DDoS 缓解和网络安全
DoS 代表拒绝服务,愈加常见的 DDoS 则表示分布式拒绝服务。这是一类常见的互联网攻击。在此类安全攻击中,无数请求/查询会在尽量短的时间内被发送给服务(YouTube、GitHub、Twitter 等)。这最终会导致过载问题,相应页面也不再可供用户使用。这会给互联网服务运营商带来巨大的经济损失。攻击者会向运营商勒索保护费。在此了解关于这一主题和 DDoS 防护的更多信息。
缺少合适的 DDoS 防护措施会导致 DDoS 攻击
DDoS 攻击的影响越来越大。这类攻击利用越来越多的数据压垮服务。为了解决 DDoS 安全问题,需要使用 DDoS 防护工具分散大量数据。与此同时,越来越多被记录在案的攻击显示,网络罪犯只攻击 IT 基础设施的特定区域。很显然,这些攻击更加难以察觉。应用程序或服务越小,攻击所需的数据量就越少。另一方面,DDoS 攻击不再仅用于拒绝服务,而是越来越多地被用于掩饰其他网络攻击。这包括数据泄露和金融诈骗。组织应利用 DDoS 监控和防护工具,以便在出现所有可能的 DDoS 攻击时检测并阻止攻击。这便于组织全面了解网络情况。
僵尸网络占据重要一席
网络罪犯在大多数 DDoS 攻击中使用僵尸网络。攻击者会事先劫持国外计算机。他们通常会使用特洛伊木马或蠕虫病毒等恶意软件。攻击者通过命令和控制 (C&C) 服务器远程控制这些国外计算机。发动 DDoS 攻击时,攻击者会利用受害者系统的带宽。他们同时向受害者的服务器发出相同的请求。您可以通过 DDoS 防护和实施适当的 DDoS 安全措施来防范这些攻击。
memcached 服务器:即使没有僵尸网络,也可能出现网络攻击
对于攻击者而言,劫持国外计算机或物联网 (IoT) 设备有时会非常麻烦。因此,有的网络攻击并不利用僵尸网络。例如,2018 年 Github 遭遇的攻击便是利用 memcached 服务器。Github 的数据库缓存服务旨在提高网络和网站的运行速度。只要获取 IP 地址,无需身份认证即可通过互联网访问这些服务器。随后,攻击者同时向多个 memcached 服务器发送小请求——大约每秒向每台服务器发送 10 个请求。这些 memcached 服务器会产生更大的响应,向受害者系统返回的数据量是请求数据的 50 倍。这样一来,服务器每秒会产生数万亿字节的数据请求,很容易造成服务崩溃。DDoS 防护同样可以有效防御此类网络攻击。
DDoS 防护可以防御 DNS 反射攻击
DDoS 网络攻击也会利用域名服务器 (DNS) 反射技术。攻击者成功利用受害者的 IP 地址进行 DNS 查询(IP 欺骗)。DNS 服务器向受害者系统发送请求。在这个过程中,下一阶段的放大攻击开始显露。
"带有 DNS 查询的 UDP 数据包通常相对较小(小于 100 字节)。响应数据包明显更大(但不超过 500 字节),具体大小视查询的条目而定。因此,如果攻击者狡黠地选择带宽相对较小的 DNS 查询,则能够显著增加受害方的攻击负载;攻击因此被放大(放大攻击)。"
德国联邦信息安全办公室 (BSI)
DDoS 防护:DDoS 防护解决方案
我们的 DDoS 防护工具和措施能够阻止 DDoS 攻击:
这包括 Web 应用程序防火墙 (WAF),可在应用层保护在线服务。这样通常可以确保:
- WAF 仅允许获得访问授权的服务发送的传入连接。为此,可以设置黑名单(不允许的连接清单)或白名单(允许的连接清单)
- 传出连接同样如此,仅可在获取明确许可时允许通过。这样一来,僵尸网络无法继续联系攻击者的命令和控制服务器,因此会陷入瘫痪。
通过 memcached 服务器进行放大攻击:
- 移除互联网上公开暴露的 memcached 服务器,并将其安全部署在内部网络的防火墙后面。
- 检测到数量可疑的请求后,WAF 中的过滤器会阻止 memcached 流量。
- 如果网络运营商检测到使用的攻击命令,则可以阻止所有与命令长度相同的 memcached 数据包,进而将恶意流量扼杀在摇篮中。
通过“网络时间协议”的反射攻击:
- 对于此类攻击,可以使用 Web 应用程序防火墙和相应的由若干数据中心构成的现有网络基础设施。
- 即使攻击目标是单个 IP 地址,您也可以利用相应的防火墙功能分发大量数据。WAF 将传入负载分发到不同的数据中心。这样,受攻击的服务仍将可用。