鉴于威胁领域的不断创新,与12年、10年甚至5年前的攻击相比,现代分布式拒绝服务
(DDoS)攻击几乎已经无法识别。防御快速变化的攻击媒介和创纪录的攻击,对于保护在线基础设施至关重要,但对于缺乏适当资源、专业知识或技术的安全团队来说,这可能是一项艰巨的挑战。
昨天 VS今天的DDoS攻击
下图描绘了过去十年中50多个攻击媒介的活动,并概括了DDoS日益复杂的情况。
【图1:过去10年的DDoS 活动】
4个值得注意的关键信息 :
1、攻击向量“持久性奖”得主:由于其简单性和可靠性,UDP洪水(UDP flood)、SYN洪水(SYN flood)和UDP分片(UDP
fragmentation)长期存在且持续有效,通常与其他媒介一起出现。
【图2:UDP洪水、SYN洪水和UDP分片持续有效】
2、一些曾经很受欢迎的攻击向量已经失宠:ICMP洪水(ICMP
flood),作为一种易于访问的DDoS载体而广受欢迎,但它几乎不像其他允许放大和反射的向量那样具有冲击力(图3)。我们观察到的有史以来最大的“纯ICMP(ICMP-
only )”攻击只有28 gbps。这些ping可以加起来,但平均ICMP攻击仅为5
gbps,这对于今天的DDoS攻击而言几乎是“涓涓细流”,而且它们几乎需要完全与其他向量一起使用。在所有ICMP攻击中,平均有两个额外的向量。
【图3:ICMP攻击不再像以前那样流行】
3、其他攻击从崭露头角到变得突出,但最终以失败告终。从2015年到2018年,CharGEN攻击和SSDP洪水的数量有所增加,但今天却很少能够观察到。造成这种情况的部分原因可能在于更好的可用反射器出现,以及使用这些可利用协议的暴露服务器越来越少。
4、随着过滤实践的改进、新型反射器的减少以及攻击者偏好更新、更具成本效益的向量,CLDAP反射(出现于2016年底并在2018年达到顶峰,位列Top5向量)的使用可能会从DDoS工具包中消失。
从这四个见解中可以看出,DDoS的威胁正在迅速演变。如下图所示,2010年排名前五的向量占所有攻击的90%,而今天排名前五的向量仅占所有攻击的55%。这种转变不仅突显了现代DDoS工具包日益增长的复杂化,也突显了安全团队所面临抵御蓬勃发展的威胁库的巨大压力。
【图4:按年份划分的向量分布比较,左为2010年向量分布;右为2022年】
正所谓“适者生存”,任何最有效的东西——无论是适应良好的身体特征还是有效的产品策略——都会持续存在并不断演进。同样地,以最小的成本提供最大影响的攻击向量将总是越来越受欢迎,并且较它们的“同行”更长寿。与此同时,攻击者也在不断寻求新工具以最大限度地实现破坏并提高成本效率。
深入了解当今的新型DDoS威胁
2022年上半年,两个来势汹汹的新型载体首次现身,让我们窥见了DDoS 的进化方向。它们分别为:
PhoneHome :一种新的反射/放大DDoS向量,具有创纪录的潜在放大比4,294,967,296:1,已在野观察到发起多次DDoS攻击。
潜力:存在巨大的放大潜力:单个微小的入站数据包可以发起巨大的出战攻击。
局限:有限的攻击面——2600个被错误配置的系统,使得未经认证的系统测试设施无意中暴露在公共互联网上,允许攻击者利用这些PBX
VoIP网关作为DDoS反射器/放大器;此外,攻击效果还可能与这些机器的连接和功率以及恶意行为者妥协它们的能力有关。TCP中间盒反射(TCP Middlebox Reflection)
:这种新的放大向量利用中间盒(例如公司和国家防火墙)来反射针对受害者的流量。潜力:根据ShadowServer的研究,作为潜在反射器的中间盒无处不在,涉及超过1880万个
IP。这些公开暴露的服务中的大多数本质上都是功能强大的,且可以访问主要的连接中心。局限:虽然这里的放大系数是65倍,但上限并不明确。目前,攻击者可能正在对可用的反射器进行分类并测试如何可靠地大规模利用它们。虽然从单个命令和控制生成请求以触发响应数据包可能会受到限制,但从僵尸网络向反射器生成请求可能会增加新记录的规模。
我们不知道上述任何一个向量是否会变得突出或创下新高。但我们可以肯定的是,进化的道路将继续前行,网络上将出现下一代威胁。
与不断变化的威胁保持同步的建议
DDoS威胁领域的持续创新迫使组织面临持续的风险,同时也强调了加强防护最新攻击的必要性。为了减少DDoS攻击造成的停机影响并有效抵御恶意行为者,请考虑执行以下操作:
审核关键子网和IP空间,并确保它们具有适当的缓解控制措施;
以“始终在线”的缓解态势部署DDoS安全控制作为第一层防御,以减轻事件响应者的负担。如果没有值得信赖且经过验证的基于云的提供商,建议立即购买;
积极组建危机响应团队,确保运行手册和事件响应计划是最新的。例如,您是否有应对灾难性事件的手册?手册中的联系人是否更新?手册中包含过时的技术资产或早已离职的联系人都将无济于事。
原文链接:
https://www.akamai.com/blog/security/relentless-evolution-of-ddos-attacks
最后
网络安全学习路线(就业版)
再次声明,此学习路线主打就业方向,如果只是感兴趣,想成为什么黑客的朋友可以划走了!
网络安全≠黑客
很多人上来就说想做想入行网络安全,但是连方向都没搞清楚就开始学习,最终也只是会无疾而终!黑客是一个大的概念,里面包含了许多方向,不同的方向需要学习的内容也不一样。
网络安全再进一步细分,还可以划分为:网络渗透、逆向分析、漏洞攻击、内核安全、移动安全、破解PWN等众多子方向。今天的这篇,主要是针对网络渗透方向,其他方向仅供参考,学习路线并不完全一样,有机会的话我再单独梳理。
今天,就为大家整理一份自己自学网络安全企业级的最主流的职业规划路线学习流程:
学前感言
- 1.这是一条坚持的道路,三分钟的热情可以放弃往下看了.
- 2.多练多想,不要离开了教程什么都不会了.最好看完教程自己独立完成技术方面的开发.
- 3.有时多google,baidu,我们往往都遇不到好心的大神,谁会无聊天天给你做解答.
- 4.遇到实在搞不懂的,可以先放放,以后再来解决
第一步:明确的学习路线
你肯定需要一份完整的知识架构体系图。
如图片过大被平台压缩导致模糊,可以在扫码免费下载高清无水印版
第二步:阶段性的学习目标&规划
企业级:初级网络安全工程师
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)
2、渗透测试基础(一周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等
3、操作系统基础(一周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)
4、计算机网络基础(一周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据 转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现
5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固
6、Web渗透(1周)
①HTML、CSS和JavaScript简介 ②OWASP Top10 ③Web漏洞扫描工具 ④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
以上学习路线附全套教程由我个人支付上万元在培训机构付费购买,如有朋友需要点击这里免费获取,无偿分享!
一些我收集的网络安全自学入门书籍
一些我自己买的、其他平台白嫖不到的视频教程:
如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;如果等保模块学的好,还可以从事等保工程师。薪资区间6k-15k。
进阶:脚本编程(初级/中级/高级)
在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力。
零基础入门,建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习; 搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP, IDE强烈推荐Sublime; ·Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完; ·用Python编写漏洞的exp,然后写一个简单的网络爬虫; ·PHP基本语法学习并书写一个简单的博客系统; 熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选); ·了解Bootstrap的布局或者CSS。
高级网络安全工程师
这部分内容对零基础的同学来说还比较遥远,就不展开细说了,贴一个大概的路线。感兴趣的童鞋可以研究一下。
以上学习路线附全套教程由我个人支付上万元在培训机构付费购买,如有朋友需要可以扫码免费免费获取,无偿分享!
98
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
