什么是分布式拒绝服务攻击,如何处理?

最近,信息技术(IT)行业的分布式拒绝服务(分布式拒绝服务)攻击持续增加. 年前, 分布式拒绝服务攻击被认为是新手攻击者的小麻烦,他们只是为了好玩才这么做的,而且这种攻击相对容易缓解. 不幸的是,这种情况已经不复存在了. 分布式拒绝服务攻击现在是一种复杂的活动,在很多情况下, 大企业.

InfoSecurity杂志报道 2.2021年第一季度发生900万次分布式拒绝服务攻击,比2020年同期增长31%.

与2020年同期相比,2021年第一季度分布式拒绝服务攻击增加了31%,达到2次.900万年的袭击

与2020年同期相比,2021年第一季度分布式拒绝服务攻击增加了31%,达到2次.900万年的袭击

近年来,我们看到了一个 指数增加 在分布式拒绝服务攻击中,这些攻击使企业在相当长的时间内丧失能力.

  • 2020年2月, 亚马逊网络服务公司(Amazon Web 服务s, AWS)遭受了一次分布式拒绝服务攻击,这一复杂的攻击足以让其事件响应团队忙上好几天,也影响了全球的客户.
  • 2021年2月, EXMO加密货币交易所遭到分布式拒绝服务攻击,导致该组织瘫痪近5个小时.
  • 最近,澳大利亚经历了一次重大的, 持续的、国家支持的分布式拒绝服务攻击.
  • 比利时也成为了针对该国议会的分布式拒绝服务攻击的受害者, 警察服务和大学.

每天都有数十万未命名、未登记但成功的分布式拒绝服务攻击继续发生. 事实上,这些攻击是最有效和代价最大的. 分布式拒绝服务上升趋势 承诺继续在美国,对具备减灾技能的IT专业人员的需求很大.

疯狂的IT战争:什么是分布式拒绝服务攻击?

尽管分布式拒绝服务攻击变得越来越普遍,但它可能相当先进,很难对付. 但究竟什么是分布式拒绝服务攻击,分布式拒绝服务代表什么?

分布式拒绝服务是分布式拒绝服务的简称. 当威胁行动者使用多个资源时,分布式拒绝服务攻击就会发生, 攻击一个组织的在线操作的远程地点. 通常,分布式拒绝服务攻击的重点是产生操纵攻击 网络设备和服务的默认或甚至正常工作方式(例如.g.、路由器、命名服务或缓存服务). 事实上,这是主要的问题.

复杂的分布式拒绝服务攻击并不一定要利用默认设置或打开继电器. 它们利用了正常的行为,并利用了当前设备上运行的协议最初设计的运行方式. 就像社会工程师操纵人类沟通的默认方式一样, 分布式拒绝服务攻击者会操纵我们所依赖和信任的网络服务的正常工作.

当分布式拒绝服务攻击发生时, 目标组织经历了一个或多个服务的严重中断,因为攻击用HTTP请求和流量淹没了它们的资源, 拒绝合法用户访问. 分布式拒绝服务攻击 是我们这个时代的四大网络安全威胁之一吗 社会工程, ransomware 供应链攻击.

4大网络安全威胁:社会工程、分布式拒绝服务攻击、供应链攻击、勒索软件

现代战争:避免对分布式拒绝服务攻击的混淆

人们很容易将分布式拒绝服务攻击与其他网络威胁混淆起来. 事实上, IT专业人士甚至网络安全专业人士对分布式拒绝服务攻击的工作原理都非常缺乏了解.

在分布式拒绝服务攻击中, 网络罪犯利用发生在网络设备和服务器之间的正常行为, 经常 针对网络设备 建立与互联网的连接. 因此,攻击者的攻击目标集中在网络的边缘设备(如网络设备)上.g.如路由器、交换机),而不是单独的服务器. 分布式拒绝服务攻击会淹没网络管道(带宽)或提供该服务的设备 的带宽.

这里有一个有用的类比:假设有几个人同时给你打电话,所以你不能打电话或接电话,也不能用你的电话做其他事情. 这个问题一直存在,直到您通过您的提供商阻止这些调用为止.

注意,你并没有对你的移动设备进行修复、升级或其他调整. 而不是, 你可以通过使用手机提供商的屏蔽服务来修复攻击者和你的手机之间的连接.

在分布式拒绝服务攻击中也会发生类似的事情. 而不是修改正在被攻击的资源, 您可以在网络和威胁参与者之间应用修复程序(也称为缓解程序).

网络攻击者关注的是边缘网络设备,而不是单个服务器.
 
 

分布式拒绝服务 vs. DoS攻击:有什么区别?

重要的是要避免混淆分布式拒绝服务(分布式拒绝服务)攻击和DoS(拒绝服务)攻击. 虽然这两种攻击只有一个词的区别,但它们在本质上有很大的不同.

  • 严格定义, 一个典型的分布式拒绝服务攻击操纵在攻击者和受害者之间的许多分布式网络设备,使其在不知情的情况下发动攻击, 利用合法的行为.
  • 传统的DoS攻击不使用多个, 分布式设备, 它也不关注攻击者和组织之间的设备. 这些攻击也往往不会使用多个互联网设备.

描述DoS攻击和分布式拒绝服务攻击的异同的维恩图

典型的DoS攻击包括以下几种:

  • 单一SYN洪水: 当攻击者使用单个系统进行SYN报文的flood攻击时,就会出现这种情况, 操作典型的TCP三次握手. 例如,某人可能会使用Kali Linux生成SYN flood 计算机不是真正的分布式拒绝服务攻击,因为攻击只来自一个设备. 即使攻击者使用IP地址欺骗,也会出现这种情况. 真正的分布式拒绝服务攻击是由网络级设备产生的,针对网络级设备. 换句话说,您使用多个路由器或Memcached服务器来攻击一个网络.
  • “死亡之平”: 年前, 一些网络驱动程序包含有缺陷的代码,如果它收到包含某些参数的ICMP包,就会导致系统崩溃.
  • 懒猴攻击: 懒猴攻击通常被称为分布式拒绝服务攻击, 但是因为攻击的目标是特定的服务器(在本例中, a Web服务器),通常不使用中间网络设备, 这是一种典型的传统DoS攻击.

上述每一种DoS攻击都利用特定主机的软件或内核弱点. 要解决这个问题,您可以修复主机,并/或过滤掉流量. 如果您可以升级服务器以减轻攻击,那么它就不符合资格 是一种传统的分布式拒绝服务攻击.

请记住,在分布式拒绝服务攻击中,威胁主体采用了消耗资源的策略. 这种策略包括使用看似合法的请求来压倒实际上合法的系统, 事实上, 不合法的, 导致系统问题.

攻击策略:分布式拒绝服务攻击类型

分布式拒绝服务攻击有三种类型.

1. 应用程序层

应用层攻击的目标是提供服务的实际软件, 如Apache Server, 互联网上最流行的网络服务器, 或任何通过 云提供商. 这是分布式拒绝服务攻击最常见的形式,通常被称为第七层攻击, 之后的应用层中相应的编号 OSI / RM.

2. 协议

当攻击消耗关键服务器和基于网络的设备的资源时,就会发生这种情况, 例如服务器的操作系统或防火墙. 当这些资源不堪重负时,平衡器就会被加载. 协议攻击通常包括 在OSI / RM(网络和传输层)的第三层和第四层操作流量, 分别). 这是分布式拒绝服务攻击的第二种常见形式.

3. 体积

当攻击消耗关键服务器和基于网络的设备的资源时,就会发生这种情况, 例如服务器的操作系统或防火墙. 当这些资源不堪重负时,平衡器就会被加载. 协议攻击通常包括 在OSI / RM(网络和传输层)的第三层和第四层操作流量, 分别). 这是分布式拒绝服务攻击的第二种常见形式.

在某些情况下, IT和网络安全专业人士认为,基于协议和应用程序的分布式拒绝服务攻击属于一类.

收集情报:为什么你需要知道分布式拒绝服务攻击

分布式拒绝服务攻击已经变得越来越成问题,IT专业人士需要做好准备.

  • 从2020年到2021年,第7层攻击一直在增加, 根据云Flare.
  • 2020年第一季度,容量超过100gb /s的分布式拒绝服务攻击数量增加了近10倍(967%), 根据Comparitech.
  • 纯粹规模的体积攻击已经增加到压倒性的比例. 云Flare也报道 500mbps的分布式拒绝服务攻击已经成为容量上的标准 攻击.
  • 分布式拒绝服务攻击正变得越来越普遍. In 2021, ZDNet报道 分布式拒绝服务攻击在前两年至少增长了154%.
  • 攻击变得更加复杂. 攻击者将分布式拒绝服务和其他类型的攻击结合起来, 包括ransomware.
  • 分布式拒绝服务攻击者利用先进的人工智能(AI)和机器学习方法进行攻击. 例如, 分布式拒绝服务僵尸网络应用机器学习的方法进行复杂的网络侦察,以发现 最脆弱的系统. 它们还使用人工智能来重新配置自己,以挫败检测并改变攻击策略. 现代攻击很可能表现为防御者和攻击者让ai系统互相攻击.
  • 分布式拒绝服务攻击者采用了混合攻击策略. 他们将各种攻击方法与社会工程相结合, 窃取证件和人身攻击, 这使得实际的分布式拒绝服务攻击只是一个多方面的因素.
攻击平均500mbps, 超过100gb /s的分布式拒绝服务攻击增加了967%, 分布式拒绝服务攻击增加了154%

战术战争:分布式拒绝服务攻击者如何躲避检测

分布式拒绝服务攻击被认为是狡猾的,因此很难确定. 它们如此难以捉摸的原因之一是难以确定其来源. 威胁行动者通常采用三种主要策略来实施分布式拒绝服务攻击:

1. 欺骗

缺省情况下,IPv4和IPv6不具备对流量进行十博客户端网站和跟踪的能力. 特别是IPv4网络,源地址和目的地址很容易被欺骗. 分布式拒绝服务攻击者利用这个问题通过伪造数据包 伪造源地址. 作为一个结果, 攻击者有可能通过向受害者主机发送数百万个响应来欺骗合法设备响应这些数据包,而这些主机实际上从未在一开始就发出过请求.

2. 反射

攻击者通常想要隐藏他们参与分布式拒绝服务攻击的任何痕迹. 要做到这一点, 它们操纵Internet服务的默认行为,从而使服务有效地隐藏实际的攻击者. 这些类型的攻击中经常使用的服务 包括成千上万的域名系统(DNS), NTP (Network Time 协议)和SNMP (Simple Network Management)服务器. 这是分布式拒绝服务攻击策略吸引攻击者的主要原因之一. 互联网不仅提供服务 交通, 但它们也会让防御者更难追踪攻击的源头,因为大多数服务器都没有记录使用过它们的服务的详细日志.

3. 放大

放大是一种策略,让分布式拒绝服务攻击者使用源乘数产生大量的流量,然后可以针对受害者主机. 放大攻击并不使用僵尸网络,它只是一种允许攻击者使用的策略 发送一个伪造的数据包,然后骗一个合法的服务发送数百个, 如果不是数以千计, 对受害网络或服务器的回复.

了解分布式拒绝服务攻击使用正常的互联网操作来进行恶作剧是非常重要的. 这些设备不一定是配置错误的, 他们的行为实际上是他们应该做的. 攻击者只是 找到了一种方法来利用这种行为并操纵它来进行分布式拒绝服务攻击.

分布式拒绝服务攻击示例图

此外,网络设备和服务常常在不知情的情况下成为分布式拒绝服务攻击的参与者. 这三种策略利用了全球网络资源的默认行为. 这些资源包括:

  • 路由器
  • 开关
  • 防火墙
  • 负载平衡器
  • 缓存服务器
  • 边网络设备
  • 移动基站(含4G、5G)

战斗持续时间:分布式拒绝服务攻击持续多长时间?

分布式拒绝服务攻击的长度和复杂程度差异很大. 分布式拒绝服务攻击的时间可以很长,也可以很短:

  • 长期的攻击: 持续数小时或数天的攻击被认为是长期攻击. 例如,针对AWS的分布式拒绝服务攻击造成了三天的中断,最后才得以缓解.
  • 爆炸攻击: 这些分布式拒绝服务攻击时间很短,只持续1分钟甚至几秒钟.

不要被欺骗. 尽管攻击速度非常快,但爆炸攻击实际上具有极大的破坏性. 随着物联网设备和日益强大的计算设备的出现, 它有可能产生更多的流量比 以往任何时候. 因此,攻击者可以在很短的时间内创建更大的流量. 突发的分布式拒绝服务攻击对攻击者来说通常是有利的,因为它更难以追踪.

技术战争:僵尸网络和分布式拒绝服务攻击

僵尸网络是一种庞大的计算机网络,可以用来发动分布式拒绝服务攻击. 它们通常由被攻破的计算机组成.g., 物联网设备、服务器、工作站、 路由器等.),或者由中央服务器控制的僵尸.

攻击者并不一定需要僵尸网络来进行分布式拒绝服务攻击. 威胁行动者可以简单地操纵互联网上数以万计的网络设备,这些设备要么配置错误,要么按设计的方式运行.

然而,这很重要 了解如何发生基于僵尸网络的分布式拒绝服务攻击.

 

一个更复杂的数字敌人:分布式拒绝服务攻击的演变

网络安全的现实之一是,大多数攻击者都是有一定才能的人,他们知道如何操纵特定的网络条件或情况. 尽管经常有关于高级持续性威胁的讨论 (APT)和越来越复杂的黑客,现实往往要平凡得多.

例如,大多数分布式拒绝服务攻击者只是简单地找到一个特定的协议. 他们将发现,他们可以操纵传输控制协议(TCP)握手来创建SYN包或特定类型服务器的flood攻击, 比如记忆 缓存守护进程(通常称为“Memcached”,表示内存缓存守护进程). Memcached服务是一种合法的服务,经常用来帮助提高网络应用程序的速度. 攻击者经常利用这些Memcached实现 没有得到适当的保护,甚至那些操作正常的.

攻击者还发现,他们可以入侵物联网设备, 比如网络摄像头或婴儿监视器. 但是今天,攻击者得到了更多的帮助. 最近的进步带来了具有前所未有潜力的人工智能和连接能力. 和合法 系统管理员, 攻击者现在有语音识别功能了, 机器学习和数字路线图,可以让他们操纵家庭或办公室的集成设备, 比如智能恒温器, 家电和家庭安全系统.

攻击方案:基于僵尸网络的分布式拒绝服务攻击剖析

分布式拒绝服务流量有很多不同的种类. 在僵尸网络攻击的情况下, 分布式拒绝服务威胁参与者使用僵尸网络来帮助协调攻击. 了解流量的类型将有助于选择主动识别措施 和缓解. 点击红色加号可以了解更多关于每种分布式拒绝服务流量的信息.

1. 命令与控制(C&C)

僵尸网络管理员, 或者一个牧人, 使用一个中央服务器或服务器网络来控制成千上万的僵尸网络成员. 每当一个牧人发出一个命令来控制僵尸网络时,这被称为命令与控制(C&C) 交通. 实际的管理员通常远离僵尸网络或C&C服务器,网络流量通常是欺骗的,往往使检测困难. C&C操作员然后发出命令来操纵网络服务 以及创建分布式拒绝服务攻击的设备.

2. 协调

最有效的分布式拒绝服务攻击是高度协调的. 关于协同攻击,最好的类比是将分布式拒绝服务僵尸网络比作一群火蚁. 当火蚁群决定进攻时,它们首先要做好准备 对这次袭击. 在没有明显警告的情况下听从单一指令行事, 它们等待信号,然后同时行动.

3. 报警/心跳交通

当一个被破坏的系统调用C&C服务器,据说是信标. 在僵尸网络成员和它的控制器之间传递的流量通常具有特定的, 独特的模式和行为. 因此,这种可能性很小 以便安全分析师识别这些流量,并将其作为一个特征来禁用分布式拒绝服务攻击.

4. 攻击流量

  • 第七层: 许多现代基于僵尸网络的分布式拒绝服务攻击使用GET和POST流量的HTTP flood攻击组织设备.
  • 协议为基础的攻击: 如上所述,这些攻击包括操纵各种协议,包括TCP、UDP和ICMP.
  • 放大: 分布式拒绝服务攻击者经常使用僵尸网络来识别和攻击那些有助于产生大量流量的基于互联网的资源.
  • 反映: 当威胁行动者使用一个或一系列系统来有效地隐藏攻击源时,就会发生反射攻击.

5. 操作技术(OT) /物联网

  • OT: 对OT的攻击涉及具有编程和与之关联的IP地址的物理项目. 这可能是用来控制电网的设备, 管道, 汽车, 无人机和机器人.
  • 物联网: 物联网设备包含可以相互通信或集成的独立系统. 一些例子包括视频门铃, 智能恒温器, 聪明的手表, 启用ip的灯泡和打印机.

6. 不寻常的交通

非典型流量包括使用反射和放大等策略, 通常是在同一时间.

7. 多重向量

现代分布式拒绝服务攻击结合了不同的攻击策略, 包括第七层的使用, 体积法,甚至看似不相关的方法, 比如勒索软件和恶意软件. 事实上,这三种攻击类型已经成为一种三重攻击 在分布式拒绝服务攻击世界中变得更加突出.

C的图解&C和心跳流量
 
 

组装武器:了解分布式拒绝服务攻击如何工作的工具

分布式拒绝服务攻击有多种形式,并不断演变成各种攻击策略. It专业人员必须具备攻击如何工作的知识.

以下三种模型可以帮助我们深入了解分布式拒绝服务攻击的内部工作原理:

  • 洛克希德·马丁公司的网络杀伤链: 用于提供攻击策略的框架,该模型概述了7个步骤 黑客可能会进行长期持续的分布式拒绝服务攻击. 这个模型没有考虑到僵尸网络对系统的危害.
  • 斜接丙氨酸&CK模型: 该模型描述了真实世界的攻击,并提供了已知的对抗战术和技术的知识基础,以帮助IT专业人士分析和预防 未来的事件. 这个模型对于那些希望防范分布式拒绝服务攻击的个人来说特别有用,因为它允许您分析攻击者并确定他们的策略.
  • 入侵分析的菱形模型: 钻石模型帮助组织权衡对手的能力和能力 正如十博体育客户端博客中讨论的那样 三大网络安全模式. 尽管已经创建了钻石模型 为了模拟实际的入侵,它对于识别分布式拒绝服务攻击也很有用.

作为IT专业人士, 了解如何处理分布式拒绝服务攻击是至关重要的,因为随着时间的推移,大多数组织都必须管理一种或另一种攻击. 安全分析师和威胁猎人经常使用ATT&CK模型和斜接丙氨酸&CK 导航器,以帮助确定条件,允许分布式拒绝服务攻击特别成功.

主要攻击简史:分布式拒绝服务举例

近年来,分布式拒绝服务攻击的数量已经非常庞大. 让我们先来看看一些主要的分布式拒绝服务攻击, 它们背后的动机以及它们对数字世界的持久影响. 点击 红色加号是为了了解更多关于这些分布式拒绝服务攻击的信息.

1. 爱沙尼亚:2007年4月27日

针对爱沙尼亚的分布式拒绝服务攻击是为了回应在政治上存在分歧的军事公墓纪念碑的移动. 要讲俄语的爱沙尼亚人, 这座雕像象征着纳粹的解放, 而是爱沙尼亚人, 纪念碑象征着 苏联压迫. 俄罗斯的爱沙尼亚人开始暴乱,许多人公开表示愤怒. 4月27日那一周,接连发生了一系列网络攻击,其中大部分是分布式拒绝服务攻击. 个人使用ping洪水和僵尸网络发送垃圾邮件并获取 多家金融机构、政府部门和媒体机构倒闭. 这种攻击仍然被认为是迄今为止最复杂的攻击之一,是国营分布式拒绝服务攻击的一个可靠的例子.

2. 格鲁吉亚共和国:2008年7月20日

In 2008, 格鲁吉亚共和国遭受了大规模的分布式拒绝服务攻击, 就在被俄罗斯入侵的几周前. 这次攻击似乎是针对格鲁吉亚总统的,摧毁了几个政府网站. 后来人们相信 这些攻击企图削弱与格鲁吉亚同情者沟通的努力. 此后不久,格鲁吉亚成为俄罗斯入侵的受害者. 这次攻击被认为是有组织的网络攻击的典型案例 与物理战. 世界各地的网络安全专家和军事组织都在研究它,以了解数字攻击如何与物理攻击协同工作.

3. Spamhaus: 2013年3月18日

臭名昭著的“差点毁了互联网的攻击”,“Spamhaus事件是, 当时, 这是互联网历史上最大的分布式拒绝服务攻击. 这一攻击是在一个名为Cyberbunk的组织被加入黑名单后引发的 Spamhaus的. 为了报复, 该组织的目标是反垃圾邮件组织,该组织正在通过分布式拒绝服务攻击来减少他们目前的垃圾邮件工作,该攻击最终增长到300 Gbps的数据流.

这次攻击如此令人难堪,以至于云flare都被打了下来, 一家旨在打击这些攻击的网络安全公司, 在一段短暂的时间里.

4. 占领中环:2014年6月

“占领中环”期间发生的分布式拒绝服务攻击是为了削弱2014年发生在香港的民主抗议活动. 苹果日报(Apple Daily)和PopVote这两家独立的新闻网站以发布支持苹果的内容而闻名 支持民主的团体.

比Spamhaus攻击大得多的“占领中心”将数据流推到了500gbps. 这种攻击能够通过将垃圾数据包伪装成合法流量来规避检测. 很多人猜测这次攻击是由中国政府发起的 为了压制亲民主情绪.

5. Dyn: 2016年10月21日

DNS提供商Dyn遭到了大规模的分布式拒绝服务攻击. 这次攻击的目标是该公司使用Mirai僵尸网络的服务器,导致数千个网站瘫痪. 这次攻击影响了股价,也为这些漏洞敲响了警钟 在物联网设备.

Mirai僵尸网络由一系列物联网设备组成. 僵尸网络是通过利用最终用户从未更改过的物联网消费者设备上的默认登录凭据组装而成的. 攻击影响了69的服务 包括亚马逊、CNN和Visa等巨头.

6. GitHub: 2018年2月28日

历史上最大的分布式拒绝服务攻击之一就是针对GitHub发起的, 被许多人视为最杰出的开发者平台. 当时,这是历史上最大的分布式拒绝服务攻击. 然而,由于采取了防范措施,该平台 就下线了几分钟吗.

攻击者欺骗了GitHub的IP地址, 获得对Memcache实例的访问,以提高针对该平台的通信量. 该组织迅速通知支持, 交通通过清洗中心来减少损失. GitHub在10分钟内恢复并运行.

7. 亚马逊网络服务(AWS): 2020年2月

AWS以云计算服务的领先供应商而闻名. 该公司, 零售巨头亚马逊的子公司, 遭受了一次令人印象深刻的分布式拒绝服务攻击,让他们的响应团队忙了好几天.

被认为是迄今为止同类中最大的, 针对AWS的分布式拒绝服务攻击有2次.3 Tbps,超过了之前的1 Tbps.7真沸点. AWS团队与攻击作了斗争,三天之后终于减轻了威胁 入侵.

8. 谷歌:2017年9月(2020年10月报道)

事情发生了奇怪的变化, 据谷歌报道,分布式拒绝服务攻击超过了对亚马逊的攻击, 声称它减轻了2分.5 Tbps事件早在几年前就发生了. 这次攻击源于中国一个国家支持的网络犯罪集团 历时六个月.

谷歌在2020年末披露了这次洪水袭击,旨在让人们意识到国家支持的袭击事件正在增加. 该组织没有具体说明由于该事件造成的任何数据丢失, 但计划加强预防措施来阻挠 袭击事件的增加.

9. 行业的攻击:2019 - 2021

近年来, 多个行业都报告称,从制造业、零售业到金融机构,甚至政府部门,针对特定行业的分布式拒绝服务攻击率都在上升. 2021年5月对比利时政府的袭击 影响了200多个组织. 但它是专门为了扰乱政府的运作而设计的. 针对特定部门的分布式拒绝服务攻击可以被用作政治异议或表示对某些商业惯例的异议 或者理想.

谁执行分布式拒绝服务攻击

攻击者配置文件:谁进行分布式拒绝服务攻击?

你经常看到邪恶的、戴着黑帽的人的形象,象征着恶意的威胁行动者. 在现实中, 这些攻击者群体通常为当局所熟知,他们利用分布式拒绝服务策略来获得影响力, 破坏政府和军事行动 或导致人们对市场部门、公司品牌或成立已久的机构失去信心.

不管这些攻击背后的动机是什么, 黑客可以很容易地被雇佣来帮助发起分布式拒绝服务攻击——简单来说就是被雇佣的枪. 个人或整个商业团体都可以在 黑暗的网络, 通常在服务模型下,类似于 基础设施即服务(IaaS) or 软件即服务(SaaS). 事实上, Radware在2020年8月发布了一份全球安全警报,以应对日益流行的ddos租用攻击.

攻击动机:分布式拒绝服务攻击背后的原因

为了阻止分布式拒绝服务攻击,重要的是要了解事件的驱动因素. 而分布式拒绝服务攻击在战术和方法上本质上大相径庭, 分布式拒绝服务攻击者也可能有多种动机, 包括以下.

  • 金融的动机: 分布式拒绝服务攻击通常与勒索软件攻击结合在一起. 攻击者发送消息通知受害者,如果受害者支付费用,攻击将停止. 这些袭击者通常是有组织犯罪集团的成员. 今天, 虽然, 这些联合组织可以小到只有十几个人,他们有网络知识和额外的时间. 有时,竞争企业为了获得竞争优势,还会进行分布式拒绝服务攻击.
  • 意识形态的动机: 袭击的目标通常是压制性的政府机构或政治局势中的抗议者. 这种分布式拒绝服务攻击通常是为了支持特定的政治利益或信仰体系, 比如宗教.
  • 国家资助的动机: 当出现政治动荡或纷争时,分布式拒绝服务攻击往往会给军队或平民造成混乱.
  • 战术的动机: 在这种情况下,分布式拒绝服务攻击是一个更大的运动的一部分. 在某些情况下,攻击行动包括物理攻击或另一系列基于软件的攻击. 例如,军队已经知道联合分布式拒绝服务攻击 用物理的. 战术攻击被用来转移人们对正常IT任务的注意力,以利用另一个不同的目标——旧的“诱饵-交换”网络攻击.
  • 业务/经济动机: 这种类型的分布式拒绝服务攻击有助于收集信息或对特定行业造成损害. 例如, 对索尼等公司的攻击, 英国航空公司(British Airways)和艾奎法克斯(Equifax)导致消费者彻底失去信心 行业.
  • 敲诈勒索的动机: 其他攻击被用来通过敲诈手段获得一些个人或金钱利益.

导弹发射:执行分布式拒绝服务攻击的工具

攻击者使用多种设备来攻击组织. 以下是分布式拒绝服务攻击中常用的一些工具:

  • 服务: 其中包括Memcached(用于加速数据库和基于网络的事务), DNS服务器, NTP和SNMP.
  • 网络设备: 网络设备包括路由器、交换机等.
  • 僵尸网络: 分布式拒绝服务攻击中常用的被破坏的系统集合.
  • 物联网设备: 联网设备的弱点可能会被网络罪犯利用,把他们变成僵尸. 臭名昭著的Mirai僵尸网络利用不安全的婴儿监视器发起了一系列攻击.
  • AI: 人工智能被黑客用来在分布式拒绝服务攻击过程中自动修改代码,这样即使有防护措施,攻击仍然有效.
  • 旧设备的开发: 旧的硬件经常暴露在更多的漏洞面前,经常被攻击和利用.
分布式拒绝服务攻击中常用的工具示意图

侦察的作用:跟踪分布式拒绝服务攻击

分布式拒绝服务攻击者每天都在变得越来越精明. 攻击的规模和持续时间都在扩大,而且没有减缓的迹象. 组织需要掌握事件的脉搏,以了解他们有多容易受到分布式拒绝服务攻击.

这里有一些资源可以帮助你跟踪最新的分布式拒绝服务攻击:

  • Mazebolt全球分布式拒绝服务攻击列表: 该资源提供一个带有日期等信息的攻击运行列表, 原产国, 停机时间, 攻击细节,甚至链接到有关该事件的新闻信息.
  • 网络安全威胁情报(CTI)
    • 十博体育客户端ISAO: 十博体育客户端有一个专门的组织,致力于共享与威胁相关的情报,并为减轻威胁提供可采取行动的见解 解决网络安全挑战.
    • U.S. 中钢协自动化指标共享: CISA提供的工具可以实时共享网络威胁信息,以帮助限制攻击的流行.
    • 联邦调查局Infragard: 联邦调查局和私营部门之间的合作, InfraGard支持共享关于攻击和缓解技术的信息.
  • 数字攻击地图: 这张地图显示了世界各地分布式拒绝服务攻击的实时feed,并允许您根据类型进行过滤, 源端口, 持续时间和目的端口.
  • AlienVault开放威胁交换: 这个威胁情报界提供对威胁指标的免费访问,并允许与其他人共享威胁研究.
  • 威胁攻击互联网黑客攻击归因地图: 这张地图提供了全球分布式拒绝服务攻击的实时跟踪.
  • 它现在倒下了吗?: 当您怀疑有攻击时,这个资源是一个很好的开始. 通过输入域和这个工具来检查网站是否关闭 将返回即时结果.

数字攻击地图的截图

分布式拒绝服务攻击最容易攻击的区域

目标识别:分布式拒绝服务攻击者最常攻击的目标是什么?

而任何行业的组织都是脆弱的, 这些扇区最容易受到分布式拒绝服务攻击:

  • 卫生保健
  • 政府
  • 互联网服务供应商
  • 云服务提供商

关注敌人:识别分布式拒绝服务攻击

从战术的分布式拒绝服务缓解的角度来看, 你需要掌握的主要技能之一就是模式识别. 能够识别重复的分布式拒绝服务攻击是关键, 特别是在初始阶段. 自动化的应用程序和 人工智能经常被用作助手, 但一般来说,公司需要一个熟练的IT专业人员来区分合法流量和分布式拒绝服务攻击.

工作人员通常会寻找以下警告信号来表明分布式拒绝服务攻击正在发生:

  • 来自现有缓解装置的报告(e.g.、负载均衡器、云服务)
  • 客户报告服务缓慢或不可用
  • 使用相同连接的员工也会遇到速度问题
  • 在短时间内,来自特定IP地址的多个连接请求
  • 当不进行维护时,您将收到一个503服务不可用错误
  • 由于TTL超时导致对技术资源的Ping请求超时
  • 日志显示了一个异常巨大的流量峰值

图中显示分布式拒绝服务攻击警告信号

 
 

应对威胁:应对分布式拒绝服务攻击的技术、服务和策略

减少分布式拒绝服务攻击与减少其他网络攻击有很大的不同, 比如那些来自勒索软件的. 分布式拒绝服务攻击通常通过启用处理这类攻击的设备和服务来缓解. 例如,今天的 负载均衡器有时能够通过识别分布式拒绝服务模式并采取行动来处理分布式拒绝服务攻击. 其他设备可以用作中介体,包括防火墙和专用的洗涤器设备.

当试图减轻分布式拒绝服务攻击时, 您希望将服务和设备放在您的网络和用于攻击您的系统之间. 因为攻击者通过利用合法网络和互联网行为产生分布式拒绝服务流量 连接的设备或服务器很容易受到攻击,因为它在本质上不被识别为恶意. 您必须创建一个中间缓解解决方案来响应该攻击. 在勒索软件或恶意软件攻击中,安全专家 通常通过在终端上升级软件或从备份中恢复来解决这个问题.

应对威胁:分布式拒绝服务攻击响应5步

应对分布式拒绝服务攻击的典型步骤包括:

1. 检测

防范分布式拒绝服务攻击的关键是及早发现. 寻找警告信号,如上所述,你可能是一个目标. 分布式拒绝服务检测可以通过调查报文内容来检测基于第七层和协议的攻击或利用 检测体积攻击的基于速率的措施. 当谈到分布式拒绝服务攻击时,基于速率的检测通常首先被讨论, 但大多数有效的分布式拒绝服务攻击都不是通过基于速率的检测来阻止的.

2. 过滤

一个透明的过滤过程有助于删除不需要的流量. 这是通过在网络设备上安装有效的规则来消除分布式拒绝服务流量.

3. 转移和重定向:

这一步涉及到分流流量,这样它就不会影响到你的关键资源. 您可以将分布式拒绝服务流量重定向,将其发送到一个清洗中心或其他充当天坑的资源. 通常建议您透明地执行 沟通正在发生的事情,这样员工和客户就不必为了适应慢节奏而改变他们的行为.

4. 转发和分析:

了解分布式拒绝服务攻击的来源是很重要的. 这些知识可以帮助您开发协议,提前防范未来的攻击. 虽然尝试消灭僵尸网络可能很诱人,但它可能会产生后勤问题 导致法律后果. 一般情况下不建议使用.

5. 交替交货

在发生攻击时,可以使用几乎可以立即提供新内容或打开新网络连接的替代资源.

DDos攻击响应:检测, 过滤, 转移和重定向, 转发和分析, 交替交货

减少分布式拒绝服务攻击的最佳方法之一是在事件响应过程中作为一个团队进行响应和协作. 上面列出的步骤只能通过服务组合来实现, 设备和个人一起工作. 为 例如,为了减少第7层分布式拒绝服务攻击,通常需要做以下几点:

  • 检测方法: 组织将结合使用安全分析和渗透活动来识别第7层攻击模式. 渗透测试仪通常模拟分布式拒绝服务攻击, 安全分析师会仔细倾听 识别独特的特征.
  • 流量过滤: 使用清洗中心和服务来帮助重定向和控制有害的流量.
  • 7层控制: 验证码和cookie挑战通常用于确定网络连接请求是来自机器人还是合法用户.
  • 将数据包转发给安全专家进行进一步分析: 安全分析师将参与模式识别活动,然后根据他们的发现建议缓解措施.
  • 在第7层攻击期间的交替交付: 使用CDN(内容交付网络)可以帮助您在资源对抗攻击时支持额外的正常运行时间. 重要的是要注意缓解设备可以经历 问题. 它可能没有得到适当的更新或配置, 在分布式拒绝服务攻击期间,这可能会成为问题的一部分.

限制损害:分布式拒绝服务缓解技术

一旦你知道你正面临分布式拒绝服务攻击,就该采取缓解措施了. 准备战斗!

物理设备在分布式拒绝服务攻击期间管理物理设备在很大程度上仍然是与其他缓解工作分开的一个类别. 通常被称为电器, 物理设备是分开的,因为分布式拒绝服务模式和流量是如此独特和困难 正确识别. 即便如此,设备也可以非常有效地保护小型企业免受分布式拒绝服务攻击.
云洗涤设备通常被称为擦洗中心, 这些业务插入到分布式拒绝服务流量和受害网络之间. 它们将特定网络的流量路由到不同的位置,将损害与预期来源隔离开来. 数据清洗中心对数据进行清洗, 只允许合法的业务流量通过目的地. 冲刷服务的例子包括Akamai、Radware和云flare提供的服务.
多个internet服务连接因为分布式拒绝服务攻击通常试图用流量来压倒资源, 企业有时会使用多个ISP连接. 这使得在单个ISP不堪重负的情况下从一个切换到另一个成为可能.
黑洞这种分布式拒绝服务缓解技术涉及使用云服务来实现一种称为数据接收器的策略. 该服务将虚假数据包和大量流量引导到数据接收器,在那里它们不会造成伤害.
内容分发网络(CDN)这是一组地理上分布的代理服务器和网络,经常用于分布式拒绝服务缓解. CDN作为一个单元,通过多个骨干和广域网连接快速提供内容, 因此分配网络负荷. If 一个网络会被分布式拒绝服务流量淹没, CDN可以传递来自另一组未受影响的网络的内容.
负载均衡服务器一般用于正常流量的管理, 负载均衡服务器也可以用来阻止分布式拒绝服务攻击. 当分布式拒绝服务攻击正在进行时,IT专业人员可以利用这些设备将流量从某些资源转移开.
Web应用程序防火墙(WAF)用于过滤和监控HTTP流量, WAFs通常用于帮助减少分布式拒绝服务攻击,通常是AWS等基于云的服务的一部分, Azure或云Flare. 虽然有时有效,专用设备或基于云的洗涤器 经常被推荐. WAF专注于过滤特定网络服务器或应用程序的流量. 但真正的分布式拒绝服务攻击主要针对网络设备, 因此,拒绝服务最终意味着网络服务器, 例如. 尽管如此, 有时,WAF可以与其他服务和设备一起使用,以响应分布式拒绝服务攻击.

市场上几乎所有的分布式拒绝服务缓解设备都使用相同的五种机制:

  • 签名
  • 行为或SYN flood
  • 基于价格和地理位置:如上所述,这通常并不可靠.
  • 僵尸网络检测/IP信誉列表:使用列表的成功与否取决于列表的质量.
  • 挑战与回应

准备就绪的武器:分布式拒绝服务减缓服务

数以百计的组织提供设备和服务,旨在帮助您预防或打击分布式拒绝服务攻击. 这些服务和设备的一个小示例如下所示.

分布式拒绝服务缓解供应商

提供的服务

AWS盾

提供保护,防止3层和4层攻击. 免费提供给所有客户. 对第7层攻击的额外保护是可以收费的.

Neustar 分布式拒绝服务保护

解决方案包括基于云计算的, 内部和混合保护完全专注于挫败分布式拒绝服务攻击.

云flare 分布式拒绝服务保护

第3层、第4层和第7层服务是免费的,更复杂的分布式拒绝服务防护服务是收费的.

Akamai 一个备受尊敬的服务,帮助对抗大量的分布式拒绝服务攻击. Akamai在世界各地拥有许多网站,以帮助识别和过滤流量.
AppTrana 着重于第7层以及容量(第3层和第4层)分布式拒绝服务流量.
阿里巴巴分布式拒绝服务 专门用于减轻体积攻击.

协同防御:分布式拒绝服务响应的最佳实践

点击红色加号了解更多关于防范分布式拒绝服务攻击的八种方式的详细信息.

1. 策略创建或更改

如果您没有定义安全策略,那么创建一个是第一步. 如果您的策略较旧或没有考虑到现代分布式拒绝服务方法和问题, 是时候做出一些改变了.

2. 识别关键服务

业务关键型服务是那些如果受到影响将导致操作延迟的服务. 这些可能包括数据库等系统, 网络, 商务服务器, 客户关系管理(CRM), 自定义编程, AI, 机器学习, 流媒体 数据收集,等等. 还可能有必要概述在网络服务器上运行的所有业务关键型应用程序. 然后,您可以根据下面的样本矩阵做出决定.

3. CDN信息备份

将关键任务信息存储在CDN中,使您的组织能够减少响应和恢复时间.

4. 多个ISP连接

大型组织会希望有多个isp准备好,以防其中一家流量过大或不能及时提供必要的过滤服务. 作为一种替代或补充的解决方案,您还可以与第三方合作 对分布式拒绝服务流量进行过滤的擦洗服务.

5. 服务器和端点备份

备份服务器资源、工作站和其他设备非常重要.

6. 风险分析

当特定的资源被破坏时,分布式拒绝服务准备方案将始终识别所涉及的风险.

7. 确定并分配责任

组织最不希望做的事情就是在实际攻击期间或之后分配分布式拒绝服务响应的责任. 在攻击发生之前,分配责任.

8. 实践

与其他专业领域相似, 知道如何应对分布式拒绝服务攻击的最好方法就是练习. 安排专门的训练课程,并在受控的环境中练习战斗攻击.

准备就绪的训练:应对分布式拒绝服务攻击的注意事项

在处理分布式拒绝服务攻击时, 有一些最佳实践可以帮助控制局势. 观察这些分布式拒绝服务攻击的注意事项.

如何处理分布式拒绝服务攻击当处理分布式拒绝服务攻击时不要做什么
与管理层和其他员工过度沟通. 领导需要了解情况并参与其中,以便采取必要的步骤来限制损害.与公众过度沟通. 为了减少对你的品牌声誉的损害,并确保你已经控制住了攻击, 只向公众提供必要的信息.
委托任务. 分布式拒绝服务攻击意味着所有人都要做好准备. 招募其他的IT专家来反馈信息,并进行快速更新.假定处理攻击是其他人的责任. 这些攻击必须迅速处理, 而等待移交责任可能会浪费宝贵的时间.
关注根本原因分析. 当你试图减慢进程时,找出攻击的原因是至关重要的.试着独自解决问题. 分布式拒绝服务攻击可以迅速升级. 让其他人参与您的缓解工作将有助于更快地遏制攻击.
分布式拒绝服务攻击模拟演练. 这可能包括有计划的或出人意料的练习,以正确地教育IT专业人员, 工作人员和管理人员应对活动.假设IT专业人员、员工或管理人员知道在分布式拒绝服务攻击期间应该做什么. 没有适当的培训, 这些攻击可能是破坏性的, 许多员工缺乏抵御黑客攻击的实用技能.
与互联网服务提供商, 云提供商和其他服务提供商确定与分布式拒绝服务攻击相关的成本. 从所有供应商那里得到报告. 为了克服攻击,您需要确切地知道您正在处理的是什么,并有文档 为了说明它.假设以前的报告仍然有效. 任何超过六个月的报告或涉及公司合并或重大业务变化之前的数据不应被视为可靠数据.

一个强大的战略:分布式拒绝服务缓解矩阵

有这么多as-a-service选项, 很难知道哪些服务可以作为有效的分布式拒绝服务预防策略的一部分. 这个分布式拒绝服务缓解矩阵应该帮助您了解如何适当地放置您的服务.

服务位置缓解策略
Web服务器公司服务器的房间安装在本地Web应用程序防火墙(WAF)上
数据库服务器公共云负载均衡器,基于云的分布式拒绝服务缓解服务器
接受信用卡的商务服务器私有云负载均衡器,基于云的分布式拒绝服务缓解服务器,备用ISP
VDI (Virtual Desktop 基础设施)为终端用户提供主机公共云基于云的分布式拒绝服务防护服务,备用ISP,
网络基础设施内部多个替代isp,云清洗服务

当然,您的矩阵会因业务关键型资源的不同而不同. 同样重要的是要记住,外包仍然需要内部支持. 如果购买了昂贵的缓解设备或服务,则需要组织中的人员 有足够的知识来配置和管理它.

有些时候,简单地外包一套技能是有用的. 但是,对于分布式拒绝服务攻击和其他攻击,拥有内部专业知识总是最好的. 否则,您可能会遇到这样的情况:外包专家对您的分布式拒绝服务进行了更改 保护套件,然后转移到另一个组织.

分布式拒绝服务管理的IT Pro技能和工具

作为一个IT专业人士,你可以采取步骤来帮助自己准备分布式拒绝服务攻击. 看看下面的技巧和工具,它们可以帮助你成功地处理突发事件.

攻击基础:管理分布式拒绝服务攻击所需的技能

雇主希望知道你已经掌握了应对分布式拒绝服务攻击的必要技能. 将这些技能添加到您的工具集将有助于说明您挫败攻击的能力.

  • 对产品和应用进行有效的规划和管理.
  • 在回答问题时要清楚地沟通.
  • 能够与云计算和ISP供应商合作解决困难的情况和问题.
  • 举例说明红队和蓝队训练的有效性.
  • 主动充当威胁猎人,识别潜在的威胁,并了解哪些系统对业务操作至关重要.
带警告标志的书

美国等国家的标准.S. 国家标准与技术研究所(NIST)特别出版物(SP) 800-61为了解如何应对各种类型的攻击提供了一个有用的基础. IT行业也使用ISO/IEC 27035-1:2016标准 作为事件响应程序的指导方针. 一般来说, 以对事件反应良好而闻名的组织倾向于使用这些标准作为有用的指导方针, 而不是遵循绝对的规则.

IT专业人士还可以通过观看攻击演示来了解数据在特定情况下的行为. 请花点时间查看以下攻击的演示:

  • Ransomware
  • 分布式拒绝服务
  • 基于浏览器的威胁

一名IT专业人员在电脑上学习的插图

分布式拒绝服务训练营:针对IT专业人员的分布式拒绝服务教育选项

持续的教育对任何IT专业人士来说都是必不可少的. 科技日新月异, 随着旧系统的消亡和新平台的取代,停滞不前的IT专业人士最终会被认为是不必要的. 为了保持相关性,重要的是要继续 教育你自己.

业界传授的标准和实践也将帮助您和您的组织应对分布式拒绝服务攻击. 获得适当知识水平的一种方法是学习发现的IT十博客户端网站所涵盖的标准和最佳实践 在十博体育客户端安全路径中.

端点 服务器 红色的团队 蓝色的团队 网络安全









下载考试目标 来看看上面的十博体育客户端考试涵盖了哪些内容,并决定哪一个是适合的 你.

想知道更多关于分布式拒绝服务攻击,并保持最新的网络安全? 订阅十博体育客户端的IT职业新闻 每周的新闻简报和每月的网络安全通讯, 云计算, 计算机网络, 技术支持等.

 

方面了解

  • 应答: 确认包
  • 域名: 域名系统
  • HTTP: 超文本传输协议
  • ICMP: Internet控制消息协议
  • OSI / RM: 开放系统互连/参考模型
  • 事件响应: 管理分布式拒绝服务攻击的步骤.
  • SYN: 同步数据包
  • SYN洪水: 在哪里攻击者操纵三次TCP握手来创建分布式拒绝服务攻击.
  • TCP: 传输控制协议
  • TCP握手: 一个三步过程,发生在两台计算机在TCP会话开始时互相通信时. 也称为TCP三次握手.
  • UDP: 用户数据报协议
 

5步骤分布式拒绝服务 Response

下载十博体育客户端免费的分布式拒绝服务攻击快速响应指南,其中包含缓解和响应的提示和技巧,这样您就可以随时保护您的组织.

下载指南

阅读更多关于 网络安全.