來源:https://www.cyber.nj.gov/alerts-advisories/ddos-attack-types-and-mitigation-strategies
https://us-cert.cisa.gov/sites/default/files/publications/DDoS%20Quick%20Guide.pdf
https://bdtechtalks.com/2020/09/19/top-5-ddos-attacks-in-history/
https://javapipe.com/blog/ddos-types/
https://www.globaldots.com/resources/blog/types-of-ddos-attacks/#:~:text=When%20it%20comes%20to%20measuring%20the%20DDoS%20attack,the%20magnitude%20is%20measured%20in%20bits%20per%20second.
在過去的幾個月里,NJCCIC注意到分布式拒絕服務(wù)(DDOS)攻擊的數(shù)量有了顯著的上升赡模,在這些攻擊中策橘,數(shù)千個被惡意軟件感染的系統(tǒng)被用來涌入組織的網(wǎng)絡(luò),從而阻止或削弱了目標(biāo)網(wǎng)絡(luò)族淮、系統(tǒng)或應(yīng)用程序的授權(quán)使用。在某些情況下,這些DDOS攻擊導(dǎo)致組織無法執(zhí)行關(guān)鍵的業(yè)務(wù)功能痪枫。
新冠肺炎疫情發(fā)生以來垛吗,許多組織轉(zhuǎn)向遠(yuǎn)程辦公凹髓。企業(yè)、學(xué)校甚至個人在工作和日常生活的各個方面都越來越依賴于在線服務(wù)怯屉。自今年3月以來蔚舀,NJCCIC發(fā)現(xiàn)各種各樣的網(wǎng)絡(luò)攻擊相應(yīng)增加,包括與新冠病毒相關(guān)的垃圾郵件活動和更險(xiǎn)惡的勒索軟件攻擊锨络。最近赌躺,學(xué)校系統(tǒng)成為DDOS攻擊的目標(biāo)。當(dāng)許多學(xué)校都在遠(yuǎn)程操作時(shí)羡儿,DDOS攻擊會使學(xué)校的在線資源無法操作礼患,學(xué)生、教師和管理員也無法使用掠归。然而缅叠,最近DDOS攻擊的上升并不局限于學(xué)校。許多私營和公共部門的組織也成為DDOS攻擊者的目標(biāo)虏冻。
DDOS攻擊的動機(jī)各不相同肤粱。針對電子商務(wù)網(wǎng)站和在線業(yè)務(wù)的DDOS威脅是一種常見的勒索策略,威脅者出于經(jīng)濟(jì)利益的動機(jī)而使用厨相。DDOS攻擊也是在勒索軟件案件中用來迫使立即付款的另一種策略;然而领曼,經(jīng)濟(jì)利益并不是唯一的動機(jī)。在某些情況下领铐,黑客主義悯森、網(wǎng)絡(luò)戰(zhàn)和報(bào)復(fù)是潛在的動機(jī)。一些復(fù)雜的威脅行動者會對一個組織進(jìn)行DDOS攻擊绪撵,以引起對DDOS攻擊的關(guān)注瓢姻,同時(shí)也會進(jìn)行其他未被發(fā)現(xiàn)的攻擊。另一方面音诈,DDOS攻擊可能以惡作劇的形式進(jìn)行幻碱,類似于拉響火警或打電話向?qū)W校發(fā)出炸彈威脅绎狭,以逃避考試。在某些情況下褥傍,DDOS攻擊是由于網(wǎng)絡(luò)設(shè)備或系統(tǒng)的錯誤配置造成的儡嘶,或者是意外的。無論是企業(yè)恍风、政府機(jī)構(gòu)還是學(xué)校蹦狂,DDOS攻擊的負(fù)面影響是真實(shí)存在的,而且還在不斷增長朋贬。因此凯楔,組織必須在其網(wǎng)絡(luò)安全計(jì)劃中包括DDOS攻擊預(yù)防和恢復(fù)。
一锦募、攻擊類型
有各種類型的DDOS攻擊可以對目標(biāo)組織造成破壞摆屯。在本文中,我們將攻擊類型組織為三組:容量攻擊(volumetric)糠亩、協(xié)議攻擊(protocol)和應(yīng)用程序攻擊(application)虐骑,同時(shí)承認(rèn)這三種類型之間的區(qū)別是模糊的。通常赎线,攻擊者會同時(shí)使用所有三種類型廷没,以確保他們的攻擊盡可能具有破壞性。
1.1容量攻擊
容量DDOS攻擊是最常見和最具破壞性的攻擊氛驮。容量攻擊用大量的網(wǎng)絡(luò)流量使網(wǎng)絡(luò)不堪重負(fù)腕柜,從而耗盡目標(biāo)組織的資源。在容量攻擊中矫废,攻擊者通常會使用大量被惡意軟件感染的系統(tǒng)——稱為機(jī)器人(bots)——來攻擊一個組織。UDP (User Datagram Protocol砰蠢,用戶數(shù)據(jù)報(bào)協(xié)議)和ICMP (Internet Control Message Protocol, Internet Control Message Protocol, Internet Control Message Protocol) floods是一種常見的進(jìn)行容量攻擊的手段蓖扑。UDP和ICMP是無連接協(xié)議,允許在不進(jìn)行完整性檢查的情況下快速傳輸數(shù)據(jù)台舱,不幸的是律杠,這使它們成為攻擊者的主要工具。容量攻擊通常也使用反射(reflection)和放大(?amplification)技術(shù)來覆蓋目標(biāo)網(wǎng)絡(luò)/服務(wù)竞惋。UDP容量攻擊的一種類型是網(wǎng)絡(luò)時(shí)間協(xié)議(NTP)反射和放大DDOS攻擊柜去,攻擊者利用數(shù)千機(jī)器人欺騙目標(biāo)系統(tǒng)的IP地址,同時(shí)向Internet上的合法NTP服務(wù)器發(fā)出NTP請求拆宛。結(jié)果是大量的流量從NTP服務(wù)器流向目標(biāo)系統(tǒng)嗓奢,超過目標(biāo)系統(tǒng)。
在容量攻擊中浑厚,更多的機(jī)器人和服務(wù)器被招募來攻擊一個給定的目標(biāo)股耽,確保幾乎任何網(wǎng)絡(luò)都不堪重負(fù)根盒。谷歌最近公布,2017年遭受了有史以來最大的DDOS攻擊——2.54Tbps物蝙。關(guān)于DDoS攻擊數(shù)量呈指數(shù)級增長的報(bào)告描繪了DDoS威脅的一幅清晰的畫面炎滞。由于容量攻擊使目標(biāo)網(wǎng)絡(luò)的帶寬飽和,它們通常以每秒比特(bps)來度量诬乞。
1.2協(xié)議攻擊
協(xié)議攻擊的目的是通過向給定的目標(biāo)網(wǎng)絡(luò)/服務(wù)發(fā)送大量連續(xù)的畸形連接請求來消耗其所有資源册赛。SYN flood是一種常見的協(xié)議攻擊。在兩臺計(jì)算機(jī)之間建立連接的普通三次握手中震嫉,客戶端計(jì)算機(jī)向主機(jī)發(fā)送一個SYN請求击奶。主機(jī)通過發(fā)送回SYN-ACK消息來確認(rèn)SYN請求,然后客戶端計(jì)算機(jī)通過發(fā)送ACK消息來確認(rèn)SYN-ACK以建立與主機(jī)的連接责掏。在SYN flood攻擊中柜砾,大量的SYN包被發(fā)送到目標(biāo)服務(wù)器上的每個端口,使用一個欺騙的IP地址换衬。主機(jī)響應(yīng)一個SYN- ack痰驱,但是因?yàn)樽畛醯腟YN包被欺騙了,所以客戶端沒有響應(yīng)瞳浦。最終担映,主機(jī)的端口會因?yàn)榘腴_放的連接而不堪重負(fù),因此叫潦,合法的連接請求將被拒絕蝇完。除了SYN flood攻擊外,還有許多其他類似的協(xié)議攻擊矗蕊,包括Ping of Death短蜕、Smurf DDOS等。協(xié)議攻擊會消耗防火墻傻咖、負(fù)載均衡器和服務(wù)器等網(wǎng)絡(luò)設(shè)備的處理資源朋魔,通常以每秒包數(shù)(pps)來衡量。
1.3應(yīng)用層攻擊
應(yīng)用程序攻擊的目標(biāo)是組織的web應(yīng)用程序卿操,攻擊者向該應(yīng)用程序發(fā)送大量看似合法的處理請求警检。這些攻擊要求應(yīng)用程序使用CPU和內(nèi)存資源,直到這些資源耗盡并且應(yīng)用程序無法響應(yīng)任何請求為止害淤。一個電子商務(wù)網(wǎng)站扇雕,向購物車中添加商品和結(jié)賬的過程在計(jì)算上是昂貴的。攻擊者使用大量并發(fā)請求來攻擊這些應(yīng)用程序進(jìn)程窥摄,可能耗盡目標(biāo)系統(tǒng)的資源并使服務(wù)器崩潰镶奉。應(yīng)用層攻擊通常以每秒請求數(shù)(rps)來衡量。
二、準(zhǔn)備和預(yù)防
任何擁有面向互聯(lián)網(wǎng)服務(wù)的組織都可能成為DDOS攻擊的目標(biāo)腮鞍。因此值骇,有一個事件響應(yīng)計(jì)劃來解釋針對您的組織的DDOS攻擊是至關(guān)重要的。事件響應(yīng)計(jì)劃的準(zhǔn)備階段包括為預(yù)防和準(zhǔn)備應(yīng)對攻擊而實(shí)施的所有活動和控制移国。通常吱瘩,對DDOS攻擊的響應(yīng)包括與您的互聯(lián)網(wǎng)服務(wù)提供商(ISP)或DDOS緩解服務(wù)提供商合作,以協(xié)助偏轉(zhuǎn)或清除針對您的網(wǎng)絡(luò)的DDOS流量迹缀。在任何攻擊之前與這些提供商建立關(guān)系將有助于您預(yù)防和快速響應(yīng)攻擊使碾。
為了減少攻擊的風(fēng)險(xiǎn),組織可以采取許多行動祝懂。這份清單雖然不全面票摇,但將為評估和管理風(fēng)險(xiǎn)提供指導(dǎo)。
(1)確保您的信息安全計(jì)劃包括容量和性能規(guī)劃策略和標(biāo)準(zhǔn)砚蓬,以便您的網(wǎng)絡(luò)矢门、系統(tǒng)和應(yīng)用程序滿足業(yè)務(wù)需求,并以減輕容量和性能限制風(fēng)險(xiǎn)的方式實(shí)現(xiàn)灰蛙。
(2)對面向互聯(lián)網(wǎng)的服務(wù)進(jìn)行分類祟剔,并對那些需要防范DDOS攻擊的服務(wù)進(jìn)行排序。
(3)確保網(wǎng)絡(luò)容量適宜摩梧。隨著向遠(yuǎn)程工作的轉(zhuǎn)變物延,組織正在使用更多的帶寬。您的組織的帶寬是否已經(jīng)增加仅父,以應(yīng)對這種擴(kuò)展的使用情況?網(wǎng)絡(luò)硬件是否能夠處理流量的增加?
(4)限制攻擊面叛薯。不要向互聯(lián)網(wǎng)公開不必要的端口或服務(wù),這會使它們成為潛在的目標(biāo)笙纤。大多數(shù)組織沒有必要向公共互聯(lián)網(wǎng)公開NTP耗溜。在路由器上丟棄流量,或者讓ISP從網(wǎng)絡(luò)上游丟棄流量粪糙。類似地强霎,如果沒有合法的業(yè)務(wù)需要,就放棄或限制分配給其他有風(fēng)險(xiǎn)的協(xié)議的帶寬蓉冈。需要考慮的風(fēng)險(xiǎn)協(xié)議包括Chargen、SMB轩触、ICMP寞酿、SSDP、rpcBind脱柱、Ripv1伐弹、CLDAP等。
(5)對所有網(wǎng)絡(luò)設(shè)備和服務(wù)器進(jìn)行軟件和固件更新榨为,并確保及時(shí)應(yīng)用安全補(bǔ)丁惨好。
(6)實(shí)現(xiàn)安全的編碼實(shí)踐以最小化風(fēng)險(xiǎn)并確保應(yīng)用程序的組件高效執(zhí)行煌茴。
(7)使用多個isp來提供冗余和/或分配負(fù)載。一些組織使用一個ISP提供面向公眾的網(wǎng)站和服務(wù)日川,而使用另一個ISP提供VPN和其他內(nèi)部業(yè)務(wù)功能蔓腐。
(8)如上所述,提前與ISP接觸龄句,了解他們可以提供哪些保護(hù)和補(bǔ)救幫助回论。
(9)考慮與DDOS緩解服務(wù)提供商簽訂合同,后者監(jiān)視并自動響應(yīng)針對您的資源的攻擊分歇。在使用此類服務(wù)時(shí)傀蓉,請確保充分了解其服務(wù)水平協(xié)議,其中包括檢測閾值和緩解時(shí)間职抡。