分布式拒绝服务(DDoS)攻击旨在耗尽网络资源、应用或服务,让真正的用户无法访问。现在有不同类型的DDoS攻击,但一般来说,DDoS攻击会从多台不同主机同时进行,甚至可影响最大企业的互联网服务及资源的可用性。很多企业每天都面临DDoS攻击;根据Arbor Networks第十次全球基础设施安全报告显示,42%的受访者每个月发现超过21次DDoS攻击,在2013年这个数据是25%。不只是这种攻击的频率在增加,而且规模也在扩大。在2013年,只有不到40次攻击超过100 Gbps,而在2014年159次攻击超过100 Gbps,最大的是400 Gbps。
DDoS攻击类型探讨
不同类型的DDoS攻击存在显著不同,但一般可分为这三大类:
容量耗尽攻击——这些攻击的目的是通过带宽消耗型流量或资源削弱请求来压倒网络的基础设施。
TCP状态表耗尽攻击——攻击者使用这种方法来滥用TCP协议的状态特性,以耗尽服务器、负载均衡器和防火墙中的资源。
应用层攻击——这种攻击的目标是应用或7层网络服务的某些方面。
容量耗尽攻击仍然是最常见的DDoS攻击类型,但结合这三种攻击方式的攻击变得越来越常见,这增加了攻击的时间长度和广度。DDoS攻击背后的主要驱动力仍然是:政治和意识形态、蓄意破坏和在线游戏。是的,游戏玩家会DDoS攻击游戏基础设施只是为了在游戏中获取竞争优势以及赢得网络游戏。DDoS还是黑客分子和恐怖分子的武器,它也被用于勒索或扰乱竞争对手的业务。还有越来越多的DDoS攻击用于牵制战术,例如,高级持续威胁活动利用DDoS攻击让网络转移注意力同时渗出被盗数据。
随着黑客社区将复杂而先进的攻击工具变成易于使用可下载的程序,即使是那些不具备必要知识的人也可以发起和控制自己的DDoS攻击。这种情况只会变得更加糟糕,攻击者将会开始征召一切以增加他们可生成的攻击流量,从游戏机到路由器和调制解调器等。这些设备具有网络功能且在默认情况下开启,并使用默认账户和密码,使得它们成为DDoS攻击的目标。大多数人还使用通用即插即用(UPnP),其底层协议很容易被滥用。Akamai Technologies公司发现,410万面向互联网的UPnP设备可能容易被用于DDoS攻击。越来越多没有受到适当保护或配置的联网设备增加了攻击者生成更强大攻击的能力。
如何保护系统?
保护联网设备和服务是为了尽可能保护互联网,也是为了减少被用于DDoS攻击的设备的数量。攻击者用于生成DDoS流量的主要协议是NTP、DNS、SSDP、Chargen、SNMP和DVMRP;任何使用这些协议的服务都应该谨慎配置,并在硬化专用服务器运行。例如,运行DNS服务器的企业应该遵循NIST的Special Publication 800-81安全域名系统(DNS)部署指南,而网络时间协议网站提供了如何保护NTP服务器的建议。
很多攻击可行是因为攻击者可通过欺骗性源IP地址生成流量,企业需要部署IETF最佳做法文件BCP 38和BCP84中提到的反欺诈过滤器,以防止攻击者发送声称来自其他网络的数据包。
所有不同类型的DDoS攻击都无法预测或避免,即使只有有限资源的攻击者都可能生成大量流量破坏大型严密防护的网站。虽然我们几乎不可能完全消除或缓解DDoS攻击,但长期来看减少DDoS攻击的关键是确保所有机器和服务都得到正确配置,让公共可用的服务不能被攻击者利用和滥用。通过帮助别人,我们最终将帮助我们自己。