DDoS 攻击使黑客能够用虚假流量淹没网络或服务器。过多的流量会使资源过载并中断连接,从而阻止系统处理真正的用户请求。服务变得不可用,目标公司遭受长时间停机、收入损失和客户不满意。
本文介绍了企业如何防止 DDoS 攻击并领先于潜在的黑客。我们在下面展示的做法有助于最大限度地减少 DDoS 的影响并确保从攻击尝试中快速恢复。
什么是 DDoS 攻击?
DDoS(分布式拒绝服务)是一种网络攻击,旨在通过用虚假流量淹没系统来使网络、服务或服务器崩溃。消息、连接请求或数据包的突然激增使目标的基础设施不堪重负,并导致系统变慢或崩溃。
虽然一些黑客使用 DDoS 攻击勒索企业支付赎金(类似于勒索软件),但 DDoS 背后更常见的动机是:
● 中断服务或通信。
● 造成品牌损害。
● 在竞争对手的网站关闭时获得业务优势。
● 分散事件响应团队的注意力。
DDoS 攻击对各种规模的企业都是一种威胁,从财富 500 强公司到小型电子零售商。据统计,DDoS 黑客最常针对:
● 在线零售商。
● IT 服务提供商。
● 金融和金融科技公司。
● 政府实体。
● 在线游戏和赌博公司。
攻击者通常使用僵尸网络来引发 DDoS。僵尸网络是在攻击者控制下的受恶意软件感染的计算机、移动设备和物联网小工具的链接网络。黑客使用这些“僵尸”设备向目标网站或服务器的 IP 地址发送过多的请求。
一旦僵尸网络发送了足够多的请求,在线服务(电子邮件、网站、Web 应用程序等)就会变慢或失败。根据 Radware 报告,以下是 DDoS 攻击的平均长度:
● 33% 的人让服务在一个小时内不可用。
● 60% 持续不到一整天。
● 15% 持续一个月。
虽然 DDoS 通常不会直接导致数据泄露或泄露,但受害者会花费时间和金钱让服务重新上线。业务损失、购物车被遗弃、用户沮丧和名誉受损是未能阻止 DDoS 攻击的常见后果。
DDoS 攻击的类型
虽然所有 DDoS 攻击的目的都是使活动过多的系统不堪重负,但黑客有不同的策略来导致分布式拒绝服务。
三种主要的攻击类型是:
● 应用层攻击。
● 协议攻击。
● 体积攻击。
这三种方法依赖于不同的技术,但熟练的黑客可以使用所有三种策略来压倒一个目标。
应用层攻击
应用程序层攻击针对并破坏特定应用程序,而不是整个网络。黑客生成大量 HTTP 请求,耗尽了目标服务器的响应能力。
网络安全专家以每秒请求数 ( RPS ) 衡量应用层攻击。这些攻击的常见目标包括:
● 网络应用程序。
● 联网应用程序。
● 云服务。
试图阻止这种类型的 DDoS 攻击具有挑战性,因为安全团队经常难以区分合法和恶意的 HTTP 请求。与其他 DDoS 策略相比,这些攻击使用的资源更少,一些黑客甚至可以仅使用单个设备来编排应用层攻击。
应用级 DDoS 的另一个常见名称是第 7 层攻击。
协议攻击
协议 DDoS 攻击(或网络层攻击)利用了管理互联网通信的协议或程序中的弱点。虽然应用程序级 DDoS 针对特定应用程序,但协议攻击的目标是降低整个网络的速度。
两种最常见的基于协议的 DDoS 攻击是:
● SYN 泛洪:此攻击利用 TCP 握手过程。攻击者向目标发送带有虚假 IP 地址的 TCP 请求。目标系统响应并等待发送方确认握手。由于攻击者从不发送响应以完成握手,因此不完整的进程堆积并最终导致服务器崩溃。
● Smurf DDoS:黑客使用恶意软件创建附加到虚假 IP 地址的网络数据包(欺骗)。该包包含一个 ICMP ping 消息,该消息要求网络发回回复。黑客再次将响应(回显)发送回网络 IP 地址,从而形成无限循环,最终导致系统崩溃。
网络安全专家以每秒数据包 ( PPS ) 或每秒比特数 ( BPS ) 来衡量协议攻击。协议 DDoS 如此普遍的主要原因是这些攻击可以轻松绕过配置不当的防火墙。
体积攻击
基于容量的 DDoS 攻击通过虚假数据请求消耗目标的可用带宽并造成网络拥塞。攻击者的流量阻止合法用户访问服务,阻止流量流入或流出。
最常见的容量 DDoS 攻击类型是:
● UDP 泛洪:这些攻击允许黑客使用包含无状态 UDP 协议的 IP 数据包淹没目标主机上的端口。
● DNS 放大(或 DNS 反射):此攻击将大量 DNS 请求重定向到目标的 IP 地址。
● ICMP 泛洪:此策略使用 ICMP 错误错误请求来使网络带宽过载。
所有体积攻击都依赖于僵尸网络。黑客使用大量受恶意软件感染的设备来导致流量激增并耗尽所有可用带宽。容量攻击是最常见的 DDoS 类型。
防止 DDoS 攻击的 7 个最佳实践
虽然没有办法阻止黑客尝试造成 DDoS,但适当的计划和主动措施可以降低攻击的风险和潜在影响。
创建 DDoS 响应计划
您的安全团队应制定事件响应计划,以确保员工在发生 DDoS 时迅速有效地做出响应。该计划应包括:
● 关于如何应对 DDoS 攻击的清晰分步说明。
● 如何维护业务运营。
● 主要工作人员和主要利益相关者。
● 升级协议。
● 团队责任。
● 所有必要工具的清单。
● 关键任务系统列表。
确保高水平的网络安全
网络安全对于阻止任何 DDoS 攻击企图至关重要。由于攻击只有在黑客有足够的时间堆积请求时才会产生影响,因此及早识别 DDoS 的能力对于控制爆炸半径至关重要。
您可以依靠以下类型的网络安全来保护您的企业免受 DDoS 攻击:
● 充当网络之间流量扫描屏障的防火墙和入侵检测系统。
● 检测和删除病毒和恶意软件的防病毒和反恶意软件。
● 端点安全确保网络端点(台式机、笔记本电脑、移动设备等)不会成为恶意活动的入口点。
● Web 安全工具,可消除基于 Web 的威胁、阻止异常流量并搜索已知的攻击特征。
● 通过检查流量是否具有与源地址一致的源地址来防止欺骗的工具。
● 使用独特的安全控制和协议将系统分成子网的网络分段。
防御 DDoS 攻击还需要高水平的网络基础设施安全性。保护网络设备使您能够为流量高峰准备硬件(路由器、负载平衡器、域名系统 (DNS)等)。
有服务器冗余
依赖多个分布式服务器使得黑客很难同时攻击所有服务器。如果攻击者在单个托管设备上启动成功的 DDoS,其他服务器将不受影响并承担额外的流量,直到目标系统重新上线。
您应该在不同地区的数据中心和托管设施中托管服务器,以确保您没有任何网络瓶颈或单点故障。您还可以使用内容交付网络 (CDN)。由于 DDoS 攻击通过使服务器过载来工作,因此 CDN 可以在多个分布式服务器之间平均分担负载。
留意警告标志
如果您的安全团队能够快速识别 DDoS 攻击的特征,您就可以及时采取行动并减轻损失。
DDoS 的常见迹象是:
● 连通性差。
● 性能缓慢。
● 对单个页面或端点的高需求。
● 崩溃。
● 来自单个或一小组 IP 地址的异常流量。
● 来自具有共同配置文件(系统型号、地理位置、Web 浏览器版本等)的用户的流量激增。
请记住,并非所有 DDoS 攻击都伴随着高流量。持续时间短的小批量攻击通常作为随机事件而受到关注。但是,这些攻击可能是对更危险的破坏(例如勒索软件)的测试或转移。因此,检测少量攻击与识别成熟的 DDoS 一样重要。
考虑组织一个安全意识培训计划,让全体员工了解 DDoS 攻击的迹象。这样,您无需等待安全团队成员发现警告标志。
持续监控网络流量
使用持续监控 (CM)实时分析流量是检测 DDoS 活动痕迹的绝佳方法。CM的好处是:
● 实时监控可确保您在攻击全面展开之前检测到 DDoS 尝试。
● 团队可以建立对典型网络活动和流量模式的强烈认识。一旦您了解日常操作的外观,团队就可以更轻松地识别奇怪的活动。
● 全天候监控可确保检测到在办公时间以外和周末发生的攻击迹象。
根据设置,CM 工具会在出现问题时联系管理员,或者按照预定义脚本的响应说明进行操作。
限制网络广播
DDoS 攻击背后的黑客可能会向您网络上的每台设备发送请求以扩大影响。您的安全团队可以通过限制设备之间的网络广播来应对这种策略。
限制(或在可能的情况下关闭)广播转发是破坏大量 DDoS 尝试的有效方法。在可能的情况下,您还可以考虑指示员工禁用echo和Chargen服务。
利用云来防止 DDoS 攻击
虽然使用本地硬件和软件来应对 DDoS 威胁至关重要,但基于云的缓解没有相同的容量限制。基于云的保护可以轻松扩展和处理大型 DDoS 攻击。
您可以选择将 DDoS 防护外包给云提供商。与第三方供应商合作的一些主要好处是:
● 云提供商提供全面的网络安全,配备顶级防火墙和威胁监控软件。
● 公共云拥有比任何私有网络更大的带宽。
● 数据中心通过数据、系统和设备的副本提供高网络冗余。
在设置基于云的 DDoS 保护时,企业通常有两种选择:
● 按需云 DDoS 缓解:这些服务在内部团队或提供商检测到威胁后激活。如果您遭受 DDoS,提供商会将所有流量转移到云资源以保持服务在线。
● 始终在线的云 DDoS 保护:这些服务通过云清理中心路由所有流量(以较小的延迟为代价)。此选项最适合无法承受停机时间的任务关键型应用程序。
如果您的内部团队拥有必要的专业知识,您可能不需要仅仅依靠云提供商来提供基于云的 DDoS 保护。您可以设置混合或多云环境并组织流量以获得与按需或始终在线 DDoS 保护相同的效果。
不要忽视 DDoS 威胁
DDoS 威胁不仅变得更加危险,而且攻击的数量也在增加。专家预测,到 2023 年,每年 DDoS 尝试的平均次数将上升到 1540 万次。该数字表明几乎每个企业都会在某个时候面临 DDoS,因此为这种攻击类型做准备应该是您安全待办事项列表的首要任务。
下一条: .SG新加坡域名争议的运作流程