什么是DDoS攻击?

分布式拒绝服务(Distributed Denial of Service,简称DDoS)指借助于客户机/服务器模式,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。

通常,攻击者使用一个非法账号将DDoS主控程序安装在一台计算机上,并在网络上的许多计算机上安装了代理程序。在所设定的时间,主控程序将与大量代理程序进行通讯,代理程序收到指令时就发动攻击。利用客户机/服务器模式,主控程序能在几秒钟内激活成百上千次代理程序的运行。

畸形报文

畸形报文攻击指通过向目标系统发送有缺陷的IP报文,使得目标系统在处理这样的报文时出现崩溃,从而达到拒绝服务的攻击目的。

畸形报文主要包括以下类型:Frag Flood、Smurf、Stream Flood、Land Flood、IP畸形报文、TCP畸形报文、UDP畸形报文。

传输层DDoS攻击

传输层DDoS攻击主要是指Syn Flood、Ack Flood、UDP Flood、ICMP Flood、RstFlood等攻击。

以Syn Flood攻击为例,它利用了TCP协议的三次握手机制,当服务端接收到一个Syn请求时,服务端必须使用一个监听队列将该连接保存一定时间。因此,通过向服务端不停发送Syn请求,但不响应Syn+Ack报文,从而消耗服务端的资源。当监听队列被占满时,服务端将无法响应正常用户的请求,达到拒绝服务攻击的目的。

DNS DDoS攻击

DNS DDoS攻击主要是指DNS Request Flood、DNS Response Flood、虚假源+真实源DNS Query Flood、权威服务器攻击和Local服务器攻击。

以DNS Query Flood攻击为例,其本质上执行的是真实的Query请求,属于正常业务行为。但如果多台傀儡机同时发起海量的域名查询请求,服务端无法响应正常的Query请求,从而导致拒绝服务。

连接型DDoS攻击

连接型DDoS攻击主要是指TCP慢速连接攻击、连接耗尽攻击、Loic、Hoic、Slowloris、 Pyloris、Xoic等慢速攻击。

以Slowloris攻击为例,其攻击目标是Web服务器的并发上限,当Web服务器的连接并发数达到上限后,Web服务即无法接受新的请求。具体来说,Web服务接收到新的HTTP请求时,建立新的连接来处理请求,并在处理完成后关闭这个连接;如果该连接一直处于连接状态,收到新的HTTP请求时则需要建立新的连接进行处理;而当所有连接都处于连接状态时,Web将无法处理任何新的请求。

Slowloris攻击利用HTTP协议的特性来达到攻击目的。HTTP请求以\r\n\r\n标识Headers的结束,如果Web服务端只收到\r\n,则认为HTTP Headers部分没有结束,将保留该连接并等待后续的请求内容。

Web应用层DDoS攻击

Web应用层攻击主要是指HTTP Get Flood、HTTP Post Flood、CC等攻击。

通常应用层攻击完全模拟用户请求,类似于各种搜索引擎和爬虫一样,这些攻击行为和正常的业务并没有严格的边界,难以辨别。

Web服务中一些资源消耗较大的事务和页面。例如,Web应用中的分页和分表,如果控制页面的参数过大,频繁的翻页将会占用较多的Web服务资源。尤其在高并发频繁调用的情况下,类似这样的事务就成了早期CC攻击的目标。

由于现在的攻击大都是混合型的,因此模拟用户行为的频繁操作都可以被认为是CC攻击。例如,各种刷票软件对网站的访问,从某种程度上来说就是CC攻击。

CC攻击瞄准的是Web应用的后端业务,除了导致拒绝服务外,还会直接影响Web应用的功能和性能,包括Web响应时间、数据库服务、磁盘读写等。

我公司提供DDOS高防服务器租用,10Gbps到1800Gbps。联系QQ:28575315

什么是Slowloris DDoS攻击?

Slowloris是一种拒绝服务攻击程序,允许攻击者通过打开和维护攻击者与目标之间的许多同时HTTP连接来淹没目标服务器。

Slowloris攻击如何工作?

Slowloris是通过利用部分HTTP请求来操作的应用层攻击。攻击功能通过打开与目标Web服务器的连接,然后尽可能长地保持这些连接。

Slowloris不是一个攻击类别,而是一种特定的攻击工具,旨在允许单个机器在不使用大量带宽的情况下占用服务器。与基于反射的基于反射的DDoS攻击(例如NTP放大)不同,这种类型的攻击使用的带宽较少,而是旨在以似乎比正常速度慢的请求使用服务器资源,但是模拟常规流量。它属于被称为“低和慢”攻击的攻击类别。目标服务器只有很多线程可用于处理并发连接。每个服务器线程将尝试在等待缓慢请求完成时保持活动,从不发生。当服务器的最大可能连接已超出时,

慢病毒攻击发生在四个步骤:

攻击者首先通过发送多个部分HTTP请求标头打开与目标服务器的多个连接。
该目标为每个传入请求打开一个线程,其目的是在连接完成后关闭线程。为了有效,如果连接耗时太长,服务器将超时连接超时,释放线程以进行下一个请求。
为了防止目标超时,攻击者会定期向目标发送部分请求头,以保持请求的有效性。本质上说,“我还在这里!我只是慢,请等我。
在等待终止请求时,目标服务器永远不能释放任何打开的部分连接。一旦所有可用的线程正在使用中,服务器将无法响应由常规流量引起的其他请求,导致拒绝服务。
Slowloris背后的关键在于其带宽消耗很少的麻烦。

Slowloris攻击如何缓解?

对于易受Slowloris影响的Web服务器,有一些方法可以减轻一些影响。弱势服务器的缓解选项可以分为3个一般类别:

增加服务器可用性 – 增加服务器在任何时候允许的最大客户端数量将增加攻击者在使服务器超负荷之前必须创建的连接数。实际上,攻击者可以扩大攻击次数,以克服服务器容量,而不管增加。
限速传入请求 – 基于某些使用因素限制访问将有助于缓解Slowloris攻击。允许限制单个IP地址的最大连接数限制,限制传输速度慢以及限制客户端保持连接的最大时间的技术都是限制低速和慢速攻击有效性的方法。
基于云的保护 – 使用可用作反向代理的服务,保护源服务器。

什么是SYN Flood攻击?

SYN Flood(半开放攻击)是一种拒绝服务(DDoS)攻击,其目的是通过消耗所有可用的服务器资源使服务器不可用于合法流量。通过重复发送初始连接请求(SYN)数据包,攻击者能够压倒目标服务器机器上的所有可用端口,导致目标设备根本不响应合法流量。

SYN Flood攻击如何工作?

通过利用TCP连接的握手过程,SYN Flood攻击工作。在正常情况下,TCP连接显示三个不同的进程以进行连接。

1.首先,客户端向服务器发送SYN数据包,以便启动连接。
2.服务器响应该初始包与SYN / ACK包,以确认通信。
3.最后,客户端返回ACK数据包以确认从服务器接收到的数据包。完成这个数据包发送和接收序列后,TCP连接打开并能发送和接收数据。

为了创建拒绝服务,攻击者利用这样的事实,即在接收到初始SYN数据包之后,服务器将用一个或多个SYN / ACK数据包进行响应,并等待握手中的最后一步。这是它的工作原理:

攻击者向目标服务器发送大量SYN数据包,通常会使用欺骗性的IP地址。
然后,服务器响应每个连接请求,并留下开放端口准备好接收响应。
当服务器等待从未到达的最终ACK数据包时,攻击者继续发送更多的SYN数据包。每个新的SYN数据包的到达导致服务器暂时维持新的开放端口连接一段时间,一旦所有可用端口被使用,服务器就无法正常工作。

在网络中,当服务器断开连接但连接另一端的机器没有连接时,连接被认为是半开的。在这种类型的DDoS攻击中,目标服务器不断离开打开的连接,等待每个连接超时,然后端口再次可用。结果是这种攻击可以被认为是“半开攻击”。

SYN洪水可以以三种不同的方式发生:

直接攻击IP地址不被欺骗的SYN Flood被称为直接攻击。在这次攻击中,攻击者根本不掩盖其IP地址。由于攻击者使用具有真实IP地址的单个源设备来创建攻击,因此攻击者极易受到发现和缓解的影响。为了在目标机器上创建半开状态,黑客可以防止其机器响应服务器的SYN-ACK数据包。这通常是通过阻止除SYN数据包之外的传出数据包的防火墙规则来实现的,或者在到达恶意用户机器之前过滤任何传入的SYN-ACK数据包。实际上,这种方法很少使用(如果有的话),因为减轻是非常简单的 – 只是阻止每个恶意系统的IP地址。
欺骗性攻击:恶意用户也可以欺骗他们发送的每个SYN数据包上的IP地址,以抑制缓解工作,使其身份更难发现。虽然数据包可能被欺骗,但这些数据包可能会被追溯到其来源。很难做这种侦探工作,但并不是不可能的,特别是如果互联网服务提供商(ISP)愿意帮助的话。
分布式攻击(DDoS):如果使用僵尸网络创建攻击,则将攻击溯源到源的可能性很低。对于增加的混淆级别,攻击者可能会使每个分布式设备也欺骗发送数据包的IP地址。如果攻击者正在使用诸如未来僵尸网络的僵尸网络,他们通常不会关心被感染设备的IP掩蔽
通过使用SYN Flood攻击,恶意攻击者可以尝试在目标设备或服务中创建拒绝服务,其流量大大低于其他DDoS攻击。为了使目标周边的网络基础设施饱和,SYN攻击只需要比目标操作系统中可用的积压更大的体积攻击。如果攻击者能够确定积压的大小,并且在超时之前每个连接将被打开多长时间,攻击者可以定位禁用系统所需的确切参数,从而将总流量减少到最小必要量以创建拒绝服务。

如何减轻SYN洪水攻击?

长期以来已知SYN洪水脆弱性,并且已经采用了许多缓解途径。几种方法包括:

增加积压队列

目标设备上的每个操作系统都具有一定数量的半开放连接。对大量SYN数据包的一个响应是增加操作系统允许的可能半开连接的最大数量。为了成功增加最大积压,系统必须预留额外的内存资源来处理所有新的请求。如果系统没有足够的内存来处理增加的积压队列大小,系统性能将受到负面影响,但仍然可能优于拒绝服务。

回收最早的半开TCP连接

一旦积压已被填补,另一个缓解策略就是覆盖最早的半开式连接。这种策略要求合法连接可以在比可以填充恶意SYN数据包的积压时间更短的时间内完全建立。当攻击量增加时,或者如果积压量太小而不实际,这种特定的防御就会失败。

SYN饼干

这个策略涉及服务器创建一个cookie。为了避免在积压已经被填满的情况下连接丢失的风险,服务器使用SYN-ACK数据包对每个连接请求进行响应,然后从积压中删除SYN请求,从存储器中删除请求并使端口打开,准备建立新的连接。如果连接是合法请求,并且最终的ACK数据包从客户端计算机发送回服务器,则服务器将重建(有一些限制)SYN积压队列条目。尽管这种缓解措施确实丢失了有关TCP连接的一些信息,但是优于允许合法用户因攻击而发生拒绝服务。

DDOS词汇解释

DDoS攻击

分布式拒绝服务(DDoS)攻击是恶意尝试通过大量互联网流量压倒目标或其周边基础设施来破坏目标服务器,服务或网络的正常流量。DDoS攻击通过利用多个受损的计算机系统作为攻击流量来实现有效性。被利用的机器可以包括计算机和其他网络资源,如IoT设备。从高层次来看,DDoS攻击就像是阻止堵塞高速公路的交通堵塞,防止定期流量到达目的地。

DDoS黑洞路由(空路由)

DDoS黑洞路由/过滤(有时称为黑洞)是减轻DDoS攻击的对策,其中网络流量被路由到“黑洞”,丢失。当没有具体限制条件实施黑洞筛选时,合法和恶意网络流量将路由到空路由或黑洞,并从网络中丢弃。当使用无连接的协议(如UDP)时,不会将丢弃数据的通知返回给源。对于需要握手连接到目标系统的面向TCP的面向连接的协议,如果数据被丢弃,将返回通知。

对于没有其他方法阻止攻击的组织,黑洞是广泛可用的选项。这种缓解方法可能会有不良后果,有可能使其成为缓解DDoS攻击的不利选择。类似于抗生素会杀死好的和坏的细菌,当不正确地实施这种DDoS缓解可能会不加区分地破坏网络或服务的流量来源。复杂的攻击还将使用可变的IP地址和攻击向量,这可以限制这种缓解的有效性,作为破坏攻击的唯一手段。当交通流量也受到影响时,使用黑洞路由的关键后果是,

DNS

域名系统(DNS)服务器是互联网的“电话簿”; 它们是互联网设备能够查找其他设备以访问互联网内容的途径。这些服务器维护一个容易记住的域名(www.example.com)的目录,并将这些名称传输到计算机用于彼此连接的机器友好的互联网协议(IP)地址(192.168.1.1)中。

例如,当将域名输入到Web浏览器中时,联系DNS服务器,启动最终将目标网站的IP地址返回给浏览器的处理。

拒绝服务(DoS)

拒绝服务(DoS)网络攻击是一种恶意尝试,通过使其无法使用其预期用户来中断在线服务或网络的正常功能。通常,DoS攻击通过以无意义或恶意数据淹没目标资源来实现,目标是超载系统的资源。当服务器发出请求时,必须为响应提供一定数量的服务器资源。为了超载目标服务器,攻击者产生比服务器可以处理的更多的请求,导致对正常流量的拒绝服务。

超文本传输​​协议(HTTP)

超文本传输​​协议是万维网的基础,用于使用超文本链接加载网页。超文本传输​​协议是一种应用层协议,设计用于在网络设备之间传输信息,并在网络协议栈的其他层之上运行。HTTP上的典型流程涉及客户端机器向服务器发出请求,然后服务器发送响应消息。

HTTP是无状态协议,这意味着每个命令独立于任何其他命令运行。在原始规范中,当为了加载网页而发出HTTP请求时,没有维护用于发出请求的TCP连接。在较新版本的HTTP协议(HTTP 1.1及更高版本)中,持久连接允许多个HTTP请求通过持久TCP连接,从而提高资源消耗。在DoS或DDoS攻击的上下文中,大量的HTTP请求可用于对目标设备进行攻击,并被认为是应用层攻击或第7层攻击的一部分。

互联网控制消息协议(ICMP)

因特网控制消息协议是由网络设备用来进行通信的互联网层协议。网络诊断工具traceroute和ping均使用ICMP进行操作。通常,ICMP回显请求和回应回复消息用于ping网络设备,以便诊断设备的健康和连接以及发送方和设备之间的连接。使用ICMP作为中断手段的网络攻击包括ICMP Flood攻击和“Ping of Death”攻击。

平洪(ICMP Flood)

ping flood是一种拒绝服务攻击,攻击者试图用ICMP回显请求报文来淹没目标设备,导致目标对正常流量无法访问。ICMP请求需要一些服务器资源来处理请求并发送响应,并且还要求传入消息(回显请求)和传出响应(回应 – 回复)两者都有带宽。这种攻击旨在压倒服务器响应请求数量和/或使用虚假流量超载网络连接的能力。

互联网协议(IP)和传输控制协议(TCP)

互联网协议(IP)是互联网的地址系统,具有从源设备向目标设备传递信息包的核心功能。IP是网络连接的主要方式,它建立了互联网的基础。IP不处理数据包排序或错误检查。这样的功能需要另一种协议,通常是TCP。

TCP / IP关系类似于通过邮件向某人发送一个写在谜题上的消息。消息被写下来,拼图被分解成碎片。然后每个片段可以穿过不同的邮政路线,其中一些比其他路线更长。当拼图在穿过不同的路径之后到达时,碎片可能无序。互联网协议确保这些片段到达目的地址。TCP协议可以被认为是另一方面的拼图汇编器,它们以正确的顺序将这些块放在一起,要求丢失的块被重新发送,并让发送方知道拼图已经被接收。TCP在发送最后一个片段之后,保持与发送者之间的连接。

IP是无连接协议,这意味着每个数据单元被单独寻址并从源设备路由到目标设备,并且目标不发送回到源的确认。这就是传输控制协议(TCP)等协议。TCP与IP结合使用,以保持发送方和目标之间的连接,并确保数据包顺序。

例如,当通过TCP发送电子邮件时,建立连接并进行3次握手。首先,源向目标服务器发送SYN“初始请求”数据包,以便开始对话。然后,目标服务器然后发送一个SYN-ACK数据包以同意该过程。最后,源向目标发送ACK数据包,以确认进程,之后可以发送消息内容。在将每个分组发送到互联网之前,电子邮件消息最终被分解成分组,其中它在到达目标设备之前穿过一系列网关,其中组的分组被TCP重新组合成电子邮件的原始内容。

互联网上使用的IP的主要版本是互联网协议版本4(IPv4)。由于IPv4中可能地址总数的大小限制,开发了一种较新的协议。较新的协议被称为IPv6,它使得更多的地址可用,并且越来越多的采用。

IP欺骗

IP欺骗是创建具有修改源地址的IP数据包。恶意演员经常使用的技术是针对目标设备或周边基础设施调用DDoS攻击。在正常的分组中,源IP地址是分组的发送方的地址。

IP欺骗类似于攻击者向包含错误的返回地址的人发送包。如果接收包裹的人希望阻止发件人发送包裹,则从伪造地址中封锁所有包裹将不会很好,因为地址容易更改。另外,如果接收方想要回复地址,他们的响应包将会转到除真实发件人以外的地方。欺骗数据包地址的能力是许多DDoS攻击的核心漏洞。

当目标是以流量压倒一个目标时,欺骗行为经常用于DDoS攻击。欺骗可用于掩盖恶意源的身份,防止缓解工作。如果源IP地址被伪造并持续随机化,则阻止恶意请求是困难的。因为攻击的来源可以被欺骗,所以很难过滤掉所有坏的流量。

欺骗也可以用于欺骗另一个设备的身份,从而将响应发送到该目标设备。诸如NTP扩展和DNS扩展的体积攻击利用了此漏洞。修改源IP的能力是TCP / IP设计固有的,使其成为持续的漏洞。网络管理员可以通过遵循BCP38,不允许在网络内创建欺骗性数据包来缓解这一点。

与DDoS攻击相切,欺骗也可以伪装为另一个设备,以便回避身份验证,并获取访问或“劫持”用户的会话。

恶意软件

恶意软件,恶意软件和恶意软件,是一个通用术语,可以指病毒,蠕虫,木马,ransomware,间谍软件,广告软件和其他类型的故意恶意软件。

恶意软件的目的是破坏设备的正常操作。这种中断的范围可以在设备上显示广告而不同意获得计算机的root访问。恶意软件可能会尝试从用户中混淆自己,以便静静收集信息,或者可能锁定系统并保存赎金数据。在DDoS攻击中,诸如未来的恶意软件会影响易受攻击的设备,将其转变为攻击者控制下的机器人。一旦修改,这些设备就可以用来作为僵尸网络的一部分进行DDoS攻击。

OSI模型

开放系统互连模型(OSI模型)定义了七个协议层中网络连接的组件。它是一个概念框架,可用于了解网络连接背后的组件,并且有助于了解DDoS攻击的类型。

每个层都处理一个特定的工作,并与其上面和下面的层进行通信。DDoS攻击针对网络连接的特定层次; 应用层攻击目标层7和协议层攻击目标层3和4。

用户数据报协议(UPD),UPD / IP

UDP是在协议栈的传输层操作的通信协议。像TCP一样,UDP协议也运行在IP协议之上,可以称为UDP / IP。UDP是无连接传输模型,不需要源和目标设备之间的状态连接。因此,UDP不具有TCP的错误检查和排序功能,并且在不需要错误检查并且速度很重要时最好地使用。UDP通常用于时间敏感通信,其中丢弃数据包比等待更好。使用此协议发送语音和视频流量,因为它们都是时间敏感的,旨在处理一定程度的丢失。同样,因为DNS和NTP服务器都需要快速高效,它们通过UDP进行操作。包括DNS放大和NTP放大在内的体积式DDoS攻击可以利用这些服务器,目的是通过UDP流量来淹没目标。

Web应用防火墙(WAF)

WAF或Web应用程序防火墙通过过滤和监视Web应用程序和Internet之间的HTTP流量来帮助保护Web应用程序。它通常保护Web应用程序免受诸如跨站点伪造,跨站点脚本和SQL注入等攻击。WAF是协议层7的防御(在OSI模型中),并不是为了防御所有类型的攻击而设计的。这种攻击缓解方法通常是一套工具的一部分,它们一起为一系列攻击向量创造了一个整体的防御。

通过在Web应用程序前部署一个WAF,屏幕就放置在Web应用程序和互联网之间。代理服务器通过使用中间人来保护客户端机器的身份,WAF是一种反向代理,通过在到达服务器之前让客户端通过WAF来保护服务器免受暴露。

WAF通过一系列通常称为策略的规则运行。这些策略旨在通过过滤恶意流量来防范应用程序中的漏洞。WAF的值部分来自于可以实施策略修改的速度和容易程度,允许对不同攻击向量的更快响应。在DDoS攻击中,通过修改WAF策略可以快速实现速率限制。应用程序防火墙可以实现为物理硬件,也可以是软件解决方案。

什么是DDOS僵尸网络?

什么是僵尸网络?

僵尸网络是指一组受恶意软件感染并受到恶意演员控制的计算机。术语僵尸网络是一个从机器人和网络这个词的portmanteau,每个被感染的设备被称为机器人。僵尸网络可以设计为完成非法或恶意的任务,包括发送 垃圾邮件,窃取数据, ransomware,欺诈性地点击广告或 分布式拒绝服务(DDoS)攻击。

虽然一些 恶意软件(例如ransomware)会直接影响设备的所有者,但DDoS僵尸网络恶意软件可以具有不同的可见性级别; 某些恶意软件被设计为完全控制设备,而其他恶意软件以静默方式作为后台进程运行,同时静默地等待来自攻击者或“bot herder”的指令。

自我传播的僵尸网络通过各种不同的渠道招募额外的机器人。感染途径包括利用网站漏洞,特洛伊木马恶意软件,以及破解弱认证来获取远程访问权限。一旦获得访问权限,所有这些感染方法都会导致在目标设备上安装恶意软件,从而允许操作员进行远程控制。一旦设备被感染,它可能会尝试通过招募周围网络中的其他硬件设备来自我传播僵尸网络恶意软件。

虽然在一个特定的僵尸网络中精确确定机器人的数量是不可行的,但在复杂僵尸网络中机器人总数的估计范围从几千到一百万不等。

为什么会创建僵尸网络?

使用僵尸网络的原因范围从行动主义到国家赞助的中断,许多攻击只是为了获利而进行。在线招聘僵尸网络服务相对便宜,特别是与他们可能造成的损害的数量有关。创建僵尸网络的障碍也足以使其成为一些软件开发商的有利可图的业务,特别是在法规和执法有限的地理位置。这种组合导致在线服务的扩散,提供攻击。

僵尸网络如何控制?

僵尸网络的核心特征是能够从机器人牧民接收更新的指令。与网络中的每个机器人进行通信的能力允许攻击者替代攻击向量,更改目标IP地址,终止攻击和其他自定义操作。僵尸网络设计有所不同,但控制结构可以分为两大类:

客户端/服务器僵尸网络模型

客户端/服务器模型模拟模拟传统的远程工作站工作流程,其中每个单独的机器连接到集中式服务器(或少量集中式服务器),以访问信息。在该模型中,每个机器人将连接到命令控制中心(CnC)资源,如Web域或IRC通道,以便接收指令。通过使用这些集中的存储库为僵尸网络提供新的命令,攻击者只需要修改每个僵尸网络从命令中心消耗的源资源,以便将指令更新到受感染的计算机。控制僵尸网络的集中式服务器可能是攻击者拥有和操作的设备,也可能是被感染的设备。

已经观察到一些受欢迎的集中僵尸网络拓扑,包括:

星网拓扑

多服务器网络拓扑

分层网络拓扑

在任何这些客户端/服务器型号中,每个机器人将连接到像Web域或IRC通道的命令中心资源,以便接收指令。通过使用这些集中的存储库为僵尸网络提供新的命令,攻击者只需要修改每个僵尸网络从命令中心消耗的源资源,以便将指令更新到受感染的计算机。

与有限数量的集中来源更新指令到僵尸网络的简单性是这些机器的脆弱性; 为了使用集中式服务器删除僵尸网络,只需要中断服务器。由于这个漏洞,僵尸网络恶意软件的创建者已经发展并转向了一种新模式,通过一个或几个故障点不太容易受到干扰。

对等僵尸网络模型

为了规避客户端/服务器模型的漏洞,僵尸网络最近使用分散式对等文件共享组件进行设计。将控制结构嵌入到僵尸网络中,消除了僵尸网络中存在的单一故障点与集中式服务器,从而使缓解工作更加困难。P2P漫游器既可以是客户端,也可以是命令中心,与邻居节点共同传播数据。

对等僵尸网络维护可信计算机的列表,可以通过它们提供和接收通信并更新其恶意软件。通过限制机器人连接到的其他机器的数量,每个机器人只能暴露在相邻的设备上,使其更难跟踪,更难以缓解。缺乏集中式命令服务器使对等僵尸网络更容易受到僵尸网络创建者以外的其他人的控制。为了防止失去控制,分散的僵尸网络通常被加密,使得访问受到限制。

IoT设备如何成为僵尸网络?

没有人通过他们放在后院的无线闭路电视摄像机来观看鸟饲料,但这并不意味着该设备不能进行必要的网络请求。IoT设备的力量 加上弱或配置不良的安全性,会为僵尸网络恶意软件招募新的机器人进入集体。物联网设备的上升为DDoS攻击带来了新的局面,因为许多设备配置不良和易受攻击。

如果IoT设备的漏洞被硬编码到固件中,更新更加困难。为了降低风险,具有过时固件的IoT设备应该被更新,因为默认证书通常与设备的初始安装保持不变。许多折扣制造商的硬件没有激励使他们的设备更安全,从僵尸网络恶意软件到物联网设备的脆弱性仍然是未解决的安全隐患。

现有僵尸网络如何被禁用?

禁用僵尸网络的控制中心:

一旦控制中心被识别就可以更容易地禁用使用命令和控制模式设计的僵尸网络。在故障点切断头部可以使整个僵尸网络脱机。因此,系统管理员和执法官员专注于关闭这些僵尸网络的控制中心。如果指挥中心在执法力度较弱或愿意干预的国家运作,这个过程更加困难。

消除个别设备感染:

对于个别计算机,重新获得对机器的控制的策略包括运行防病毒软件,从安全备份重新安装软件,或者在重新格式化系统后从干净的机器重新启动。对于IoT设备,策略可能包括闪烁固件,运行出厂设置或格式化设备。如果这些选项不可行,则设备制造商或系统管理员可能还可以使用其他策略。

如何保护设备不成为僵尸网络的一部分?

创建安全密码

对于许多易受攻击的设备,减少僵尸网络漏洞的风险可以像将默认用户名和密码更改为不同的管理凭据一样简单。创建一个安全的密码使得暴力破解变得困难,创建一个非常安全的密码使得暴力破裂实际上是不可能的。例如,感染了未来恶意软件的设备将扫描寻找响应设备的IP地址。一旦设备响应ping请求,机器人将尝试使用默认凭据的预设列表登录到找到的设备。如果默认密码已被更改并且已经实现了安全密码,则机器人将放弃并继续前进,寻找更易受攻击的设备。

仅允许受信任地执行第三方代码:

如果您采用软件执行的手机型号,则只能执行白名单应用程序,允许更多的控制来杀死被认为是恶意软件的僵尸网络。只有利用主管软件(即内核)可能会导致设备的利用。这取决于首先有一个安全的内核,大多数IoT设备都没有,更适用于运行第三方软件的机器。

定期系统擦除/恢复:

在一段时间后恢复到一个已知的良好状态将会删除一个系统收集的任何垃圾,包括僵尸网络软件。这种策略作为一种预防措施,确保即使是静默运行的恶意软件也被垃圾丢弃。

实现良好的入口和出口过滤实践:

其他更先进的策略包括网络路由器和防火墙的过滤实践。安全网络设计的原则是分层的:您对公共可用资源的限制最少,同时不断加强您认为敏感的事件的安全性。此外,必须仔细检查跨越这些边界的任何内容:网络流量,USB驱动器等。质量过滤实践增加了在进入或离开网络之前会捕获DDoS恶意软件及其传播和通信方法的可能性。

什么是DDoS攻击?

分布式拒绝服务(DDoS)攻击是恶意的行为,通过大量互联网流量压倒目标或其周围的基础架构来破坏目标服务器,服务或网络的正常流量。DDoS攻击通过利用多个受损的计算机系统作为攻击流量来实现有效性。被利用的机器可以包括计算机和其他网络资源,如IoT设备。从高层次来看,DDoS攻击就像堵塞高速公路的交通堵塞,防止定期流量到达目的地。

DDoS攻击如何工作?

DDoS攻击需要攻击者才能控制网络机器网络,以便进行攻击。计算机和其他机器(如IoT设备)被恶意软件感染 ,将其转换为僵尸(或僵尸)。然后,攻击者可以远程控制一组 僵尸网络(botnet)。

一旦僵尸网络建立起来,攻击者就可以通过远程控制方法向每个机器人发送更新的指令来指导机器。当受害者的 IP地址被僵尸网络定位时,每个机器人将通过向目标发送请求进行响应,可能导致目标服务器或网络溢出容量,导致对正常流量的拒绝服务。因为每个机器人是一个合法的互联网设备,因此将攻击流量与正常流量分开可能是困难的。

 

DDoS有哪些攻击类型?

DDoS攻击有许多不同的形式,从Smurfs 到Teardrops, 到Pings of Death. 。以下是有关常见攻击类型和扩增方法的详细信息。

攻击类:四种常见的攻击类型

TCP连接攻击 – 占用连接

这些尝试将所有可用的连接用于基础设施设备,如负载平衡器,防火墙和应用程序服务器。即使能够维持数百万连接状态的设备也可以被这些攻击所取消。

容量攻击 – 使用带宽

这些尝试在目标网络/服务内或目标网络/服务与互联网的其余部分之间消耗带宽。这些攻击只是造成拥塞。

碎片攻击 – 数据包

这些发送大量的TCP或UDP片段给受害者,压倒了受害者重新组合流的能力,并严重降低了性能。

应用攻击 – 定位应用

这些尝试压倒应用程序或服务的特定方面,并且即使在产生低流量速率的极少数攻击机(使得它们难以检测和减轻)中也是有效的。

放大:两种攻击可以使他们可以发送的流量倍增。

DNS反射 – 小请求,大回复。

通过伪造受害者的IP地址,攻击者可以向DNS服务器发送小的请求,并要求向受害者发送一个大的回复。这样一来,攻击者就可以从僵尸网络中获得每个请求的大小可以达到70x的大小,从而更容易压制目标。

充电反射 – 稳定的文字流。

大多数计算机和互联网连接的打印机支持称为Chargen的过时的测试服务,该测试服务允许某人使用随机字符流来请求设备进行回复。Chargen可用作扩展类似于上述DNS攻击的攻击手段。

什么是DoS和DDoS攻击保护?

什么是DDoS攻击防护?

不幸的是,术语“DDoS攻击”对于经营公司或组织网站的用户来说已经非常熟悉,甚至是阅读或观看新闻的人。DDoS(分布式拒绝服务)的爆炸变得如此普遍,大约有一半的IT研究公司调查的公司表示,他们是过去一年的目标。即使新闻故事集中在大型金融机构,支付提供商和媒体经常因DDoS扩展问题而遭受苦难,每个拥有网站的人都是从大学到小企业的潜在目标。

这就是为什么这个术语 – 以及有效的DDoS攻击保护的必要性已经变得如此熟悉,对于他们公司的IT运营负责人。对于数据中心或网络服务器正在进行的DDoS,每个小时可能会面临成本从5,000美元到50万美元的高管。

什么是DDoS攻击防护?

“DDoS攻击保护”是一个双管齐下的战略,用于打击大规模的流量爆炸,否则会破坏网站为合法用户提供服务的能力。两个重要组成部分是DDoS预防和DDoS缓解; 预防措施涉及“硬化”服务器安装或数据中心,针对攻击迹象进行渗透和监控的最常见方法,而缓解措施则描述了转移恶意流量的方式,因此不能阻止网站和服务器的运行。

这两种方法都不能独立地防止DDoS攻击。防止问题的步骤当然是至关重要的,可以在开始之前停止一些攻击。一旦“太晚了”,时钟开始在网站停机时间开始,并且使情况控制的成本迅速上升。

DDoS攻击防范的关键步骤

DDoS攻击中有许多不同的复杂程度。一些是相对较小的“简单”的恶意流量洪水,可能会被诸如正确使用防火墙,负载平衡和维持大量带宽的措施所扼杀。其他目标是易受攻击的协议或端口,如ICMP或UDP端口53(用于DNS查询),常常被阻塞或关闭,而不影响服务器操作。专用软件可以监控流量的性质和数量,以允许自动或手动阻止可疑查询或请求。

从预防的角度来看,所有这些都是DDoS攻击防护的重要步骤,但是大多数攻击不会对应用程序造成严重的暴力攻击或更为危险的攻击。这就是二级保护的地方:DDoS攻击缓解。巨大的恶意流量可能会在数分钟甚至数秒内丢弃服务器,因此,处理所有流量的有效计划是保持网站在DDoS中运行的关键。该计划涉及转移和“洗刷”交通。

至少有一些时候,硬件解决方案可以安装在可以处理任务的数据中心中。不幸的是,他们购买和操作非常昂贵,而且仍然无法处理当今许多高容量的攻击,这些攻击在闪存中占用了所有可用的带宽。

最好的解决方案是使用一个异地DDoS云缓解服务,它能够引起经常用于进行攻击的大量流量。当检测到DDoS时,所有流量都将从数据中心转移到云中,缓解服务会分​​析和分类最初发往服务器的每个请求。恶意流量被拒绝,从不接近目标,只允许访问合法流量。通过这种DDoS攻击防范方法,网站保持在线状态,服务器保持活动状态,DDoS的负面影响受到阻碍。

DDoS攻击防范不是一个事后的想法,只是留在ISP或IT人员的手中,承诺能够处理所有问题。由管理层和所有权人决定确保包含预防和减轻措施的有效计划已经到位,并且足以防止DDoS可能迅速造成巨大的财务损失。