當在線服務(wù)不可用時,它在 IT 界被稱為“拒絕服務(wù)”(DoS)。拒絕服務(wù)通常是在單個 IT 基礎(chǔ)架構(gòu)組件過載時發(fā)生的。如果這是由外部各方故意引起的,則稱為 DoS 攻擊。當攻擊者用太多請求淹沒目標 URL 以致服務(wù)器無法再處理所有請求時,就會發(fā)生這種情況。這意味著網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)和單個服務(wù)器服務(wù)只能以延遲的方式響應(yīng)請求(如果有的話)。一種特別有效的方法是系統(tǒng)被來自各種計算機的請求淹沒。這被稱為DDoS攻擊,它與DoS攻擊不同,因為使用了數(shù)千個“僵尸網(wǎng)絡(luò)”,而不是一個。
大規(guī)模 DDoS 攻擊
DoS 的一種常見形式稱為“分布式拒絕服務(wù)”(DDoS)。網(wǎng)絡(luò)犯罪分子不僅使用一臺計算機,還使用來自多臺計算機的請求使系統(tǒng)過載,這些請求組合在一起形成巨大的僵尸網(wǎng)絡(luò)。通過使用這樣的計算機網(wǎng)絡(luò),與僅從單個系統(tǒng)執(zhí)行的簡單 DoS 攻擊相比,產(chǎn)生的流量更多。DDoS攻擊對相關(guān)人員產(chǎn)生了巨大影響,找到攻擊源的希望通常非常黯淡。植入此類僵尸網(wǎng)絡(luò)的攻擊者將特殊的軟件代理放置在保護不足的計算機上。然后使用這些計算機在所有者不知情的情況下控制它們。“感染”有時會在實際DDoS攻擊發(fā)生前幾個月發(fā)生。
DDoS 攻擊是什么樣的?
每次DDoS攻擊的基礎(chǔ)都是更大的計算機網(wǎng)絡(luò)。從理論上講,這個組實際上可以歸攻擊者所有。然而,在實踐中,它通常是上述機器人網(wǎng)絡(luò),由數(shù)十萬臺計算機組成。相應(yīng)的計算機感染了惡意軟件,允許網(wǎng)絡(luò)犯罪分子在計算機所有者沒有注意到的情況下進行遠程訪問。在最近的過去,物聯(lián)網(wǎng)(Internet o f Things)設(shè)備,如路由器,監(jiān)控攝像頭或數(shù)字視頻錄像機,也可能被濫用為機器人,越來越頻繁地使用。
使用正確的計算機網(wǎng)絡(luò),攻擊者通常可以輕松執(zhí)行計劃的DDoS攻擊。為了實現(xiàn)他的目標,即使目標服務(wù)陷入停頓,他現(xiàn)在需要在受害者的系統(tǒng)或網(wǎng)絡(luò)中找到適當?shù)墓酎c。一旦他們找到這個后門,他們就可以向他們的機器人軍隊發(fā)送所需的命令,以在所需的時間啟動 DDoS 攻擊浪潮。在下一節(jié)中,您將了解遠程控制機器人使用哪些不同的操作和攻擊模式。
有哪些類型的 DDoS 攻擊?
與其他網(wǎng)絡(luò)犯罪入侵不同,DoS 和 DDoS 攻擊不會試圖滲透到系統(tǒng)中;相反,它們通常是更大攻擊的一部分。例如,當一個系統(tǒng)癱瘓時,攻擊可以用來分散服務(wù)器操作員的注意力,讓他們相信攻擊正在另一個系統(tǒng)上的其他地方發(fā)生。如果系統(tǒng)的響應(yīng)由于 DoS 或 DDoS 攻擊而延遲,黑客有機會通過操縱響應(yīng)來更改對過載系統(tǒng)的請求。此類攻擊背后的策略可分為三類:
帶寬過載
系統(tǒng)資源過載
利用軟件錯誤和安全漏洞
帶寬過載
帶寬過載的目的是使計算機無法訪問。DoS 和 DDoS 攻擊直接針對網(wǎng)絡(luò)及其各自的連接設(shè)備。路由器一次只能處理一定數(shù)量的數(shù)據(jù)。如果由于攻擊而超出此容量,則其他用戶將無法再使用相應(yīng)的服務(wù)。專為過載帶寬而設(shè)計的典型DDoS攻擊是Smurf攻擊。
藍精靈攻擊:這種DDoS攻擊利用互聯(lián)網(wǎng)控制消息協(xié)議(ICMP),該協(xié)議有助于交換計算機網(wǎng)絡(luò)中的信息和錯誤報告。攻擊者將操縱的 ICMP 回顯請求數(shù)據(jù)包 (Ping) 發(fā)送到網(wǎng)絡(luò)的廣播地址,并使用目標的 IP 地址作為發(fā)送方地址。然后,廣播請求從網(wǎng)絡(luò)路由器轉(zhuǎn)發(fā)到所有連接的設(shè)備,這會導(dǎo)致它們?nèi)肯虬l(fā)送方地址 (Pong) 發(fā)送響應(yīng)。因此,連接了許多設(shè)備的大型網(wǎng)絡(luò)可能會嚴重損害目標的帶寬。
系統(tǒng)資源過載
DDoS 攻擊以系統(tǒng)資源為目標;這樣,攻擊者利用 Web 服務(wù)器只能建立有限數(shù)量的連接這一事實。如果這些用于無效請求,則服務(wù)器將被常規(guī)用戶有效地阻止。這被稱為洪水。系統(tǒng)資源上的經(jīng)典 DDoS 攻擊模式是 ping 泛洪、SYN 泛濫和 UDP 泛濫。
HTTP flood:這是最簡單的 DDoS 資源過載攻擊變體。攻擊者用大量 HTTP 請求淹沒目標的 Web 服務(wù)器。為此,他們只需訪問目標項目的任何頁面,直到服務(wù)器因請求量而崩潰。
Ping 洪水:當涉及到這種類型的攻擊時,網(wǎng)絡(luò)犯罪分子會使用 ICMP 回顯請求數(shù)據(jù)包使服務(wù)器過載。這些請求通常由僵尸網(wǎng)絡(luò)大規(guī)模發(fā)送。由于這些請求(ping)必須使用來自目標系統(tǒng)(pong)的數(shù)據(jù)包來回答,因此慢速系統(tǒng)最終會受到ping洪水的阻礙。
SYN 泛洪:此攻擊濫用 TCP 三向握手連接。TCP(傳輸控制協(xié)議)是一種網(wǎng)絡(luò)協(xié)議,與IP一起確保互聯(lián)網(wǎng)上流暢的數(shù)據(jù)流量。TCP 連接始終在三步身份驗證過程中建立,該過程從客戶端向服務(wù)器發(fā)送同步數(shù)據(jù)包 (SYN) 開始。然后,服務(wù)器會接收此數(shù)據(jù)包,服務(wù)器使用自己的同步數(shù)據(jù)包 (SYN) 和確認 (ACK) 確認請求。然后,連接過程以客戶端確認 (ACK) 結(jié)束。如果最后一步失敗,系統(tǒng)將癱瘓,因為服務(wù)器沒有最終確認的連接存儲在工作內(nèi)存中。如果由于 SYN 泛洪而大量這些半打開的連接相遇,則可用的服務(wù)器資源將完全用完。
UDP 洪水:通過這些攻擊,網(wǎng)絡(luò)犯罪分子依賴于無連接用戶數(shù)據(jù)報協(xié)議 (UDP)。與通過TCP協(xié)議傳輸不同,數(shù)據(jù)可以通過UDP傳輸,而無需建立連接。對于 DoS 和 DDoS 攻擊,UDP 數(shù)據(jù)包被發(fā)送到目標系統(tǒng)上的隨機端口。系統(tǒng)嘗試確定哪些應(yīng)用程序正在等待傳輸?shù)臄?shù)據(jù),然后因此將ICMP數(shù)據(jù)包與消息“無法訪問目標”一起發(fā)送回發(fā)送方,但未成功。如果系統(tǒng)感受到大量此類請求的壓力,則資源過載可能會導(dǎo)致普通用戶的可用性有限。
利用軟件錯誤和安全漏洞
如果黑客在操作系統(tǒng)或程序中發(fā)現(xiàn)某些安全漏洞,他們可以計劃DoS或DDoS攻擊,以便請求觸發(fā)系統(tǒng)崩潰。此類攻擊的示例包括死亡 ping 和 LAND(局域網(wǎng)拒絕)攻擊。
死亡ping:此攻擊的目的是導(dǎo)致系統(tǒng)崩潰。黑客利用互聯(lián)網(wǎng)協(xié)議 (IP) 中的實現(xiàn)錯誤。IP 數(shù)據(jù)包通常作為分片發(fā)送。如果為數(shù)據(jù)包組合發(fā)送了不正確的信息,則許多操作系統(tǒng)可能會被欺騙,認為 IP 數(shù)據(jù)包大于最大限額 64 KB。這可能會導(dǎo)致緩沖區(qū)溢出,即程序嘗試在緩沖區(qū)中存儲的數(shù)據(jù)多于其處理能力。額外的信息必須去某個地方并流入相鄰的緩沖區(qū),導(dǎo)致存儲在那里的任何信息都被覆蓋或損壞。
土地攻擊:在這種類型的攻擊中,攻擊者根據(jù)TCP三向握手發(fā)送SYN數(shù)據(jù)包(見上文)。SYN 數(shù)據(jù)包與要攻擊的相應(yīng)服務(wù)器具有相同的目標和發(fā)送方地址。然后,服務(wù)器通過以 SYN/ACK 數(shù)據(jù)包的形式向自身發(fā)送響應(yīng)來響應(yīng)請求。這可以解釋為一個新的連接請求,再次需要使用 SYN/ACK 數(shù)據(jù)包進行應(yīng)答。這會導(dǎo)致容量過載,因為系統(tǒng)會不斷重復(fù)響應(yīng)請求,然后可能導(dǎo)致系統(tǒng)崩潰。
如何預(yù)防和減少DDoS攻擊?
已經(jīng)開發(fā)了各種安全措施來阻止IT系統(tǒng)因DoS和DDoS攻擊而過載。一種方法是識別關(guān)鍵 IP 地址并關(guān)閉任何已知的安全漏洞。此外,提供硬件和軟件資源可以彌補較小的攻擊。
IP 黑名單:黑名單可以識別關(guān)鍵 IP 地址并拒絕數(shù)據(jù)包。這些安全措施可以手動實施,也可以通過防火墻通過動態(tài)黑名單自動實施。
過濾:為了過濾掉不規(guī)則的數(shù)據(jù)包,您可以定義指定時間段內(nèi)的數(shù)據(jù)量限制。您應(yīng)該注意代理,這可能意味著許多客戶端在服務(wù)器上使用相同的 IP 地址注冊,并且可能會被阻止。
SYN Cookie:SYN Cookie 專注于 TCP 連接中的安全漏洞。如果實施了這些安全措施,則有關(guān) SYN 數(shù)據(jù)包的信息將不再保存在服務(wù)器上,而是作為加密 cookie 發(fā)送到客戶端。SYN 泛洪攻擊會占用一些計算機容量,但不會使目標系統(tǒng)的內(nèi)存過載。
負載平衡:防止過載的有效對策是將負載分配到不同的系統(tǒng)上,這是通過負載平衡實現(xiàn)的。在這里,可用服務(wù)的硬件容量分布在多臺物理計算機上。這就是在一定程度上攔截DoS和DDoS攻擊的方式。
最新新聞
解決方案
相關(guān)關(guān)鍵詞
