對於威脅行為者而言,分佈式拒絕服務(Distributed denial-of-service,DDoS)攻擊仍然是從受害者處敲詐金錢、竊取數據的首選武器,甚至為了進一步黑客主義意圖,還可以隨時發起大規模網絡戰爭。分佈式拒絕服務(DDoS)攻擊旨在耗盡網絡、應用程序或服務的資源,使真正的用戶無法獲得訪問權限。
曾經這一主要在金融服務、電子商務和遊戲行業氾濫的威脅,如今已經成為各種規模的企業都需要面臨的一種威脅形式。如今,出於差不多同樣的動機,小型企業也開始像大型企業一樣,成為了DDoS攻擊的目標。
隨著殭屍網絡構建工具包和所謂的“stresser”、“booter”以及其他DDoS出租服務的廣泛運用,幾乎任何人都可以針對他們所選擇的目標發起DDoS攻擊。如今,不再僅僅是國家支持的黑客和APT組織能夠使用DDoS基礎架構,就連普通的網絡犯罪分子也能夠輕鬆發起一場DDoS攻擊。
DDoS攻擊究竟為何物?
DDoS是英文Distributed Denial of Service的縮寫,意即“分佈式拒絕服務”,目的是耗盡可用於網絡、應用程序或服務的資源,阻止合法用戶對正常網絡資源的訪問,讓網站響應不及時而癱瘓。
DDoS與一般黑客尋找漏洞,劫持用戶網絡進行注入的惡意攻擊不同,DDoS並不需要特定的入口來打入目標內部,而是通過很多“殭屍主機”(被攻擊者入侵過或可間接利用的主機)向受害主機發送大量看似合法的網絡包,從而造成網絡阻塞或服務器資源耗盡而導致拒絕服務,分佈式拒絕服務攻擊一旦被實施,攻擊網絡包就會猶如洪水般湧向受害主機,從而把合法用戶的網絡包淹沒,導致合法用戶無法正常訪問服務器的網絡資源,因此DDoS也被稱作“洪水式攻擊”。
DDoS攻擊體系結構
DDoS攻擊有不同的類型,但一般而言,DDoS攻擊是從多個不同的主機同時發起的,甚至會影響最大企業的互聯網服務和資源的可用性。
對許多企業來說,DDoS每天都會發生。根據第十次全球基礎設施安全報告,42%的受訪者每月發現超過21起DDoS攻擊,而2013年這一比例為25%。這些攻擊不僅僅是頻率在增加,而且規模也在擴大。2013年,有不到40次攻擊,超過100 Gbps,但在2014年,有159次攻擊100Gbps,最大的是400Gbps。2013年,只有不到40次攻擊速度超過100Gbps,但2014年有159次攻擊速度超過100Gbps,最大的攻擊速度為400Gbps。
企業網絡應選擇最佳的DDoS攻擊防範服務,以確保其網絡安全性。
DDoS攻擊的類型
不同類型的DDoS攻擊差別很大,但通常可分為三大類:
1.容量耗盡攻擊——這種攻擊的目的是用寬帶消耗的流量或資源請求破壞網絡的基礎架構。
2.TCP狀態表耗盡攻擊——攻擊者使用此方法濫用TCP協議的狀態性,耗盡服務器、負載平衡器和防火牆中的資源。
3.應用層攻擊——這些攻擊的目標是第7層應用程序或服務的某些方面。
容量攻擊仍然是DDoS攻擊中最常見的攻擊類型,但是將三個矢量結合在一起的攻擊變得越來越普遍,從而增加了攻擊的廣度和規模。DDoS 的類型的分佈,其中64%是屬於容量耗盡型攻擊,18%是屬於狀態耗盡型攻擊,應用層攻擊也大約是18%。
DDoS攻擊的主要驅動因素都大致相同:政治和意識形態、惡意破壞。雖然DDoS是黑客和恐怖分子的首選進攻武器,但它也被用於勒索或破壞競爭對手的活動。
DDoS攻擊作為一種掩護策略被使用的頻率也越來越高。例如,高級持續威脅運動正在使用針對網絡的DDoS攻擊分散對方注意力,攻擊者真正目的在於洩露被盜數據。
隨著黑客社區將各種原本複雜的攻擊根據打包成易於使用、可下載的程序,即使是那些沒有必備專業知識的人也可以購買這些工具以啟動DDoS攻擊。而且情況還會變得更糟,攻擊者會採用一切辦法控制設備,從遊戲控制檯到路由器和調制解調器,以增加可以生成的攻擊流量。
這些設備具有默認打開的網絡功能,並使用默認帳戶和密碼,因而極容易成為DDoS攻擊的目標。大多數設備支持通用即插即用(UPnP),其基礎協議可能被濫用。
Akamai公司發現,有410萬面向互聯網的UPnP設備可能容易被用於反射類型的DDoS攻擊。越來越多的安全性較差或配置不良的互聯網連接設備使得攻擊者更易實施攻擊。
預防方法:標本兼治,根源防禦
到目前為止,進行DDoS攻擊的防禦還是比較困難的。首先,這種攻擊的特點是它利用了TCP/IP協議的漏洞,除非不用TCP/IP,才有可能完全抵禦住DDoS攻擊。不過這不等於我們就沒有辦法阻擋DDoS攻擊,我們可以盡力來減少DDoS的攻擊。DDoS防禦是一個系統工程,對於企業來說,需標本兼治,從根源防禦。
下面是一些基本的防禦方法:
1.確保服務器的系統文件是最新的版本,並及時更新系統補丁。
2.關閉不必要的服務。
3.限制同時打開的SYN半連接數目。
4.縮短SYN半連接的time out 時間。
5.正確設置防火牆:
禁止對主機的非開放服務的訪問;
限制特定IP地址的訪問;
啟用防火牆的防DDoS的屬性;
嚴格限制對外開放的服務器的向外訪問;
運行端口映射程序禍端口掃描程序,要認真檢查特權端口和非特權端口。
6.認真檢查網絡設備和主機/服務器系統的日誌。只要日誌出現漏洞或是時間變更,那這臺機器就可能遭到了攻擊。
7.限制在防火牆外與網絡文件共享。這樣會給黑客截取系統文件的機會,主機的信息暴露給黑客,無疑是給了對方入侵的機會。
保護面向互聯網的設備和服務,不僅保護了個人網絡的安全,也減少了由於DDoS攻擊可能被感染的設備數量。可重複測試並執行嚴格的方法:對所有類型的Web應用程序漏洞進行滲透測試。
黑客濫用生成DDoS流量的協議有NTP、DNS、SSDP、Chargen、SNMP和DVMRP,因此任何使用這些服務的用戶都需要仔細檢查配置並在強化的專用服務器上運行。
許多攻擊之所以有效,因為攻擊者可以使用偽造的源IP地址生成通信流量。企業需要採用反欺騙過濾器,以防止黑客發送的聲稱來自其他網絡的數據包。所有不同的DDoS攻擊類型都無法預測或避免,即使是資源有限的攻擊者也可能產生大量通信流量,從而導致大範圍的網絡癱瘓或嚴重破壞。
雖然幾乎不可能完全消除或減輕DDoS攻擊,但從長遠來看,減少這些問題的關鍵是確保所有設備和服務的都配置正確,這樣公共服務就無法被潛在的攻擊者無法利用和濫用。通過幫助他人,我們也將幫助自己。通過了解DDoS攻擊的原理,對我們防禦的措施再加以改進,我們可以儘量擋住一部分的DDoS攻擊。
原創文章,作者:M0tto1n,轉載自:http://www.mottoin.com/sole/view/119602.html
閱讀更多 A1d2m3i4n5 的文章
