DDoS - 或分布式拒绝服务攻击 - 在 1990 年代后期首次出现。即使是现在,它们仍然是任何在 Internet 上开展业务的组织面临的最大威胁之一。
什么是 DDoS?
分布式拒绝服务( DDoS ) 攻击是一种通过使主机服务器不堪重负来攻击在线基础设施(包括网站和在线应用程序)的方式。
这会阻止合法用户访问服务。
术语“分布式”是指这些攻击总是来自大量受感染的计算机或设备的方式。
Barracuda Networks 的高级云安全架构师 Gemma Allen 告诉The Daily Swig: “它们可以是一种相对简单的攻击类型,对于没有足够保护的站点来说非常有效” 。
目的是中断应用程序或站点的正常运行,使其对任何访问者都显得离线。
“DDoS 将大量流量放入队列中,以至于您的浏览器认为该站点处于离线状态,然后放弃,”BH Consulting 都柏林的安全专家 Brian Honan 说。“合法流量无法通过。”
DDoS 攻击的目的是什么?
目的可能是敲诈、破坏竞争对手的业务、抗议(DDoS 攻击通常与侵入组织有关)或作为民族国家支持的政治甚至准军事目标运动的一部分。
例如,2007 年对爱沙尼亚的 DDoS 攻击是由一个民族国家行为者指挥的——在这种情况下与俄罗斯有联系。
安全研究人员还指出,DDoS 攻击被用作一种转移手段,允许对其目标发起其他攻击,例如窃取数据。这被认为是发生在2015 年攻击英国移动运营商 TalkTalk。
而且,正如 Digital Guardian 网络安全副总裁 Tim 警告的那样,DDoS 攻击不仅限于在线应用程序或网站。任何联网设备都存在风险。
这扩大了攻击面关键的国家基础设施,包括电力和运输,以及物联网(IOT)的设备。
DDoS 攻击如何运作?
Barracuda 的 Allen 说:“DDoS 攻击的最简单形式是通过向服务充斥超出其处理能力的东西来发挥作用。”
“当然,现实中并没有这么简单,DDoS攻击已经以多种形式制造出来,利用了这个弱点。”
Allen 解释说,攻击者将从发现阶段开始,着手识别目标站点或应用程序中的弱点。他们甚至可能使用不同形式的 DDoS 来掩盖该活动。
然后攻击者选择最好的工具来利用该站点。他们可能会在暗网上购买漏洞利用程序,或者创建自己的漏洞利用程序。
不过,就其本身而言,大多数拒绝服务恶意软件对资源充足的服务器的影响有限。DDoS 攻击的工作原理是大规模运行。
正如约瑟夫·斯大林在二战期间对红军所说的那样,“数量有其自身的质量”。所以使用 DDoS。漏洞利用本身很简单,但只要启动足够多的漏洞,即使是最好的系统,它们也会压倒一切。
为此,攻击者建立或购买足够大的“僵尸网络”或僵尸网络来消灭目标。僵尸网络传统上由消费者或商业 PC 组成,通过恶意软件进入网络。最近,物联网设备已被纳入僵尸网络。
“如果我们看看2016 年的DynDNS 攻击,这是迄今为止最大的 DDoS 攻击之一,攻击是分阶段发生的,”艾伦说。
“它首先出现在一个地区,然后从数百万台被攻破并变成僵尸网络的计算机扩展到全球协同努力。”
DDoS 攻击的类型
DDoS 攻击的范围从偶然的——真正的用户压倒流行网站的资源,例如在“ Reddit 拥抱死亡”中——到复杂的漏洞利用。
简单的攻击包括“死亡 Ping”——向主机发送比 Ping 协议允许的更多的数据,或操纵 TCP 连接握手的 Syn Flood。
最近出现的更复杂的攻击,例如 TCP SYN,可能会攻击网络,同时第二次攻击会追踪应用程序,试图禁用它们,或者至少降低它们的性能。
Bridewell Consulting渗透测试主管 James Smith指出了三种常见的 DDoS 攻击形式:
·体积攻击
·协议攻击
·应用(层)攻击
“所有这些都通过以一种或另一种方式耗尽资源而使目标无法访问,”他告诉The Daily Swig。
现在最大、最具破坏性的 DDoS 形式之一是 UDP 放大攻击。UDP 是可欺骗的。而且,正如 WatchGuard Technologies 的首席技术官 Corey Nachreiner 指出的那样,非常小的 UDP 请求会产生大带宽攻击。
“UDP 放大为攻击者提供了不对称的 DDoS 能力,”他告诉The Daily Swig。“最近发现的 UDP 放大攻击可以将一台主机的流量放大 10,000 倍或更多。当与传统僵尸网络结合时,这为攻击者提供了足够的 DDoS 能力来影响 ISP。”
据信,僵尸网络攻击保持了当前的 DDoS 记录,到 2021 年,俄罗斯科技巨头 Yandex 每秒会收到近 2200 万次 HTTP 请求——这种技术称为HTTP 流水线技术。
这超过了自 2018 年以来不需要僵尸网络的memcached UDP 放大攻击所保持的记录 。它减少了 1.7tbps 的带宽。
2021 年,The Daily Swig 报道了一种新型 DDoS 攻击,该攻击可能允许民族国家行为者通过滥用中间件来审查互联网访问并针对任何网站。
马里兰大学和科罗拉多大学博尔德分校的研究人员使用人工智能算法揭示了该技术,他们说这是同类中第一个基于 TCP 的 DDoS 放大攻击。
与赎金相关的 DDoS 攻击(攻击者承诺在受害者支付赎金后停止攻击)也呈上升趋势。
DDoS 攻击的影响是什么?
DDoS 攻击以多种方式影响受害者:
·名誉受损
·损害客户信任
·直接经济损失
·对关键服务的影响
·对第三方的影响和“附带损害”
·数据丢失
·恢复系统的直接和间接成本
最近的 DDoS 攻击
并非所有 DDoS 攻击都属于公共领域,但这里有一些成为头条新闻:
·Yandex,2021 年 8 月至 9 月: 这家俄罗斯科技巨头表示,它“成功击退了每秒近 2200 万次请求的创纪录攻击”,并补充说:“这是互联网历史上已知的最大攻击”
·未公开的金融公司,2021 年 7 月: DDoS 保护服务提供商 Cloudflare 表示,客户受到当时的 有史以来最大的攻击记录 ——僵尸网络攻击,每秒 1720 万次请求,是之前已知记录的三倍
·EXMO,2021 年 2 月:这家总部位于英国的加密货币交易所因每秒产生 30GB 流量的“大规模”DDoS 攻击而下线
·新西兰证券交易所 NZX,2020 年 8 月:该证券交易所遭到一系列攻击,服务连续两天中断
·维基百科,2019 年 9 月:该网站遭受了为期三天的攻击,使其在欧洲、中东和非洲地区下线,并在美国和非洲放慢了速度
DDoS 攻击的成本是多少?
据卡巴斯基实验室称,企业 DDoS 攻击的平均成本可能接近 200 万美元。
Ponemon Institute 的另一份报告发现,DDoS 攻击造成的每分钟停机时间平均要花费 22,000 美元。
不过,DDoS 攻击的确切成本将取决于组织、其提供的产品或服务,以及事件响应和事件后策略的有效性。这可能从几万美元到几百万美元不等。
如果发生民族国家攻击或对关键国家基础设施的攻击,代价可能会高得多——导致社会动荡甚至生命损失。
到目前为止,还没有直接将死亡归因于 DDoS 攻击,但经济影响实在是太真实了。
DDoS 攻击持续多长时间?
同样,这取决于攻击者、目标及其防御。如果受害者的服务器几乎没有防御措施,攻击可能会在短时间内成功。根据 Cloudflare 的说法,攻击通常可持续长达 24 小时,但大约十分之九会在一小时内完成。
由于站点防御的有效性,2018 年针对 GitHub的大规模DDoS 攻击( 直到 2021 年为止规模最大)仅持续了大约 20 分钟。
如果攻击未在 24 小时内关闭目标,并不意味着受害者的站点或应用程序是安全的。攻击者可以简单地转移到另一个僵尸网络,然后使用更多数据或使用不同范围的漏洞再试一次。
DDoS 攻击是否违法?
“在英国,《1990 年计算机滥用法》'将故意损害计算机的操作或阻止或阻碍访问计算机上的程序/数据定为非法,除非您获得授权这样做'。因此,根据英国法律,此类攻击属于犯罪行为,”Bridewell Consulting 的 Smith 说。
但执法部门只有在找到攻击者的情况下才能采取行动。“最大的挑战可能是找到要起诉的人,”梭子鱼的艾伦说。
“攻击是分布式的,攻击设备往往是不知情的一方。真正的攻击者很难追查,虽然他们可能声称受到了攻击,但他们不会说出自己的真实姓名。”
如何防止 DDoS 攻击的发生
数十家供应商提供 Web 应用程序防火墙 ( WAF ),通常直接通过托管服务提供商提供,其成本仅为每月几美元。企业还可以在其网络边缘实施基于硬件的 DDoS 缓解硬件。
在企业规模上,Akamai 和 Cloudflare 等大型分布式网络公司提供高端的分布式 DDoS 保护。供应商也是如此,例如 Verisign、HPE 和 Cisco。
针对 DDoS 的最基本防御是 DIY 方法,监控然后关闭来自可疑 IP 地址的请求。
尽管这种方法基本上是免费的,但 Brian Honan 警告说它不太可能有效,尤其是针对复杂的大规模攻击。他还建议组织将防御措施尽可能远离服务器。
“你或许能够在你的数据中心处理 DDoS,但你所有的互联网管道都将被耗尽。因此,这有多有效值得怀疑,”他说。
规划是任何 DDoS 缓解策略的另一个关键要素。
Bridewell 的 James Smith 说:“在 DDoS 攻击的情况下制定计划和程序是最重要的,并且强烈建议拥有检测攻击的监控功能。”
“组织还需要有一个实施良好的补丁政策,并确保任何面向外部的东西都是最新的,以帮助保证任何可能包含 DDoS 漏洞的服务软件都得到及时修补。”
1070
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
