DDOS攻擊類型及防御策略

來源:https://www.cyber.nj.gov/alerts-advisories/ddos-attack-types-and-mitigation-strategies

https://us-cert.cisa.gov/sites/default/files/publications/DDoS%20Quick%20Guide.pdf

https://bdtechtalks.com/2020/09/19/top-5-ddos-attacks-in-history/

https://javapipe.com/blog/ddos-types/

https://www.globaldots.com/resources/blog/types-of-ddos-attacks/#:~:text=When%20it%20comes%20to%20measuring%20the%20DDoS%20attack,the%20magnitude%20is%20measured%20in%20bits%20per%20second.

在過去的幾個月里,NJCCIC注意到分布式拒絕服務(wù)(DDOS)攻擊的數(shù)量有了顯著的上升赡模,在這些攻擊中策橘,數(shù)千個被惡意軟件感染的系統(tǒng)被用來涌入組織的網(wǎng)絡(luò),從而阻止或削弱了目標(biāo)網(wǎng)絡(luò)族淮、系統(tǒng)或應(yīng)用程序的授權(quán)使用。在某些情況下,這些DDOS攻擊導(dǎo)致組織無法執(zhí)行關(guān)鍵的業(yè)務(wù)功能痪枫。

新冠肺炎疫情發(fā)生以來垛吗,許多組織轉(zhuǎn)向遠(yuǎn)程辦公凹髓。企業(yè)、學(xué)校甚至個人在工作和日常生活的各個方面都越來越依賴于在線服務(wù)怯屉。自今年3月以來蔚舀,NJCCIC發(fā)現(xiàn)各種各樣的網(wǎng)絡(luò)攻擊相應(yīng)增加,包括與新冠病毒相關(guān)的垃圾郵件活動和更險(xiǎn)惡的勒索軟件攻擊锨络。最近赌躺,學(xué)校系統(tǒng)成為DDOS攻擊的目標(biāo)。當(dāng)許多學(xué)校都在遠(yuǎn)程操作時(shí)羡儿,DDOS攻擊會使學(xué)校的在線資源無法操作礼患,學(xué)生、教師和管理員也無法使用掠归。然而缅叠,最近DDOS攻擊的上升并不局限于學(xué)校。許多私營和公共部門的組織也成為DDOS攻擊者的目標(biāo)虏冻。

DDOS攻擊的動機(jī)各不相同肤粱。針對電子商務(wù)網(wǎng)站和在線業(yè)務(wù)的DDOS威脅是一種常見的勒索策略,威脅者出于經(jīng)濟(jì)利益的動機(jī)而使用厨相。DDOS攻擊也是在勒索軟件案件中用來迫使立即付款的另一種策略;然而领曼,經(jīng)濟(jì)利益并不是唯一的動機(jī)。在某些情況下领铐,黑客主義悯森、網(wǎng)絡(luò)戰(zhàn)和報(bào)復(fù)是潛在的動機(jī)。一些復(fù)雜的威脅行動者會對一個組織進(jìn)行DDOS攻擊绪撵,以引起對DDOS攻擊的關(guān)注瓢姻,同時(shí)也會進(jìn)行其他未被發(fā)現(xiàn)的攻擊。另一方面音诈,DDOS攻擊可能以惡作劇的形式進(jìn)行幻碱,類似于拉響火警或打電話向?qū)W校發(fā)出炸彈威脅绎狭,以逃避考試。在某些情況下褥傍,DDOS攻擊是由于網(wǎng)絡(luò)設(shè)備或系統(tǒng)的錯誤配置造成的儡嘶,或者是意外的。無論是企業(yè)恍风、政府機(jī)構(gòu)還是學(xué)校蹦狂,DDOS攻擊的負(fù)面影響是真實(shí)存在的,而且還在不斷增長朋贬。因此凯楔,組織必須在其網(wǎng)絡(luò)安全計(jì)劃中包括DDOS攻擊預(yù)防和恢復(fù)。

一锦募、攻擊類型

有各種類型的DDOS攻擊可以對目標(biāo)組織造成破壞摆屯。在本文中,我們將攻擊類型組織為三組:容量攻擊(volumetric)糠亩、協(xié)議攻擊(protocol)和應(yīng)用程序攻擊(application)虐骑,同時(shí)承認(rèn)這三種類型之間的區(qū)別是模糊的。通常赎线,攻擊者會同時(shí)使用所有三種類型廷没,以確保他們的攻擊盡可能具有破壞性。

1.1容量攻擊

容量DDOS攻擊是最常見和最具破壞性的攻擊氛驮。容量攻擊用大量的網(wǎng)絡(luò)流量使網(wǎng)絡(luò)不堪重負(fù)腕柜,從而耗盡目標(biāo)組織的資源。在容量攻擊中矫废,攻擊者通常會使用大量被惡意軟件感染的系統(tǒng)——稱為機(jī)器人(bots)——來攻擊一個組織。UDP (User Datagram Protocol砰蠢,用戶數(shù)據(jù)報(bào)協(xié)議)和ICMP (Internet Control Message Protocol, Internet Control Message Protocol, Internet Control Message Protocol) floods是一種常見的進(jìn)行容量攻擊的手段蓖扑。UDP和ICMP是無連接協(xié)議,允許在不進(jìn)行完整性檢查的情況下快速傳輸數(shù)據(jù)台舱,不幸的是律杠,這使它們成為攻擊者的主要工具。容量攻擊通常也使用反射(reflection)和放大(?amplification)技術(shù)來覆蓋目標(biāo)網(wǎng)絡(luò)/服務(wù)竞惋。UDP容量攻擊的一種類型是網(wǎng)絡(luò)時(shí)間協(xié)議(NTP)反射和放大DDOS攻擊柜去,攻擊者利用數(shù)千機(jī)器人欺騙目標(biāo)系統(tǒng)的IP地址,同時(shí)向Internet上的合法NTP服務(wù)器發(fā)出NTP請求拆宛。結(jié)果是大量的流量從NTP服務(wù)器流向目標(biāo)系統(tǒng)嗓奢,超過目標(biāo)系統(tǒng)。

Acunetix

在容量攻擊中浑厚,更多的機(jī)器人和服務(wù)器被招募來攻擊一個給定的目標(biāo)股耽,確保幾乎任何網(wǎng)絡(luò)都不堪重負(fù)根盒。谷歌最近公布,2017年遭受了有史以來最大的DDOS攻擊——2.54Tbps物蝙。關(guān)于DDoS攻擊數(shù)量呈指數(shù)級增長的報(bào)告描繪了DDoS威脅的一幅清晰的畫面炎滞。由于容量攻擊使目標(biāo)網(wǎng)絡(luò)的帶寬飽和,它們通常以每秒比特(bps)來度量诬乞。


Google

1.2協(xié)議攻擊

協(xié)議攻擊的目的是通過向給定的目標(biāo)網(wǎng)絡(luò)/服務(wù)發(fā)送大量連續(xù)的畸形連接請求來消耗其所有資源册赛。SYN flood是一種常見的協(xié)議攻擊。在兩臺計(jì)算機(jī)之間建立連接的普通三次握手中震嫉,客戶端計(jì)算機(jī)向主機(jī)發(fā)送一個SYN請求击奶。主機(jī)通過發(fā)送回SYN-ACK消息來確認(rèn)SYN請求,然后客戶端計(jì)算機(jī)通過發(fā)送ACK消息來確認(rèn)SYN-ACK以建立與主機(jī)的連接责掏。在SYN flood攻擊中柜砾,大量的SYN包被發(fā)送到目標(biāo)服務(wù)器上的每個端口,使用一個欺騙的IP地址换衬。主機(jī)響應(yīng)一個SYN- ack痰驱,但是因?yàn)樽畛醯腟YN包被欺騙了,所以客戶端沒有響應(yīng)瞳浦。最終担映,主機(jī)的端口會因?yàn)榘腴_放的連接而不堪重負(fù),因此叫潦,合法的連接請求將被拒絕蝇完。除了SYN flood攻擊外,還有許多其他類似的協(xié)議攻擊矗蕊,包括Ping of Death短蜕、Smurf DDOS等。協(xié)議攻擊會消耗防火墻傻咖、負(fù)載均衡器和服務(wù)器等網(wǎng)絡(luò)設(shè)備的處理資源朋魔,通常以每秒包數(shù)(pps)來衡量。


Imperva???

1.3應(yīng)用層攻擊

應(yīng)用程序攻擊的目標(biāo)是組織的web應(yīng)用程序卿操,攻擊者向該應(yīng)用程序發(fā)送大量看似合法的處理請求警检。這些攻擊要求應(yīng)用程序使用CPU和內(nèi)存資源,直到這些資源耗盡并且應(yīng)用程序無法響應(yīng)任何請求為止害淤。一個電子商務(wù)網(wǎng)站扇雕,向購物車中添加商品和結(jié)賬的過程在計(jì)算上是昂貴的。攻擊者使用大量并發(fā)請求來攻擊這些應(yīng)用程序進(jìn)程窥摄,可能耗盡目標(biāo)系統(tǒng)的資源并使服務(wù)器崩潰镶奉。應(yīng)用層攻擊通常以每秒請求數(shù)(rps)來衡量。

二、準(zhǔn)備和預(yù)防

任何擁有面向互聯(lián)網(wǎng)服務(wù)的組織都可能成為DDOS攻擊的目標(biāo)腮鞍。因此值骇,有一個事件響應(yīng)計(jì)劃來解釋針對您的組織的DDOS攻擊是至關(guān)重要的。事件響應(yīng)計(jì)劃的準(zhǔn)備階段包括為預(yù)防和準(zhǔn)備應(yīng)對攻擊而實(shí)施的所有活動和控制移国。通常吱瘩,對DDOS攻擊的響應(yīng)包括與您的互聯(lián)網(wǎng)服務(wù)提供商(ISP)或DDOS緩解服務(wù)提供商合作,以協(xié)助偏轉(zhuǎn)或清除針對您的網(wǎng)絡(luò)的DDOS流量迹缀。在任何攻擊之前與這些提供商建立關(guān)系將有助于您預(yù)防和快速響應(yīng)攻擊使碾。

為了減少攻擊的風(fēng)險(xiǎn),組織可以采取許多行動祝懂。這份清單雖然不全面票摇,但將為評估和管理風(fēng)險(xiǎn)提供指導(dǎo)。

(1)確保您的信息安全計(jì)劃包括容量和性能規(guī)劃策略和標(biāo)準(zhǔn)砚蓬,以便您的網(wǎng)絡(luò)矢门、系統(tǒng)和應(yīng)用程序滿足業(yè)務(wù)需求,并以減輕容量和性能限制風(fēng)險(xiǎn)的方式實(shí)現(xiàn)灰蛙。

(2)對面向互聯(lián)網(wǎng)的服務(wù)進(jìn)行分類祟剔,并對那些需要防范DDOS攻擊的服務(wù)進(jìn)行排序。

(3)確保網(wǎng)絡(luò)容量適宜摩梧。隨著向遠(yuǎn)程工作的轉(zhuǎn)變物延,組織正在使用更多的帶寬。您的組織的帶寬是否已經(jīng)增加仅父,以應(yīng)對這種擴(kuò)展的使用情況?網(wǎng)絡(luò)硬件是否能夠處理流量的增加?

(4)限制攻擊面叛薯。不要向互聯(lián)網(wǎng)公開不必要的端口或服務(wù),這會使它們成為潛在的目標(biāo)笙纤。大多數(shù)組織沒有必要向公共互聯(lián)網(wǎng)公開NTP耗溜。在路由器上丟棄流量,或者讓ISP從網(wǎng)絡(luò)上游丟棄流量粪糙。類似地强霎,如果沒有合法的業(yè)務(wù)需要,就放棄或限制分配給其他有風(fēng)險(xiǎn)的協(xié)議的帶寬蓉冈。需要考慮的風(fēng)險(xiǎn)協(xié)議包括Chargen、SMB轩触、ICMP寞酿、SSDP、rpcBind脱柱、Ripv1伐弹、CLDAP等。

(5)對所有網(wǎng)絡(luò)設(shè)備和服務(wù)器進(jìn)行軟件和固件更新榨为,并確保及時(shí)應(yīng)用安全補(bǔ)丁惨好。

(6)實(shí)現(xiàn)安全的編碼實(shí)踐以最小化風(fēng)險(xiǎn)并確保應(yīng)用程序的組件高效執(zhí)行煌茴。

(7)使用多個isp來提供冗余和/或分配負(fù)載。一些組織使用一個ISP提供面向公眾的網(wǎng)站和服務(wù)日川,而使用另一個ISP提供VPN和其他內(nèi)部業(yè)務(wù)功能蔓腐。

(8)如上所述,提前與ISP接觸龄句,了解他們可以提供哪些保護(hù)和補(bǔ)救幫助回论。

(9)考慮與DDOS緩解服務(wù)提供商簽訂合同,后者監(jiān)視并自動響應(yīng)針對您的資源的攻擊分歇。在使用此類服務(wù)時(shí)傀蓉,請確保充分了解其服務(wù)水平協(xié)議,其中包括檢測閾值和緩解時(shí)間职抡。

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 序言:七十年代末葬燎,一起剝皮案震驚了整個濱河市,隨后出現(xiàn)的幾起案子缚甩,更是在濱河造成了極大的恐慌谱净,老刑警劉巖,帶你破解...
    沈念sama閱讀 222,865評論 6 518
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件蹄胰,死亡現(xiàn)場離奇詭異岳遥,居然都是意外死亡,警方通過查閱死者的電腦和手機(jī)裕寨,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 95,296評論 3 399
  • 文/潘曉璐 我一進(jìn)店門浩蓉,熙熙樓的掌柜王于貴愁眉苦臉地迎上來,“玉大人宾袜,你說我怎么就攤上這事捻艳。” “怎么了庆猫?”我有些...
    開封第一講書人閱讀 169,631評論 0 364
  • 文/不壞的土叔 我叫張陵认轨,是天一觀的道長。 經(jīng)常有香客問我月培,道長嘁字,這世上最難降的妖魔是什么? 我笑而不...
    開封第一講書人閱讀 60,199評論 1 300
  • 正文 為了忘掉前任杉畜,我火速辦了婚禮纪蜒,結(jié)果婚禮上,老公的妹妹穿的比我還像新娘此叠。我一直安慰自己纯续,他們只是感情好,可當(dāng)我...
    茶點(diǎn)故事閱讀 69,196評論 6 398
  • 文/花漫 我一把揭開白布。 她就那樣靜靜地躺著猬错,像睡著了一般窗看。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發(fā)上倦炒,一...
    開封第一講書人閱讀 52,793評論 1 314
  • 那天显沈,我揣著相機(jī)與錄音,去河邊找鬼析校。 笑死构罗,一個胖子當(dāng)著我的面吹牛,可吹牛的內(nèi)容都是我干的智玻。 我是一名探鬼主播遂唧,決...
    沈念sama閱讀 41,221評論 3 423
  • 文/蒼蘭香墨 我猛地睜開眼,長吁一口氣:“原來是場噩夢啊……” “哼吊奢!你這毒婦竟也來了盖彭?” 一聲冷哼從身側(cè)響起,我...
    開封第一講書人閱讀 40,174評論 0 277
  • 序言:老撾萬榮一對情侶失蹤页滚,失蹤者是張志新(化名)和其女友劉穎召边,沒想到半個月后,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體裹驰,經(jīng)...
    沈念sama閱讀 46,699評論 1 320
  • 正文 獨(dú)居荒郊野嶺守林人離奇死亡隧熙,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 38,770評論 3 343
  • 正文 我和宋清朗相戀三年,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了幻林。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片贞盯。...
    茶點(diǎn)故事閱讀 40,918評論 1 353
  • 序言:一個原本活蹦亂跳的男人離奇死亡,死狀恐怖沪饺,靈堂內(nèi)的尸體忽然破棺而出躏敢,到底是詐尸還是另有隱情,我是刑警寧澤整葡,帶...
    沈念sama閱讀 36,573評論 5 351
  • 正文 年R本政府宣布件余,位于F島的核電站,受9級特大地震影響遭居,放射性物質(zhì)發(fā)生泄漏啼器。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 42,255評論 3 336
  • 文/蒙蒙 一俱萍、第九天 我趴在偏房一處隱蔽的房頂上張望镀首。 院中可真熱鬧,春花似錦鼠次、人聲如沸。這莊子的主人今日做“春日...
    開封第一講書人閱讀 32,749評論 0 25
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽成翩。三九已至,卻和暖如春赦役,著一層夾襖步出監(jiān)牢的瞬間麻敌,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 33,862評論 1 274
  • 我被黑心中介騙來泰國打工掂摔, 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留术羔,地道東北人。 一個月前我還...
    沈念sama閱讀 49,364評論 3 379
  • 正文 我出身青樓乙漓,卻偏偏與公主長得像级历,于是被迫代替她去往敵國和親。 傳聞我的和親對象是個殘疾皇子叭披,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 45,926評論 2 361

推薦閱讀更多精彩內(nèi)容