过去的好日子里,打击网站或服务器的“坏家伙”意图只是不得不发起DoS(拒绝服务)攻击,一再地从自己的电脑上ping目标,直到目标机被淹没,下。这些现象比较容易打倒,特别是随着带宽成本的下降; 毕竟,如果目标人员有足够的能力来吸引攻击,直到违规的知识产权被禁止或请求全部被阻止,那么就没有任何后果。
对于每一个措施,通常都有一个对策。在这种情况下,坏家伙转移到DDoS(分布式拒绝服务)攻击,首先妥协和使用像大学之类的大型系统,并最终发现他们可以通过分布和分布来建立隐匿的计算机隐蔽网络在这些机器上运行恶意软件。这给了他们“僵尸网络”,无论目标可用的带宽多少,这些僵尸网络都可能迅速发展到能够压倒任何目标的大小。
这些只是黑客和互联网服务提供商或大型公司运行自己的服务器安装之间的连续猫和鼠游戏的第一集。今天,僵尸网络仍然广泛使用,但是他们可以发起的攻击类型已经大大扩展,使DDoS保护和减轻措施比以往任何时候都更具挑战性。
看看不同类型的攻击已经变得普遍,“好人”如何实现DDoS保护,以打击他们。
容量攻击
正如我们所讨论的,ping攻击(也称为ICMP Flood)是DDoS攻击的最简单类型,仍然是DDoS的最常见类型。Arbor Networks的一项研究报告指出,65%的攻击都是体力量的。它们意味着压倒服务器接收和响应所有请求的能力 – 换句话说,纯粹的卷是为了降低服务器,这就是为什么这些类型的爆炸被称为体积攻击。类似的和稍微复杂的方法是用UDP(用户数据报协议)请求压倒服务器上的随机端口,并绑定机器,因为它试图找到请求的计算机,然后发送“目的地不可达”的响应。欺骗这些请求来自的IP,或使用放大技术来几何增加其数量,
减轻这些攻击的传统方法是实施严格的防火墙规则,并使用路由器访问控制列表,阻止分片ping请求和丢弃垃圾数据包,使用负载平衡器扩展流量洪泛,如果不需要则完全阻止ICMP和UDP如果您不需要它们(通常不是,特别是主要用于服务游戏数据或处理广播的UDP)。更先进的DDoS保护技术也有助于防止或减轻体积攻击的影响。
协议攻击
如果您将体积攻击视为简单的暴力,则可以将协议攻击(通常称为状态耗尽攻击)描述为目标暴力。这些爆炸仍然依赖于流量传播Web服务器,但是通过使用服务器可以维护的并发连接数来集中影响中断服务器的正常运行。一些常见的目标是连接状态表,用于控制负载平衡器,防火墙和其他关键功能,以保护机器。Arbor报道说,大约20%的DDoS爆破是协议攻击。
最常见的是被称为死亡平台,其中大量碎片整理的ping数据包被发送到目标,这必须使用大量的资源来重新组合数据包,并且由于缓冲区过载或尝试响应ping而经常崩溃。另一个被称为Slowloris,它向服务器发送大量部分请求,以尽可能长地保持尽可能多的连接。目标是使用所有可用的连接并拒绝合法的客户端访问机器。利用TCP连接过程使用的序列的SYN Flood也采取类似的方法。
针对协议攻击的DDoS保护措施可以包括更快的超时请求,使用DDoS缓解设备来保护易受攻击的防御,如防火墙和负载平衡器,使用SYN cookie跟踪TCP连接并从恶意的缓存中筛选合法请求,并使用SYN缓存同时减少SYN接收的定时器设置。再次,我们接下来看的更先进的技术也可以大大的帮助。
应用层攻击
目前看到的最恶毒的DDoS攻击针对特定的服务器应用程序,如HTTP和DNS服务,所谓的应用层或七层攻击。20%以上的攻击使用这些方法,但它们是最难以缓解的,因为它们旨在模拟真实的访问者在进行请求时的行为。它还需要较少的流量来启动应用程序层攻击,因此监视系统通常需要更长的时间来识别出正在进行的DDoS攻击。
这些代码中最常见的包括HTTP洪水,其中正常的GET和POST请求(不是畸形或欺骗)强制服务器使用不成比例的资源来响应。例如,它们可能涉及并发和重复下载网站元素。其他类型是利用开放的NTP服务器来放大少量查询的效果的NTP(网络时间协议)放大攻击以及以类似的方式利用DNS(域名系统)服务器的DNS放大攻击。
应用层攻击是最难打倒的。通过IP仔细监控和跟踪Web活动,并将其与IP信誉记录匹配,坏机器人封锁以及需要执行JavaScript功能(如CAPCHAs)有时可帮助钝化HTTP洪水,但第7层攻击也需要更高级的DDoS保护措施,例如作为缓存服务器的使用,以及高级过滤和负载平衡技术。另一种有效的方法是将流量划分为“白名单”,“黑名单”和“灰色”类别的技术,将灰色流量转移到可以进行额外测试的独立的隔离服务器。
然而,猫和老鼠的游戏将持续相当长的一段时间,特别是随着DDoS攻击进入多层次,涉及两种或所有三种不同类型的可能的攻击。例如,体积性攻击可以用作转移,以利用系统的资源,并使其容易受到更复杂的应用程序级攻击。顶级提供商不断完善和测试新的DDoS保护和缓解技术,使其尽可能远离坏家伙。