DDoS攻击
分布式拒绝服务(DDoS)攻击是恶意尝试通过大量互联网流量压倒目标或其周边基础设施来破坏目标服务器,服务或网络的正常流量。DDoS攻击通过利用多个受损的计算机系统作为攻击流量来实现有效性。被利用的机器可以包括计算机和其他网络资源,如IoT设备。从高层次来看,DDoS攻击就像是阻止堵塞高速公路的交通堵塞,防止定期流量到达目的地。
DDoS黑洞路由(空路由)
DDoS黑洞路由/过滤(有时称为黑洞)是减轻DDoS攻击的对策,其中网络流量被路由到“黑洞”,丢失。当没有具体限制条件实施黑洞筛选时,合法和恶意网络流量将路由到空路由或黑洞,并从网络中丢弃。当使用无连接的协议(如UDP)时,不会将丢弃数据的通知返回给源。对于需要握手连接到目标系统的面向TCP的面向连接的协议,如果数据被丢弃,将返回通知。
对于没有其他方法阻止攻击的组织,黑洞是广泛可用的选项。这种缓解方法可能会有不良后果,有可能使其成为缓解DDoS攻击的不利选择。类似于抗生素会杀死好的和坏的细菌,当不正确地实施这种DDoS缓解可能会不加区分地破坏网络或服务的流量来源。复杂的攻击还将使用可变的IP地址和攻击向量,这可以限制这种缓解的有效性,作为破坏攻击的唯一手段。当交通流量也受到影响时,使用黑洞路由的关键后果是,
DNS
域名系统(DNS)服务器是互联网的“电话簿”; 它们是互联网设备能够查找其他设备以访问互联网内容的途径。这些服务器维护一个容易记住的域名(www.example.com)的目录,并将这些名称传输到计算机用于彼此连接的机器友好的互联网协议(IP)地址(192.168.1.1)中。
例如,当将域名输入到Web浏览器中时,联系DNS服务器,启动最终将目标网站的IP地址返回给浏览器的处理。
拒绝服务(DoS)
拒绝服务(DoS)网络攻击是一种恶意尝试,通过使其无法使用其预期用户来中断在线服务或网络的正常功能。通常,DoS攻击通过以无意义或恶意数据淹没目标资源来实现,目标是超载系统的资源。当服务器发出请求时,必须为响应提供一定数量的服务器资源。为了超载目标服务器,攻击者产生比服务器可以处理的更多的请求,导致对正常流量的拒绝服务。
超文本传输协议(HTTP)
超文本传输协议是万维网的基础,用于使用超文本链接加载网页。超文本传输协议是一种应用层协议,设计用于在网络设备之间传输信息,并在网络协议栈的其他层之上运行。HTTP上的典型流程涉及客户端机器向服务器发出请求,然后服务器发送响应消息。
HTTP是无状态协议,这意味着每个命令独立于任何其他命令运行。在原始规范中,当为了加载网页而发出HTTP请求时,没有维护用于发出请求的TCP连接。在较新版本的HTTP协议(HTTP 1.1及更高版本)中,持久连接允许多个HTTP请求通过持久TCP连接,从而提高资源消耗。在DoS或DDoS攻击的上下文中,大量的HTTP请求可用于对目标设备进行攻击,并被认为是应用层攻击或第7层攻击的一部分。
互联网控制消息协议(ICMP)
因特网控制消息协议是由网络设备用来进行通信的互联网层协议。网络诊断工具traceroute和ping均使用ICMP进行操作。通常,ICMP回显请求和回应回复消息用于ping网络设备,以便诊断设备的健康和连接以及发送方和设备之间的连接。使用ICMP作为中断手段的网络攻击包括ICMP Flood攻击和“Ping of Death”攻击。
平洪(ICMP Flood)
ping flood是一种拒绝服务攻击,攻击者试图用ICMP回显请求报文来淹没目标设备,导致目标对正常流量无法访问。ICMP请求需要一些服务器资源来处理请求并发送响应,并且还要求传入消息(回显请求)和传出响应(回应 – 回复)两者都有带宽。这种攻击旨在压倒服务器响应请求数量和/或使用虚假流量超载网络连接的能力。
互联网协议(IP)和传输控制协议(TCP)
互联网协议(IP)是互联网的地址系统,具有从源设备向目标设备传递信息包的核心功能。IP是网络连接的主要方式,它建立了互联网的基础。IP不处理数据包排序或错误检查。这样的功能需要另一种协议,通常是TCP。
TCP / IP关系类似于通过邮件向某人发送一个写在谜题上的消息。消息被写下来,拼图被分解成碎片。然后每个片段可以穿过不同的邮政路线,其中一些比其他路线更长。当拼图在穿过不同的路径之后到达时,碎片可能无序。互联网协议确保这些片段到达目的地址。TCP协议可以被认为是另一方面的拼图汇编器,它们以正确的顺序将这些块放在一起,要求丢失的块被重新发送,并让发送方知道拼图已经被接收。TCP在发送最后一个片段之后,保持与发送者之间的连接。
IP是无连接协议,这意味着每个数据单元被单独寻址并从源设备路由到目标设备,并且目标不发送回到源的确认。这就是传输控制协议(TCP)等协议。TCP与IP结合使用,以保持发送方和目标之间的连接,并确保数据包顺序。
例如,当通过TCP发送电子邮件时,建立连接并进行3次握手。首先,源向目标服务器发送SYN“初始请求”数据包,以便开始对话。然后,目标服务器然后发送一个SYN-ACK数据包以同意该过程。最后,源向目标发送ACK数据包,以确认进程,之后可以发送消息内容。在将每个分组发送到互联网之前,电子邮件消息最终被分解成分组,其中它在到达目标设备之前穿过一系列网关,其中组的分组被TCP重新组合成电子邮件的原始内容。
互联网上使用的IP的主要版本是互联网协议版本4(IPv4)。由于IPv4中可能地址总数的大小限制,开发了一种较新的协议。较新的协议被称为IPv6,它使得更多的地址可用,并且越来越多的采用。
IP欺骗
IP欺骗是创建具有修改源地址的IP数据包。恶意演员经常使用的技术是针对目标设备或周边基础设施调用DDoS攻击。在正常的分组中,源IP地址是分组的发送方的地址。
IP欺骗类似于攻击者向包含错误的返回地址的人发送包。如果接收包裹的人希望阻止发件人发送包裹,则从伪造地址中封锁所有包裹将不会很好,因为地址容易更改。另外,如果接收方想要回复地址,他们的响应包将会转到除真实发件人以外的地方。欺骗数据包地址的能力是许多DDoS攻击的核心漏洞。
当目标是以流量压倒一个目标时,欺骗行为经常用于DDoS攻击。欺骗可用于掩盖恶意源的身份,防止缓解工作。如果源IP地址被伪造并持续随机化,则阻止恶意请求是困难的。因为攻击的来源可以被欺骗,所以很难过滤掉所有坏的流量。
欺骗也可以用于欺骗另一个设备的身份,从而将响应发送到该目标设备。诸如NTP扩展和DNS扩展的体积攻击利用了此漏洞。修改源IP的能力是TCP / IP设计固有的,使其成为持续的漏洞。网络管理员可以通过遵循BCP38,不允许在网络内创建欺骗性数据包来缓解这一点。
与DDoS攻击相切,欺骗也可以伪装为另一个设备,以便回避身份验证,并获取访问或“劫持”用户的会话。
恶意软件
恶意软件,恶意软件和恶意软件,是一个通用术语,可以指病毒,蠕虫,木马,ransomware,间谍软件,广告软件和其他类型的故意恶意软件。
恶意软件的目的是破坏设备的正常操作。这种中断的范围可以在设备上显示广告而不同意获得计算机的root访问。恶意软件可能会尝试从用户中混淆自己,以便静静收集信息,或者可能锁定系统并保存赎金数据。在DDoS攻击中,诸如未来的恶意软件会影响易受攻击的设备,将其转变为攻击者控制下的机器人。一旦修改,这些设备就可以用来作为僵尸网络的一部分进行DDoS攻击。
OSI模型
开放系统互连模型(OSI模型)定义了七个协议层中网络连接的组件。它是一个概念框架,可用于了解网络连接背后的组件,并且有助于了解DDoS攻击的类型。
每个层都处理一个特定的工作,并与其上面和下面的层进行通信。DDoS攻击针对网络连接的特定层次; 应用层攻击目标层7和协议层攻击目标层3和4。
用户数据报协议(UPD),UPD / IP
UDP是在协议栈的传输层操作的通信协议。像TCP一样,UDP协议也运行在IP协议之上,可以称为UDP / IP。UDP是无连接传输模型,不需要源和目标设备之间的状态连接。因此,UDP不具有TCP的错误检查和排序功能,并且在不需要错误检查并且速度很重要时最好地使用。UDP通常用于时间敏感通信,其中丢弃数据包比等待更好。使用此协议发送语音和视频流量,因为它们都是时间敏感的,旨在处理一定程度的丢失。同样,因为DNS和NTP服务器都需要快速高效,它们通过UDP进行操作。包括DNS放大和NTP放大在内的体积式DDoS攻击可以利用这些服务器,目的是通过UDP流量来淹没目标。
Web应用防火墙(WAF)
WAF或Web应用程序防火墙通过过滤和监视Web应用程序和Internet之间的HTTP流量来帮助保护Web应用程序。它通常保护Web应用程序免受诸如跨站点伪造,跨站点脚本和SQL注入等攻击。WAF是协议层7的防御(在OSI模型中),并不是为了防御所有类型的攻击而设计的。这种攻击缓解方法通常是一套工具的一部分,它们一起为一系列攻击向量创造了一个整体的防御。
通过在Web应用程序前部署一个WAF,屏幕就放置在Web应用程序和互联网之间。代理服务器通过使用中间人来保护客户端机器的身份,WAF是一种反向代理,通过在到达服务器之前让客户端通过WAF来保护服务器免受暴露。
WAF通过一系列通常称为策略的规则运行。这些策略旨在通过过滤恶意流量来防范应用程序中的漏洞。WAF的值部分来自于可以实施策略修改的速度和容易程度,允许对不同攻击向量的更快响应。在DDoS攻击中,通过修改WAF策略可以快速实现速率限制。应用程序防火墙可以实现为物理硬件,也可以是软件解决方案。
