什么是分布式拒绝服务攻击?攻击原理是什么?

最近,IT行业的分布式拒绝服务 (distributed denial of service)攻击正在持续增加. 年前, 分布式拒绝服务攻击被认为是新手的小麻烦,他们只是为了好玩才进行的攻击,要减轻这种攻击相对来说比较容易. 不幸的是,这种情况已经不复存在. 分布式拒绝服务攻击现在是一种复杂的活动,在许多情况下, 大企业.

InfoSecurity杂志报道 2.2021年第一季度分布式拒绝服务攻击900万次,比2020年同期增长31%.

与2020年同期相比,2021年第一季度分布式拒绝服务攻击增加了31%,达到2起.900万年的袭击

与2020年同期相比,2021年第一季度分布式拒绝服务攻击增加了31%,达到2起.900万年的袭击

近年来,hth华体会官方看到了一个 指数增加 在分布式拒绝服务攻击中,这些攻击导致企业在很长一段时间内无法工作.

  • 2020年2月, 亚马逊网络服务(AWS)遭受了分布式拒绝服务攻击,其复杂程度足以让其事件响应团队忙碌数天,也影响了全球的客户.
  • 2021年2月, EXMO加密货币交易所成为分布式拒绝服务攻击的受害者,导致该机构瘫痪近5个小时.
  • 最近,澳大利亚经历了一场重大的 持续的,国家支持的分布式拒绝服务攻击.
  • 比利时也成为了针对该国议会的分布式拒绝服务攻击的受害者, 警察和大学.

每天都有成千上万的未命名的、无文件记载的、成功的分布式拒绝服务攻击继续发生. 事实上,这些攻击是最有效和代价最高的. 分布式拒绝服务上升趋势 承诺继续,让具备缓解技巧的IT专业人士成为大热门.

激烈的IT战争:什么是分布式拒绝服务攻击?

尽管分布式拒绝服务攻击变得越来越普遍,但它可能相当高级,难以对付. 但究竟什么是分布式拒绝服务攻击,分布式拒绝服务代表什么?

分布式拒绝服务是分布式拒绝服务的简称. 当威胁参与者使用多个资源时,就会发生分布式拒绝服务攻击, 可以攻击组织在线操作的远程位置. 通常,分布式拒绝服务攻击的重点是生成操纵 网络设备和服务的默认,甚至正确的工作方式.g.、路由器、命名服务或缓存服务). 事实上,这是主要问题.

复杂的分布式拒绝服务攻击不一定要利用默认设置或开放中继. 它们利用了正常行为,并利用了当前设备上运行的协议最初是如何设计运行的. 就像社会工程师操纵人类沟通的默认工作方式一样, 分布式拒绝服务攻击者操纵hth华体会官方都依赖和信任的网络服务的正常工作.

当分布式拒绝服务攻击发生时, 目标组织的一个或多个服务遭遇严重中断,因为攻击已经用HTTP请求和通信量淹没了它们的资源, 拒绝合法用户访问. 分布式拒绝服务攻击 被列为hth华体会官方这个时代的四大网络安全威胁之一 社会工程, ransomware 供应链攻击.

前4大网络安全威胁:社会工程,分布式拒绝服务攻击,供应链攻击,勒索软件

现代战争:避免对分布式拒绝服务攻击的混淆

将分布式拒绝服务攻击与其他网络威胁相混淆相对容易. 事实上, IT专业人士甚至网络安全专业人士对分布式拒绝服务攻击是如何工作的知识严重缺乏.

在分布式拒绝服务攻击中, 网络罪犯利用发生在网络设备和服务器之间的正常行为, 经常 针对网络设备 可以连接到互联网. 因此,攻击者主要集中在网络边缘设备(e.g.,而不是单独的服务器. 分布式拒绝服务攻击会破坏网络的管道(带宽)或提供服务的设备 的带宽.

这里有一个有用的类比:想象一下,有几个人同时给你打电话,这样你就不能打电话或接电话,也不能用手机做任何其他用途. 这个问题一直存在,直到您通过提供商阻止这些调用.

请注意,您没有对实际的移动设备进行修复、升级或其他调整. 而不是, 你可以通过使用手机供应商的屏蔽服务来修复攻击者和你手机之间的连接.

分布式拒绝服务攻击时也会发生类似的情况. 而不是修改被攻击的资源, 您可以在网络和威胁参与者之间应用修复程序(也称为缓解程序).

网络攻击者关注的是边缘网络设备,而不是单个服务器.
 
 

分布式拒绝服务 vs. DoS攻击:区别是什么?

避免混淆分布式拒绝服务(分布式拒绝服务)攻击和DoS(拒绝服务)攻击是很重要的. 虽然只有一个词将这两种攻击区分开来,但这些攻击在性质上有很大的不同.

  • 严格定义, 典型的分布式拒绝服务攻击操纵攻击者和受害者之间的许多分布式网络设备,在不知情的情况下发动攻击, 利用合法的行为.
  • 传统的DoS攻击不使用多重攻击, 分布式设备, 它也不关注攻击者和组织之间的设备. 这些攻击往往也不使用多个互联网设备.

描述DoS攻击和分布式拒绝服务攻击异同的维恩图

典型的DoS攻击包括以下几种:

  • 单一SYN洪水: 当攻击者使用单个系统发出SYN包的泛洪攻击时,就会发生这种情况, 操作典型的TCP三向握手. 例如,某人可能使用Kali Linux生成SYN flood 计算机不是真正的分布式拒绝服务攻击,因为攻击只来自一个设备. 即使攻击者使用IP地址欺骗,也会出现这种情况. 真正的分布式拒绝服务攻击是由网络级设备产生的,针对的是网络级设备. 换句话说,您使用多个路由器或Memcached服务器来攻击网络.
  • "死亡之声": 年前, 一些网络驱动程序包含有缺陷的代码,如果系统收到包含某些参数的ICMP数据包,这些代码会使系统崩溃.
  • 懒猴攻击: 懒猴攻击通常被称为分布式拒绝服务攻击, 但是因为攻击目标是特定的服务器(在本例中, a Web服务器),通常不使用中间网络设备, 它是典型的传统DoS攻击.

上述每一种DoS攻击都利用了特定主机的软件或内核弱点. 要解决这个问题,您需要修复主机,并/或过滤流量. 如果您可以升级服务器来减轻攻击,那么它就不合格 作为传统的分布式拒绝服务攻击.

请记住,在分布式拒绝服务攻击中,威胁主体采用资源消耗策略. 这种策略包括使用看似合法的请求来压倒合法的系统, 事实上, 不合法的, 导致系统问题.

攻击策略:分布式拒绝服务攻击类型

分布式拒绝服务攻击一般有三种类型.

1. 应用程序层

应用层攻击的目标是实际提供服务的软件, 如Apache服务器, 互联网上最流行的网络服务器, 或任何通过 云提供商. 这是最常见的分布式拒绝服务攻击形式,通常被称为第七层攻击, 后对应的应用层编号 OSI / RM.

2. 协议

当攻击占用关键服务器和基于网络的设备的资源时,就会发生这种情况, 例如服务器的操作系统或防火墙. 当这些资源被占用时,平衡器被加载. 协议攻击通常包括 在OSI / RM的第3层和第4层(网络层和传输层)操作流量, 分别). 这是第二种最常见的分布式拒绝服务攻击形式.

3. 体积

当攻击占用关键服务器和基于网络的设备的资源时,就会发生这种情况, 例如服务器的操作系统或防火墙. 当这些资源被占用时,平衡器被加载. 协议攻击通常包括 在OSI / RM的第3层和第4层(网络层和传输层)操作流量, 分别). 这是第二种最常见的分布式拒绝服务攻击形式.

在某些情况下, IT和网络安全专家认为基于协议和应用的分布式拒绝服务攻击是一类攻击.

收集情报:为什么你需要了解分布式拒绝服务攻击

分布式拒绝服务攻击问题越来越多,IT专业人员需要做好准备.

  • 七层攻击在2020年增加,到2021年, 根据云Flare.
  • 在2020年第一季度,超过100gb /s的分布式拒绝服务攻击数量增长了近10倍(967%), 根据Comparitech.
  • 容量攻击的绝对规模已经增长到压倒性的比例. 云Flare也报道 500 Mbps的分布式拒绝服务攻击已经成为容量标准 攻击.
  • 分布式拒绝服务攻击越来越普遍. In 2021, ZDNet报道 过去两年分布式拒绝服务攻击至少增长了154%.
  • 攻击变得更加复杂. 攻击者将分布式拒绝服务和其他类型的攻击结合起来, 包括ransomware.
  • 分布式拒绝服务攻击者采用了复杂的人工智能(AI)和机器学习方法来帮助他们进行攻击. 例如, 分布式拒绝服务僵尸网络采用机器学习的方法,通过精密的网络侦察来查找 最脆弱的系统. 他们还使用人工智能来重新配置自己,以阻止检测和改变攻击策略. 现代攻击很可能表现为防御者和攻击者让ai系统相互竞争.
  • 分布式拒绝服务攻击者采用了混合攻击策略. 他们将各种攻击方法与社会工程相结合, 窃取凭证和物理攻击, 使得实际的分布式拒绝服务攻击只是多层面方法中的一个因素.
攻击平均500mbps, 超过100gb /s的分布式拒绝服务攻击增加了967%, 分布式拒绝服务攻击增长了154%

战术战争:分布式拒绝服务攻击者如何避免被发现

众所周知,分布式拒绝服务攻击是狡猾的,因此很难控制. 它们如此不可靠的原因之一是难以确定起源. 威胁参与者通常采用三种主要策略来实施分布式拒绝服务攻击:

1. 欺骗

默认情况下,IPv4和IPv6没有验证和跟踪流量的能力. 特别是IPv4网络,欺骗源地址和目的地址非常简单. 分布式拒绝服务攻击者利用这个问题,伪造具有 伪造源地址. 作为一个结果, 攻击者有可能通过向从未真正发出请求的受害主机发送数百万个响应,从而欺骗合法设备响应这些数据包.

2. 反射

攻击者通常希望隐藏他们参与分布式拒绝服务攻击的任何痕迹. 要做到这一点, 它们操纵Internet服务的默认行为,以便这些服务有效地隐藏实际的攻击者. 这些类型的攻击中经常使用的服务 包括数千个域名系统(DNS), NTP (Network Time 协议)和SNMP (Simple Network Management)服务器. 这是分布式拒绝服务策略吸引攻击者的主要原因之一. 互联网服务不仅提供了 交通, 但它们也往往使防御者更难追踪攻击的起源,因为大多数服务器都没有保存使用它们的服务的详细日志.

3. 放大

放大是一种策略,它让分布式拒绝服务攻击者使用源倍增器生成大量流量,然后针对受害主机. 放大攻击不使用僵尸网络,它只是一种允许攻击者使用的策略 发送一个伪造数据包,然后欺骗合法服务发送数百个, 如果不是数以千计, 对受害网络或服务器的回复.

非常重要的是要了解分布式拒绝服务攻击使用正常的互联网操作来进行破坏. 这些设备不一定配置错误, 他们的行为就像他们应该做的那样. 攻击者只是 找到了一种利用这种行为并操纵它来进行分布式拒绝服务攻击的方法.

分布式拒绝服务攻击示例图

此外,网络设备和服务经常在不知情的情况下成为分布式拒绝服务攻击的参与者. 这三种策略利用了全球网络资源的默认行为. 这些资源包括:

  • 路由器
  • 开关
  • 防火墙
  • 负载平衡器
  • 缓存服务器
  • 边网络设备
  • 移动塔(包括4G和5G)

战斗持续时间:分布式拒绝服务攻击持续的时间?

分布式拒绝服务攻击在长度和复杂度上差别很大. 分布式拒绝服务攻击可以持续很长一段时间,也可以很短:

  • 长期的攻击: 在数小时或数天内发动的攻击被认为是长期攻击. 例如,针对AWS的分布式拒绝服务攻击造成了3天的中断,最终被缓解.
  • 爆炸攻击: 这些分布式拒绝服务攻击发生的时间很短,只持续一分钟甚至几秒钟.

不要被欺骗. 尽管爆发攻击非常迅速,但实际上它具有极大的破坏性. 随着物联网(IoT)设备和功能日益强大的计算设备的出现, 它可能产生更多的流量比 以往任何时候. 因此,攻击者可以在很短的时间内创建更大的流量. 突发分布式拒绝服务攻击通常对攻击者有利,因为它更难跟踪.

技术战争:僵尸网络和分布式拒绝服务攻击

僵尸网络是由大量计算机组成的网络,可以用来进行分布式拒绝服务攻击. 它们通常由被破坏的计算机组成.g., 物联网设备、服务器、工作站、 路由器等.)或僵尸,它们由中央服务器控制.

攻击者并不一定需要僵尸网络来进行分布式拒绝服务攻击. 威胁行为者可以简单地操纵互联网上成千上万的网络设备,这些设备要么配置错误,要么按照设计的方式运行.

然而,这很重要 了解基于僵尸网络的分布式拒绝服务攻击是如何发生的.

 

一个更复杂的数字敌人:分布式拒绝服务攻击的演变

网络安全的一个现实是,大多数攻击者都是有一定才能的人,他们知道如何操纵特定的网络条件或情况. 尽管经常有关于高级持续性威胁的讨论 (APT)和越来越老练的黑客,现实往往要平凡得多.

例如,大多数分布式拒绝服务攻击者只是找到一个特定的协议. 他们将发现,他们可以操纵传输控制协议(TCP)握手,以创建SYN包或特定类型的服务器的泛滥攻击, 比如记忆 缓存守护进程(通常称为“Memcached”,用于内存缓存守护进程). Memcached服务是一个合法的服务,经常用于帮助加速网络应用程序. 攻击者经常利用Memcached实现 没有得到妥善的保护,甚至是那些正常运行的.

攻击者还发现,他们可以破坏物联网设备, 比如网络摄像头或婴儿监视器. 但是今天,攻击者有了更多的帮助. 最近的进步带来了具有前所未有潜力的人工智能和连接能力. 和合法 系统管理员, 攻击者现在有了语音识别功能, 机器学习和数字路线图可以让他们操作你家里或办公室的集成设备, 比如智能恒温器, 家用电器和家庭安全系统.

攻击计划:基于僵尸网络的分布式拒绝服务攻击剖析

分布式拒绝服务流量有很多不同的种类. 在僵尸网络攻击的情况下, 分布式拒绝服务攻击者正在使用僵尸网络协助协调攻击. 了解流量的类型将有助于选择主动的识别措施 和缓解. 点击红色加号可以了解更多关于每种类型分布式拒绝服务流量的信息.

1. 命令与控制&C)

僵尸网络管理员, 或者一个牧人, 使用中央服务器或服务器网络来控制僵尸网络的数千名成员. 每当牧人发出一个命令来控制僵尸网络时,这被称为命令与控制(C&C) 交通. 实际的管理员通常远离僵尸网络或C&C服务器,网络流量通常是欺骗的,通常使检测困难. C&然后C操作符发出命令来操作网络服务 和设备创建分布式拒绝服务攻击.

2. 协调

最有效的分布式拒绝服务攻击是高度协调的. 对于协同攻击,最好的类比是将分布式拒绝服务僵尸网络比作一群火蚁. 当一群火蚁决定攻击时,它们首先要找好位置,做好准备 对这次袭击. 在没有明显警告的情况下,按照单一指令行事, 它们等待信号,然后同时行动.

3. 报警/心跳交通

每当一个被破坏的系统调用一个C&C服务器,据说是信标. 在僵尸网络成员和它的控制器之间传递的流量通常具有特定的, 独特的模式和行为. 因此,有一个很小的机会 以便安全分析师识别该流量,并将其作为阻止分布式拒绝服务攻击的签名.

4. 攻击流量

  • 第七层: 许多现代的基于僵尸网络的分布式拒绝服务攻击使用HTTP flood的GET和POST流量来使组织设备失效.
  • 协议为基础的攻击: 如上所述,这些攻击可以包括操纵各种协议,从TCP、UDP和ICMP.
  • 放大: 分布式拒绝服务攻击者经常使用僵尸网络来识别和攻击基于互联网的资源,这些资源可以帮助产生大量的流量.
  • 反映: 当威胁参与者使用一个或一系列系统来有效地隐藏来源时,反射攻击就发生了.

5. 操作技术(OT) /物联网

  • OT: 对OT的攻击涉及具有编程和与之关联的IP地址的物理项. 这可能是用来控制电网的设备, 管道, 汽车, 无人机和机器人.
  • 物联网: 物联网设备包含可以相互通信或集成的单个系统. 一些例子包括视频门铃, 智能恒温器, 聪明的手表, 具有ip功能的灯泡和打印机.

6. 不寻常的交通

非典型交通包括使用反射和放大等策略, 通常是在同一时间.

7. 多重向量

现代的分布式拒绝服务攻击结合了不同的攻击策略, 包括Layer 7的使用, 体积,甚至看似无关的方法, 比如勒索软件和恶意软件. 事实上,这三种攻击类型已经成为一种三连胜 在分布式拒绝服务攻击世界中变得越来越突出.

C的图解&C和心跳流量
 
 

装配武器:了解分布式拒绝服务攻击工作原理的工具

分布式拒绝服务攻击有多种形式,并不断演变,包括各种攻击策略. It专业人员必须掌握攻击如何工作的知识.

有三种模型可以帮助了解分布式拒绝服务攻击的内部工作原理:

  • 洛克希德·马丁网络杀伤链: 为了帮助提供攻击策略的框架,该模型概述了七个步骤 进行长期持续的分布式拒绝服务攻击. 这个模型没有考虑到僵尸网络对系统的危害.
  • 斜接丙氨酸&CK模型: 该模型描述了现实世界中的攻击,并提供了已知的对抗策略和技术的知识库,以帮助IT专家分析和预防 未来的事件. 这个模型对于那些希望防御分布式拒绝服务攻击的人特别有用,因为它允许您分析攻击者并确定他们的策略.
  • 入侵分析的钻石模型: Diamond模型帮助组织权衡对手的能力和能力 在hth华体会官方的博客中讨论过 三大网络安全模型. 尽管钻石模型已经诞生了 为了模拟实际的入侵,它对于识别分布式拒绝服务攻击也很有用.

作为资讯科技专业人士, 了解如何处理分布式拒绝服务攻击是至关重要的,因为大多数组织必须随着时间的推移管理一种或另一种攻击. 安全分析师和威胁追踪者经常使用ATT&CK模型和斜接丙氨酸&CK 导航器,以帮助识别允许分布式拒绝服务攻击特别成功的条件.

主要攻击简史:分布式拒绝服务实例

多年来,分布式拒绝服务攻击的案例非常多. 让hth华体会官方从一个简短的主要分布式拒绝服务攻击列表开始, 它们背后的动机以及它们对hth华体会官方的数字世界的持久影响. 点击 红色加号,了解更多关于这些主要分布式拒绝服务攻击的信息.

1. 爱沙尼亚:2007年4月27日

对爱沙尼亚的分布式拒绝服务攻击是为了回应为一个军事公墓修建政治分裂纪念碑的行动. 要讲俄语的爱沙尼亚人, 这座雕像象征着纳粹的解放, 而是爱沙尼亚人, 纪念碑象征着 苏联压迫. 俄裔爱沙尼亚人开始暴动,许多人被公开激怒. 4月27日那一周,一连串的网络攻击爆发了,其中大多数是分布式拒绝服务类型的攻击. 个人使用ping flood和僵尸网络发送垃圾邮件和获取信息 倒下了许多金融机构、政府部门和媒体. 这种攻击仍然被认为是迄今为止最复杂的攻击之一,并且是一个国营分布式拒绝服务攻击的可靠例子.

2. 格鲁吉亚共和国:2008年7月20日

In 2008, 格鲁吉亚共和国遭受了大规模分布式拒绝服务攻击, 就在几周前被俄罗斯入侵. 这次攻击似乎是针对格鲁吉亚总统的,关闭了几个政府网站. 后来人们相信 这些攻击企图削弱同格鲁吉亚同情者沟通的努力. 此后不久,格鲁吉亚成为俄罗斯入侵的受害者. 这次攻击被认为是有组织的网络攻击的典型例子 与物理战. 世界各地的网络安全专家和军事组织都在研究它,以了解数字攻击如何与实体攻击协同工作.

3. Spamhaus: 2013年3月18日

臭名昭著的"几乎摧毁互联网的攻击,“Spamhaus事件是, 当时, 互联网历史上最大的分布式拒绝服务攻击. 当一个名为Cyberbunk的组织被加入黑名单时,引发了这次攻击 Spamhaus的. 为了报复, 该组织的目标是反垃圾邮件组织,该组织通过分布式拒绝服务攻击限制了他们当前的垃圾邮件活动,最终增长到300gbps的数据流.

这次攻击非常危险,甚至连云flare都被攻击了, 一家专门对付这些攻击的网络安全公司, 一段短暂的时间.

4. 占领中环:2014年6月

“占中”期间发生的分布式拒绝服务攻击是为了削弱2014年香港发生的亲民主抗议活动. 两个独立的新闻网站,苹果日报和PopVote,以发布支持内容而闻名 支持民主的团体.

“占领中心”的数据流比Spamhaus的攻击大得多,达到了500gbps. 这种攻击能够通过将垃圾包伪装成合法流量来绕过检测. 许多人猜测这次攻击是由中国政府发起的 为了镇压民主情绪.

5. 日期:2016年10月21日

DNS服务提供商Dyn遭到了大规模的分布式拒绝服务攻击. 这次攻击的目标是使用Mirai僵尸网络的该公司的服务器,摧毁了数千个网站. 这次攻击影响了股价,并为这些漏洞敲响了警钟 在物联网设备.

Mirai僵尸网络由一组物联网设备组成. 僵尸网络是通过利用物联网消费设备上的默认登录凭据组装起来的,终端用户从未更改过该凭据. 攻击影响69服务 包括亚马逊、CNN和Visa等巨头.

6. GitHub: 2018年2月28日

历史上最大的分布式拒绝服务攻击之一就是针对GitHub的, 被许多人视为最杰出的开发平台. 当时,这是历史上最大的分布式拒绝服务攻击. 然而,由于预防措施,平台 只离线了几分钟吗.

攻击者欺骗了GitHub的IP地址, 获得对Memcache实例的访问,以提高针对平台的流量. 该组织迅速通知了支持人员, 交通被安排通过洗涤中心以减少损失. GitHub在10分钟内恢复并运行.

7. 亚马逊网络服务(AWS): 2020年2月

AWS以领先的云计算服务提供商而闻名. 该公司, 是零售巨头亚马逊的子公司, 持续了一次令人印象深刻的分布式拒绝服务攻击,让他们的响应团队忙了好几天.

据说是迄今为止同类中最大的, 对AWS的分布式拒绝服务攻击达到了令人印象深刻的2次攻击.3 Tbps,超越前1.7真沸点. AWS团队抗击了攻击,在三天之后终于减轻了威胁 入侵.

8. 谷歌:2017年9月(2020年10月报道)

事情发生了奇怪的转折, 谷歌报告了分布式拒绝服务攻击,超过了对Amazon的攻击, 声称减轻了2.5 Tbps事件几年前. 这次攻击来自中国境外的一个国家支持的网络犯罪组织 时间跨度为六个月.

谷歌泄露了2020年底的洪水袭击,试图引起人们对国家支持的袭击增加的关注. 该组织没有具体说明该事件造成了任何数据丢失, 但计划加强预防措施加以阻挠 袭击事件的上升.

9. 行业的攻击:2019 - 2021

近年来, 从制造业、零售业到金融机构,甚至政府部门,多个行业都报告了特定行业分布式拒绝服务攻击的增加率. 2021年5月对比利时政府的袭击 影响了200多个组织. 但它是专门设计来扰乱政府运作的. 针对特定行业的分布式拒绝服务攻击可以被用作政治异议或表示对某些商业惯例的不同意 或者理想.

谁执行分布式拒绝服务攻击

攻击者配置文件:谁进行分布式拒绝服务攻击?

你经常会看到一些邪恶的形象,戴着黑色头巾的人象征着恶意的威胁者. 在现实中, 这些攻击团体通常为当局所熟知,并使用分布式拒绝服务战术来获得影响力, 扰乱政府和军事行动 或导致人们对市场部门、公司品牌或老牌机构失去信心.

不管这些攻击的动机是什么, 黑客很容易被雇佣来帮助发起分布式拒绝服务攻击——就像可以雇佣的枪一样. 个人或整个商业团体都可以在 黑暗的网络, 通常在服务模型下,类似于 基础设施即服务(IaaS) or 软件即服务(SaaS). 事实上, Radware于2020年8月发布了全球安全警报,以应对日益普遍的ddos租用攻击.

攻击的动机:分布式拒绝服务攻击背后的原因

为了阻止分布式拒绝服务攻击,重要的是要了解事件的起因. 而分布式拒绝服务攻击在战术和方法上有很大的不同, 分布式拒绝服务攻击者也可能有多种动机, 包括以下.

  • 金融的动机: 分布式拒绝服务攻击通常与勒索软件攻击相结合. 攻击者发送一条消息通知受害者,如果受害者支付费用,攻击将停止. 这些攻击者通常是有组织犯罪集团的一部分. 今天, 虽然, 这些辛迪加可以小到十几个人,他们拥有网络知识和额外的时间. 有时,竞争对手甚至会相互进行分布式拒绝服务攻击,以获得竞争优势.
  • 意识形态的动机: 在政治局势中,攻击往往针对压迫性的统治机构或抗议者. 这种分布式拒绝服务攻击通常是为了支持特定的政治利益或信仰系统, 比如宗教.
  • 国家资助的动机: 当政治动荡或分裂变得明显时,分布式拒绝服务攻击通常是为了给军队或平民造成混乱.
  • 战术的动机: 在这种情况下,分布式拒绝服务攻击是作为更大行动的一部分进行的. 在某些情况下,攻击活动包括物理攻击或另一系列基于软件的攻击. 例如,众所周知,军方会联合使用分布式拒绝服务攻击 用物理的. 战术攻击被用来转移人们对常规IT任务的注意力,以利用一个不同的目标——老式的诱饵交换网络攻击.
  • 业务/经济动机: 这种类型的分布式拒绝服务攻击有助于收集信息或对特定行业造成破坏. 例如, 针对索尼等公司的攻击, 英国航空公司和Equifax导致消费者完全失去信心 行业.
  • 敲诈勒索的动机: 其他攻击被用来通过勒索手段获得一些个人或金钱利益.

导弹发射:执行分布式拒绝服务攻击的工具

攻击者使用多种设备攻击组织. 以下是一些用于分布式拒绝服务攻击的常用工具:

  • 服务: 其中包括Memcached(用于加速数据库和基于网络的事务), DNS服务器, NTP和SNMP.
  • 网络设备: 网络设备包括路由器、交换机等.
  • 僵尸网络: 分布式拒绝服务攻击中常用的被攻击系统的集合.
  • 物联网设备: 联网设备的弱点可能被网络罪犯利用,使它们变成僵尸. 臭名昭著的Mirai僵尸网络被用来使用不安全的婴儿监视器发起一系列攻击.
  • AI: 黑客利用人工智能在分布式拒绝服务攻击时自动修改代码,这样即使有防护措施,攻击也能保持有效.
  • 遗留设备的开发: 较旧的硬件经常暴露于更多的漏洞,并且经常被瞄准和利用.
分布式拒绝服务攻击常用工具示意图

Recon的作用:跟踪分布式拒绝服务攻击

分布式拒绝服务攻击者每天都变得越来越精明. 袭击的规模和持续时间都在扩大,没有放缓的迹象. 组织需要把握事件的脉搏,以了解它们对分布式拒绝服务攻击的敏感程度.

以下是一些可以帮助您跟踪最新分布式拒绝服务攻击的资源:

  • Mazebolt全球分布式拒绝服务攻击名单: 此资源提供一个包含日期等信息的攻击运行列表, 原产国, 停机时间, 攻击细节,甚至链接到有关事件的新闻信息.
  • 网络安全威胁情报(CTI)共享资源:
    • hth华体会官方ISAO: hth华体会官方拥有一个致力于共享与威胁相关的情报并提供可采取行动的见解的组织 解决网络安全问题.
    • U.S. CISA自动指标共享: CISA提供的工具能够实时共享网络威胁信息,以帮助限制攻击的流行.
    • 联邦调查局Infragard: 联邦调查局和私营部门之间的合作, InfraGard支持共享有关攻击和缓解技术的信息.
  • 数字攻击地图: 这张地图显示了全球分布式拒绝服务攻击的实时动态,并允许您按类型进行过滤, 源端口, 持续时间和目的端口.
  • AlienVault开放威胁交换: 这个威胁情报社区提供免费获取威胁指标的途径,并允许与他人共享威胁研究.
  • 威胁butt互联网黑客攻击归因图: 该地图提供了全球分布式拒绝服务攻击的实时跟踪.
  • 它现在是下降的吗?: 当您怀疑有攻击时,这个资源是一个很好的起点. 通过输入域名和这个工具来检查一个网站是否宕机 将返回即时结果.

数字攻击地图的截图

易受分布式拒绝服务攻击的扇区

目标识别:分布式拒绝服务攻击者最常攻击的目标是什么?

而任何行业的组织都是脆弱的, 这些行业最容易受到分布式拒绝服务攻击:

  • 卫生保健
  • 政府
  • 互联网服务供应商(isp)
  • 云服务提供商

盯着敌人:识别分布式拒绝服务攻击

从战术分布式拒绝服务缓解的角度来看, 你需要具备的主要技能之一是模式识别. 能够发现表明正在发生分布式拒绝服务攻击的重复是关键, 特别是在最初的阶段. 自动化的应用程序和 人工智能经常被用作助手, 但通常公司需要熟练的IT专业人员来区分合法流量和分布式拒绝服务攻击.

工作人员通常会寻找以下分布式拒绝服务攻击的警告信号:

  • 来自现有缓解设备的报告(e.g.、负载均衡器、云服务)
  • 客户报告服务缓慢或不可用
  • 使用相同连接的员工也会遇到速度问题
  • 在很短的时间内,多个连接请求来自一个特定的IP地址
  • 当没有进行维护时,您收到503服务不可用错误
  • 由于TTL超时,对技术资源的Ping请求超时
  • 日志显示了异常巨大的流量高峰

说明分布式拒绝服务攻击警告信号的图表

 
 

响应威胁:缓解分布式拒绝服务攻击的响应技术、服务和策略

减少分布式拒绝服务攻击与减少其他网络攻击有很大的不同, 比如那些来自勒索软件的. 分布式拒绝服务攻击通常是通过启用处理此类攻击的设备和服务来缓解. 例如,今天的 负载均衡器有时能够通过识别分布式拒绝服务模式并采取行动来处理分布式拒绝服务攻击. 其他设备可以用作中间设备,包括防火墙和专用洗涤器设备.

当试图减轻分布式拒绝服务攻击时, 您希望将服务和设备放在您的网络和被用来攻击您的系统之间. 由于攻击者通过利用合法的网络和互联网行为来生成分布式拒绝服务流量,因此任何攻击者都可以 连接的设备或服务器容易受到攻击,因为它在本质上不被认为是恶意的. 您必须创建一个中间缓解解决方案来响应该攻击. 在勒索软件或恶意软件攻击中,安全专家 一般通过在端点上升级软件或从备份中恢复来解决这个问题.

处理威胁:分布式拒绝服务攻击响应5步

响应分布式拒绝服务攻击的典型步骤包括:

1. 检测

早期检测对于防范分布式拒绝服务攻击至关重要. 寻找警告信号,上面提供,你可能是一个目标. 分布式拒绝服务检测可以通过调查报文的内容来检测基于七层和协议的攻击或利用 检测容量攻击的基于速率的度量. 当谈到分布式拒绝服务攻击时,基于速率的检测通常是首先讨论的, 但大多数有效的分布式拒绝服务攻击都不会通过基于速率的检测被阻止.

2. 过滤

透明的过滤过程有助于丢弃不需要的流量. 这可以通过在网络设备上安装有效的规则来消除分布式拒绝服务流量.

3. 转移和重定向:

这个步骤涉及到分流流量,这样它就不会影响您的关键资源. 您可以通过将分布式拒绝服务流量发送到擦洗中心或其他充当天坑的资源来重定向它. 通常建议您透明地 沟通正在发生的事情,这样员工和客户就不需要改变他们的行为来适应缓慢.

4. 转发和分析:

了解分布式拒绝服务攻击的来源很重要. 这些知识可以帮助您开发协议,积极防范未来的攻击. 虽然试图消灭僵尸网络可能很诱人,但它可能会造成后勤问题 造成法律后果. 一般不推荐使用.

5. 交替交货

在攻击发生时,可以使用几乎可以立即提供新内容或打开新网络连接的替代资源.

DDos攻击响应:检测, 过滤, 转移和重定向, 转发和分析, 交替交货

减轻分布式拒绝服务攻击的最佳方法之一是在事件响应过程中作为团队进行响应和协作. 上述步骤只能通过服务组合来实现, 设备和个人一起工作. 为 例如,为了减轻七层分布式拒绝服务攻击,通常需要做以下事情:

  • 检测方法: 组织将结合使用安全分析师和渗透活动来识别第7层攻击模式. 渗透测试器通常模拟分布式拒绝服务攻击, 安全分析师会仔细听 识别独特的特征.
  • 流量过滤: 使用清洗中心和服务来帮助重新定向和控制有害的流量.
  • 7层控制: 验证码和cookie挑战通常用于确定网络连接请求是来自机器人还是合法用户.
  • 将数据包转发给安全专家进行进一步分析: 安全分析师将进行模式识别活动,然后根据他们的发现建议缓解措施.
  • 在第7层攻击中交替传送: 使用CDN(内容分发网络)可以帮助您在资源抗击攻击时支持额外的正常运行时间. 需要注意的是,缓解装置可能会发生 问题. 它可能没有正确更新或配置, 并且在分布式拒绝服务攻击中可能会成为问题的一部分.

限制损害:分布式拒绝服务缓解技术

一旦您知道您正面临着分布式拒绝服务攻击,就需要进行缓解. 准备战斗!

物理设备在分布式拒绝服务攻击期间,管理物理设备在很大程度上与其他缓解攻击的工作不同. 通常被称为电器, 物理设备是分开的,因为分布式拒绝服务模式和流量是如此独特和困难 正确识别. 即便如此,设备对于保护小型企业免受分布式拒绝服务攻击也是非常有效的.
云洗涤设备通常被称为擦洗中心, 这些服务插入到分布式拒绝服务流量和受害网络之间. 它们接收特定网络的流量,并将其路由到不同的位置,从而将破坏与预期的来源隔离开来. 清洗中心对数据进行清洗, 只允许合法的商业流量通过目的地. 清洗服务的例子包括Akamai、Radware和云flare提供的服务.
多个互联网服务连接因为分布式拒绝服务攻击通常寻求用流量压倒资源, 企业有时使用多个ISP连接. 这使得当一个ISP不堪重负时,从一个ISP切换到另一个成为可能.
黑洞这种分布式拒绝服务缓解技术涉及使用云服务来实现称为数据接收器的策略. 服务将虚假数据包和流量泛滥通道到数据接收器,在那里它们不会造成伤害.
内容分发网络(CDN)这是一组地理上分布的代理服务器和网络,通常用于分布式拒绝服务缓解. CDN作为单一单元工作,通过多个骨干网和广域网连接快速提供内容, 从而分配网络负载. If 一个网络会被分布式拒绝服务流量淹没, CDN可以从另一组不受影响的网络传递内容.
负载均衡服务器一般用于管理合法流量, 负载均衡服务器也可以用来阻止分布式拒绝服务攻击. 当分布式拒绝服务攻击发生时,IT专家可以利用这些设备来转移某些资源的流量.
Web应用程序防火墙(WAF)用于过滤和监控HTTP流量, WAFs通常用于帮助减轻分布式拒绝服务攻击,通常是基于云的服务(如AWS)的一部分, Azure或云Flare. 虽然有时有效,专用设备或基于云的洗涤器 经常被推荐. WAF侧重于过滤流向特定网络服务器或应用程序的流量. 但真正的分布式拒绝服务攻击主要针对网络设备, 因此,拒绝服务最终意味着网络服务器, 例如. 尽管如此, 有时WAF可以与其他服务和设备一起使用,以响应分布式拒绝服务攻击.

市场上几乎所有分布式拒绝服务缓解设备都使用相同的五种机制:

  • 签名
  • 行为或SYN flood
  • 基于费率和地理位置:如上所述,这通常是不可靠的.
  • 僵尸网络检测/IP信誉列表:使用列表的成功程度取决于列表的质量.
  • 挑战与回应

准备就绪的武器:分布式拒绝服务缓解服务

数以百计的组织提供设备和服务,旨在帮助您防止或打击分布式拒绝服务攻击. 下面显示了这些服务和设备的一个小示例.

分布式拒绝服务缓解供应商

提供的服务

AWS盾

提供对第3层和第4层攻击的保护. 所有顾客均可免费享用. 对第七层攻击的额外保护是收费的.

Neustar 分布式拒绝服务保护

解决方案包括基于云计算的, 内部和混合保护完全专注于挫败分布式拒绝服务攻击.

云flare 分布式拒绝服务保护

三层、四层、七层服务免费,更先进的分布式拒绝服务防护服务收费.

Akamai 一个非常受欢迎的服务,帮助抵御容量分布式拒绝服务攻击. Akamai在世界各地拥有许多帮助识别和过滤流量的网站.
AppTrana 重点关注第7层以及容量(第3层和第4层)分布式拒绝服务流量.
阿里巴巴分布式拒绝服务 擅长减轻容量攻击.

协同防御:分布式拒绝服务响应最佳实践

请单击红色加号,以了解有关防范分布式拒绝服务攻击的八种方法的详细信息.

1. 策略创建或更改

如果您没有定义安全策略,那么创建一个安全策略是第一步. 如果您的策略比较旧,或者没有考虑到现代的分布式拒绝服务方法和问题, 是时候做一些改变了.

2. 识别关键服务

关键业务服务是那些如果受到影响将导致操作延迟的服务. 这些可能包括数据库等系统, 网络, 商务服务器, 客户关系管理, 自定义编程, AI, 机器学习, 流媒体 数据收集等等. 可能还需要概述在网络服务器上运行的所有业务关键型应用程序. 然后,您可以根据下面的示例矩阵做出决策.

3. CDN信息备份

在CDN中存储关键任务信息,以允许您的组织减少响应和恢复时间.

4. 多个ISP连接

较大的组织会希望有多个isp准备好,以防其中一个被流量淹没或不能及时提供必要的过滤服务. 作为替代或补充解决方案,您还可以聘请第三方 用来过滤分布式拒绝服务流量的清洗服务.

5. 服务器和端点备份

备份服务器资源、工作站和其他设备非常重要.

6. 风险分析

分布式拒绝服务准备方案将始终识别特定资源受到损害时所涉及的风险.

7. 识别和分配职责

组织最不希望做的事情就是在实际攻击期间或之后分配分布式拒绝服务响应的责任. 在袭击发生前分派责任.

8. 实践

类似于其他专业领域, 要知道如何应对分布式拒绝服务攻击,最好的方法就是实践. 安排专门的训练课程,在可控的环境中练习对抗攻击.

准备就绪的训练:应对分布式拒绝服务攻击的注意事项

在处理分布式拒绝服务攻击时, 有一些最佳实践可以帮助控制局面. 观察这些分布式拒绝服务攻击的注意事项.

如何处理分布式拒绝服务攻击处理分布式拒绝服务攻击时不要做的事情
与管理层和其他员工过度沟通. 领导层需要知情和参与,以便采取必要的步骤来限制损害.与公众过度沟通. 为了减少对你品牌声誉的损害,确保你能控制住攻击, 只向公众提供必要的信息.
委托任务. 分布式拒绝服务攻击意味着全体出动. 请其他IT专业人士提供反馈并跟进快速更新.假定是其他人负责处理攻击. 必须迅速处理这些攻击, 而等着移交责任会浪费宝贵的时间.
关注根本原因分析. 当试图减缓进程时,揭示攻击的原因是至关重要的.试着独自解决这个问题. 分布式拒绝服务攻击可以迅速升级. 让其他人参与您的缓解工作将有助于更快地遏制攻击.
进行分布式拒绝服务攻击模拟演习. 这可能涉及到适当地教育IT专业人员的计划或意外练习, 应对活动的工作人员和管理层.假设IT专业人员、员工或管理人员知道在分布式拒绝服务攻击期间应该做什么. 没有适当的培训, 这些攻击可能具有破坏性, 许多员工缺乏应对黑客攻击的实用技能.
与互联网服务提供商, 云服务提供商和其他服务提供商确定分布式拒绝服务攻击的相关成本. 从所有提供者获得报告. 为了摆脱攻击,您需要确切地知道您正在处理什么,并拥有文档 为了说明它.假定以前的报告仍然有效. 任何超过6个月的报告或涉及公司合并或重大业务变化之前的数据不应被视为可靠的数据.

强大的策略:分布式拒绝服务缓解矩阵

有这么多作为服务的选择, 很难知道应该使用哪些服务作为有效的分布式拒绝服务预防策略的一部分. 这个分布式拒绝服务缓解矩阵可以帮助您了解如何适当地放置服务.

服务位置缓解策略
Web服务器公司服务器的房间安装在本地Web应用防火墙(WAF)上
数据库服务器公共云负载均衡器,基于云的分布式拒绝服务缓解服务器
接受信用卡的商业服务器私有云负载均衡器,基于云的分布式拒绝服务缓解服务器,备用ISP
面向最终用户的VDI (Virtual Desktop 基础设施)主机公共云基于云的分布式拒绝服务防护服务,备用ISP,
网络基础设施内部多个备选isp,云清理服务

当然,您的矩阵会根据您的业务关键资源而变化. 同样重要的是要记住,外包仍然需要内部支持. 如果您购买了成本高昂的缓解设备或服务,则需要组织中的某个人 有足够的知识来配置和管理它.

有时候外包一套技能是很有用的. 但是,对于分布式拒绝服务攻击和其他攻击,最好是拥有内部专业知识. 否则,您可能会遇到这样一种情况:外包专家对您的分布式拒绝服务进行了更改 保护套件,然后转移到另一个组织.

分布式拒绝服务管理的IT专业技能和工具

作为一名IT专家,您可以采取一些步骤帮助自己为分布式拒绝服务攻击做好准备. 以下技巧和工具可以帮助您成功地管理事件.

攻击基础:管理分布式拒绝服务攻击需要掌握的技能

雇主会想知道你是否具备了抵御分布式拒绝服务攻击的必要技能. 将这些技能添加到您的工具集将有助于说明您挫败攻击的能力.

  • 对产品和应用进行有效的规划和管理.
  • 在回答时清楚地沟通.
  • 具备与云计算和ISP提供商合作解决困难情况和故障排除的能力.
  • 说明红队和蓝队训练的有效性.
  • 主动充当威胁猎人,识别潜在威胁并了解哪些系统对业务操作至关重要.
带有警告符号的书籍

美国的标准.S. 美国国家标准与技术协会(NIST)特别出版物(SP) 800-61为了解如何应对各种类型的攻击提供了有益的基础. IT行业也采用ISO/IEC 27035-1:2016标准 作为事故响应程序的指导方针. 一般来说, 以对事故反应良好而闻名的组织倾向于使用这些标准作为有用的指导方针, 而不是遵循绝对的规则.

IT专业人员还可以通过查看攻击演示来了解数据在特定情况下的行为. 请花时间查看以下攻击的演示:

  • Ransomware
  • 分布式拒绝服务
  • 基于浏览器的威胁

IT专业人员在电脑上学习的插图

分布式拒绝服务训练营:IT专业人士的分布式拒绝服务教育选项

持续的教育对任何IT专业人士都是必不可少的. 科技日新月异, 随着遗留系统的消亡和新平台的取代,停滞不前的IT专业人士最终将被认为是不必要的. 为了保持相关性,重要的是要继续 教育你自己.

在该行业中教授的标准和实践也将帮助您和您的组织响应分布式拒绝服务攻击. 获得适当知识水平的一种方法是学习所发现的IThth华体会官方所涵盖的标准和最佳实践 在hth华体会官方安全途径中.

端点 服务器 红色的团队 蓝色的团队 网络安全









下载考试目标 看看上面的hth华体会官方考试包括什么,并决定哪一个是正确的 你.

想了解更多关于分布式拒绝服务攻击的信息,了解最新的网络安全信息? 订阅hth华体会官方的IT职业新闻 每周文摘和每月通讯致力于网络安全, 云计算, 计算机网络, 技术支持等.

 

方面了解

  • 应答: 确认包
  • 域名: 域名系统
  • HTTP: 超文本传输协议
  • ICMP: 因特网控制消息协议
  • OSI / RM: 开放系统互连/参考模型
  • 事件响应: 管理分布式拒绝服务攻击时应采取的步骤.
  • SYN: 同步数据包
  • SYN洪水: 攻击者操纵三次TCP握手来创建分布式拒绝服务攻击.
  • TCP: 传输控制协议
  • TCP握手: 当两台计算机在TCP会话开始时相互通信时,就会发生三步处理. 也称为TCP三向握手.
  • UDP: 用户数据报协议
 

5配置分布式拒绝服务响应步骤

下载hth华体会官方免费的分布式拒绝服务攻击快速响应指南,提供缓解和响应的提示和技巧,以便您随时准备保护您的组织.

下载指南

阅读更多关于 网络安全.