现的攻击与影响客户和收入的攻击之间的区别。让我们看看为什么您需要了解您的 CDN 日志,才能拥有强大的安全态势。,, DDoS 攻击的风险,DDOS 攻击是可以让您的系统瘫痪的最常见和最简单的方法。它们的启动成本低至每小时 10 美元。将此与小型企业12 万美元和大公司 200 万美元以上的潜在成本进行比较。,许多自动化机器人,同时在您的网站上发射无用的数据。这种类型的攻击只会变得越来越普遍,这意味着即使是不期望大量流量的网站也在利用 CDN 来构建防御 DDoS 攻击,但是,这是组织通常停止的地方,这是一个错误., 您需要积极主动的方法,DDoS 攻击无法被动防御,您可以主动过滤流量的唯一方法是使用强大的可观察性解决方案,直接插入您的 CDN 数据。您的 CDN 日志包含区分恶意流量和合法使用您的网站所需的所有信息。例如,用户代理、负载配置文件、目标端点、请求类型等等。鉴于 CDN 可以生成大量日志,您需要一个能够以经济高效的方式非常快速地处理大量流量的可观察性合作伙伴,而这根本不是 CDN 解决方案将提供的开箱即用的东西., 记住收敛,要牢记的一个主要概念是融合,这是Gartner 去年强调的。尽管 CDN 可能已经商品化,但它们在确保业务连续性方面发挥着关键和关键作用,并且是任何电子商务在线存在和收入的基础。然后,CDN 是性能和安全性以及安全事件所关注的基本事实的融合场所。, 针对常见漏洞的针对性攻击,DDoS 攻击并不是唯一需要担心的事情。OWASP列出了除 DDoS 永远存在的风险之外的十大应用程序安全风险。许多用户会尝试对您的系统进行更复杂的攻击。如果没有强大的监控,您的 CDN 可能会允许这些攻击在没有任何进一步审查的情况下发生。但是,如果您对 CDN 生成的数据有基本的了解,则可以提前检测到已知的攻击。, 僵尸网络和有组织的攻击,僵尸网络通常与 DDoS 攻击有关,但它们也可以单独使用。例如,僵尸网络通常用于隐藏攻击源,因此僵尸网络中的每个节点都可能成为黑客尝试利用系统中已知漏洞的下一个地方。,您的 CDN 日志是检测此类攻击的理想场所。几乎所有 CDN 不仅记录源 IP 地址,而且还记录有关正在发送的数据的详细信息,例如请求和响应大小、请求方法和目标端点。这些信息包含复杂的可观察性平台检测恶意 IP 地址并在它们造成任何损害之前阻止它们所需的一切。, 而且并不总是黑客!,众所周知,公司会抓取竞争对手的网站,以建立自己的数据储备,从而获得优势。这种类型的流量很难检测,但 CDN 解决方案为您提供了一个很好的地方来安装针对这些类型的爬虫的主动防御。,一个例子是利用一种反机器人解决方案,您可以使用您的 CDN 可观察性数据来驱动它。反机器人解决方案可以配置为向被视为恶意或异常的流量提供过时或误导性信息。这是一种强大的自动化机制,由您的 CDN 可观察性数据驱动,可阻止竞争对手挖掘您的网站以获取信息。, 那么如何捕获所有这些数据呢?,在决定提取 CDN 日志以进行安全分析的最佳策略时,需要考虑很多事情,但几乎所有这些都归结为一个简单而经典的决定:构建还是购买?,当您构建自己的解决方案来获取、分析、可视化和处理 CDN 日志时,您可以为您的组织创建最灵活和量身定制的解决方案。这使您能够构建公司所需的确切功能。这可能是您的最佳途径,但在绝大多数公司中,存在一系列相同的横切关注点。如果您正在重新发明解决这些问题的解决方案,那么您就是在重新发明轮子并在可能不需要的地方投入工程时间。,或者,您可以利用广泛的现有工具,这些工具既可以部署到您的基础架构上,也可以作为 SaaS 服务使用。如果您只是想直接获得价值,那么 SaaS 可观察性合作伙伴是明智的选择。它们提供了一种零维护的可观察性方法,无需聘请昂贵的 DevOps 专业人员来保持您的系统运行。, 结论,您的公司面临着各种各样的威胁。CDN 提供了大量开箱即用的保护,但是当您开始了解被锁定在 CDN 内部的数据时,您可以访问强大的指标,这些指标可以通知您的安全团队并让您领先一步下一个零日漏洞。, ,CDN 已成为任何严肃的扩展策略的标准组件。当然,随着规模的扩大,安全挑战也随之增加。这会导致代码扫描、日志分析、昂贵的入侵检测系统等等,但锁定在CDN内部的数据通常会被忽略。,许多自动化机器人,同时在您的网站上发射无用的数据。这种类型的攻击只会变得越来越普遍,这意味着即使是不期望大量流量的网站也在利用 CDN 来构建防御 DDoS 攻击,但是,这是组织通常停止的地方,这是一个错误.,