DDoS 防护

DDoS 防护和网络安全

DDoS 防护工具变得比以往更加重要

DDoS 缓解和网络安全

DoS 代表拒绝服务,愈加常见的 DDoS 则表示分布式拒绝服务。这是一类常见的互联网攻击。在此类安全攻击中,无数请求/查询会在尽量短的时间内被发送给服务(YouTube、GitHub、Twitter 等)。这最终会导致过载问题,相应页面也不再可供用户使用。这会给互联网服务运营商带来巨大的经济损失。攻击者会向运营商勒索保护费。在此了解关于这一主题和 DDoS 防护的更多信息。

缺少合适的 DDoS 防护措施会导致 DDoS 攻击

DDoS 攻击的影响越来越大。这类攻击利用越来越多的数据压垮服务。为了解决 DDoS 安全问题,需要使用 DDoS 防护工具分散大量数据。与此同时,越来越多被记录在案的攻击显示,网络罪犯只攻击 IT 基础设施的特定区域。很显然,这些攻击更加难以察觉。应用程序或服务越小,攻击所需的数据量就越少。另一方面,DDoS 攻击不再仅用于拒绝服务,而是越来越多地被用于掩饰其他网络攻击。这包括数据泄露和金融诈骗。组织应利用 DDoS 监控和防护工具,以便在出现所有可能的 DDoS 攻击时检测并阻止攻击。这便于组织全面了解网络情况。

僵尸网络占据重要一席

网络罪犯在大多数 DDoS 攻击中使用僵尸网络。攻击者会事先劫持国外计算机。他们通常会使用特洛伊木马或蠕虫病毒等恶意软件。攻击者通过命令和控制 (C&C) 服务器远程控制这些国外计算机。发动 DDoS 攻击时,攻击者会利用受害者系统的带宽。他们同时向受害者的服务器发出相同的请求。您可以通过 DDoS 防护和实施适当的 DDoS 安全措施来防范这些攻击。

memcached 服务器:即使没有僵尸网络,也可能出现网络攻击

对于攻击者而言,劫持国外计算机或物联网 (IoT) 设备有时会非常麻烦。因此,有的网络攻击并不利用僵尸网络。例如,2018 年 Github 遭遇的攻击便是利用 memcached 服务器。Github 的数据库缓存服务旨在提高网络和网站的运行速度。只要获取 IP 地址,无需身份认证即可通过互联网访问这些服务器。随后,攻击者同时向多个 memcached 服务器发送小请求——大约每秒向每台服务器发送 10 个请求。这些 memcached 服务器会产生更大的响应,向受害者系统返回的数据量是请求数据的 50 倍。这样一来,服务器每秒会产生数万亿字节的数据请求,很容易造成服务崩溃。DDoS 防护同样可以有效防御此类网络攻击。

DDoS 防护可以防御 DNS 反射攻击

DDoS 网络攻击也会利用域名服务器 (DNS) 反射技术。攻击者成功利用受害者的 IP 地址进行 DNS 查询(IP 欺骗)。DNS 服务器向受害者系统发送请求。在这个过程中,下一阶段的放大攻击开始显露。

"带有 DNS 查询的 UDP 数据包通常相对较小(小于 100 字节)。响应数据包明显更大(但不超过 500 字节),具体大小视查询的条目而定。因此,如果攻击者狡黠地选择带宽相对较小的 DNS 查询,则能够显著增加受害方的攻击负载;攻击因此被放大(放大攻击)。"
德国联邦信息安全办公室 (BSI)

DDoS 防护:DDoS 防护解决方案

我们的 DDoS 防护工具和措施能够阻止 DDoS 攻击:

这包括 Web 应用程序防火墙 (WAF),可在应用层保护在线服务。这样通常可以确保:

  • WAF 仅允许获得访问授权的服务发送的传入连接。为此,可以设置黑名单(不允许的连接清单)或白名单(允许的连接清单)
  • 传出连接同样如此,仅可在获取明确许可时允许通过。这样一来,僵尸网络无法继续联系攻击者的命令和控制服务器,因此会陷入瘫痪。

通过 memcached 服务器进行放大攻击:

  • 移除互联网上公开暴露的 memcached 服务器,并将其安全部署在内部网络的防火墙后面。
  • 检测到数量可疑的请求后,WAF 中的过滤器会阻止 memcached 流量。
  • 如果网络运营商检测到使用的攻击命令,则可以阻止所有与命令长度相同的 memcached 数据包,进而将恶意流量扼杀在摇篮中。

通过“网络时间协议”的反射攻击:

  • 对于此类攻击,可以使用 Web 应用程序防火墙和相应的由若干数据中心构成的现有网络基础设施。
  • 即使攻击目标是单个 IP 地址,您也可以利用相应的防火墙功能分发大量数据。WAF 将传入负载分发到不同的数据中心。这样,受攻击的服务仍将可用。

有效防护 DDoS:R&S®Web Application Firewall

  • 识别 DDoS 攻击、区分安全和危险的流量、检测攻击并限制受损程度
  • 在攻击期间为用户确保可用性。
  • 尽量缩短停机时间
  • 预测并更加有效地抵御未来威胁

如果您有其他问题,请与我们联系。

DDoS 防护和网络安全专题内容

网络研讨会:API 安全风险

在本网络研讨会中,我们将介绍 10 种重要的 API 安全风险和相关防护方案。

現在註冊

白皮书:如何保护 API

阅读本白皮书,了解如何利用 R&S®Web Application Firewall 保护 API。

現在註冊

白皮书:选择 Web 应用程序防火墙

本白皮书帮助您明确选择 Web 应用程序防火墙时需要考虑的重要因素。

現在註冊

常见问题

能够追踪拒绝服务攻击吗?

拒绝服务攻击的源头难以追溯。因此,采用有效的 DDoS 防护解决方案变得更加重要。大部分海量流量源自僵尸网络,此网络主要由无关人员的计算机构成。入侵这些系统的攻击者鲜少能被追踪到。反射和放大攻击也同样如此。这主要是因为攻击者使用的是受害者的 IP 地址。相应攻击会通过 DNS 服务器等合法服务实施。

哪种解决方案提供最出色的 DDoS 防护性能?

防火墙、应用程序配置控制和负载均衡等现有的基础设施解决方案具备基础的 DDoS 防护性能。但是,这些解决方案只能处理已知的网络安全攻击。因此,您需要额外保护应用层。Web 应用程序防火墙 (WAF) 是最出色的 Web 攻击防护解决方案。

什么是容量耗尽型 DDoS 攻击?

ICMP 泛洪攻击、IP/ICMP 碎片攻击、UDP 泛洪攻击和 IPSec 泛洪攻击属于容量耗尽型攻击。在此类攻击中,攻击者试图耗尽目标网络/服务内或目标网络/服务和互联网其余部分之间的带宽,从而引发网络拥挤。

每月网络安全最新动态

每月网络安全最新动态

需要更多信息。

如果您有任何疑问或需要了解更多信息,请填写此表格,我们会尽快回复您。

推广许可

我同意通过以下方式接收罗德与施瓦茨提供的信息:

这意味着什么?

我同意,在网站Imprint中提到的Rohde & Schwarz GmbH & Co. KG和罗德与施瓦茨实体及分支机构 可出于营销和广告之目的(例如提供特价优惠和折扣促销信息)而通过选定渠道(电子邮件或邮政信件)与我联系并提供相关信息,包括但不限于测试与测量、安全通信、监测与网络测试、广播电视与媒体以及网络安全领域的产品和解决方案相关信息

您的权利

您可以随时发送电子邮件至 news@rohde-schwarz.com 撤销此同意声明,邮件主题注明“Unsubscribe”即可。此外,我们发送给您的每一封电子邮件中都含有电子邮件取消订阅链接。有关个人数据使用和撤销程序的详情,请参阅“隐私声明”

你的申请已提交,我们稍后会联系您。
An error has occurred, please try again later.