拒絕服務威脅的起源
在傳統的拒絕服務攻擊中,黑客會將多個請求傳送到目標機器或服務,使用虛構返回網際網路通訊協定 (IP) 位址。 當伺服器嘗試驗證這些位址時,它會遇到一波錯誤碼回應,從而引發一個重複的 SMTP 流量鏈,可以快速飽和伺服器。 同樣地,在 Smurf 攻擊中,黑客會將數據包發到具有屬於這些目標機器的偽造 IP 地址的多個主機。 當收件人主機回應時,它們會有效地為自己流入回應的封包流量。
在 SYN 洪水中,攻擊者利用 TCP 三方向握手 (SYN、SYN-ACK、ACK) 處理程序將服務離線。 在三方式握手中,伺服器 A 會向伺服器 B 啟動 TCP Synchronize 請求訊息,接收請求時,主機 B (目標機器) 會將同步確認封包傳回伺服器 A. 正在此時發生拒絕服務攻擊。 在建立 TCP 通訊端連線的合法交換中,下一步是主機 A 將確認訊息傳送回主機 B,但當控制主機 A 的黑客防止這種情況發生時,握手就無法完成。 結果是主機 B 具有一個連接埠,該連接埠無法用於其他要求。 當攻擊者傳送此類型的重複請求時,主機 B 上的所有可用連接埠都可以快速掛斷並變得無法使用。
不斷演變的拒絕服務威脅
SYN 洪水、香蕉攻擊和其他類型的傳統 DoS 黑客如今仍在使用中 — 當然,殭屍網絡驅動的 DDoS 攻擊仍然是一個永久威脅。 但是惡意黑客近年來擴大了他們目標的機器和服務的數量,並大幅擴大威脅表面。 越來越多的組織越來越受到較低強度的「服務降級」攻擊的目標,這些攻擊會導致昂貴的服務減慢而無需將資源完全離線。 隨著越來越多的組織開始依賴 Amazon Web Services (AWS) 和類似的雲端產品來支援其 Web 運營,這種攻擊方法變得越來越普遍。
當大型零售商、金融服務供應商、消費品牌或類似商業企業在 AWS、Microsoft Azure 或其他雲端營運商上託管其網站時,該安排將受服務等級協定管轄。實際上,雲端營運商以給定的價格承諾提供該網站所需的處理資源、頻寬和支援基礎設施,以支援X 量的網路流量,其中X 將以千兆位元組的數據、零售數量來衡量.交易、正常運作時間和相關指標。如果流量超出了約定水平,如果流量合法,這將是正面的,則網站所有者將以更高的費率收費。 這個程序通常是完全自動化的,就像 Amazon CloudWatch 一樣,它具有自動擴展功能,可根據需要動態增加或減少處理資源。
昂貴的污染服務
正如人們可以想像的那樣,惡作者可以通過將非法流量導向目標網站來注入這些關係,並輕鬆增加目標組織開展業務的成本。 在這種攻擊中經常使用發送間歇性流量爆炸的脈動「殭屍」服務器。 由於相關流量負載是偶然的,並且並非明顯來自惡意來源,因此它們看起來非常像合法流量,這意味著網路安全人員很難發現並阻止它們。
此類拒絕服務或服務降級事件中使用的另一種工具集是所謂的「壓力源」應用程序,該應用程式最初旨在幫助網站所有者識別其網路基礎設施中的薄弱環節。這些應用程式(包括 WebHive)易於取得且易於使用,可以安裝在多個雲端實例上,以建立強大的 DDoS 功能。以這種方式協調,這些攻擊工具可以長時間使大型商業網站離線。
關鍵拒絕服務摘要
多年來,拒絕服務攻擊已發生變化,但造成的損害仍在增加。 Ponemon Institute 對各行業的大型企業進行調查發現,典型公司每年遭遇四次拒絕服務事件,並且每年處理 DoS 的平均總成本約為 1.5 萬美元。 建立一個使您能夠偵測、預防和回應 DoS 攻擊的安全架構是任何有效網路安全計畫的關鍵一步。
反映意見