随着大数据的兴起,基于用户访问数据建立了完整的视觉防御体系,包括QPS、IP-cookie、IP-request分发、页面点击等行为数据结合信誉机制。结合威胁情报,建立运营商/ISP/DC/区域信息数据库、IP地址黑名单、代b / O J = * z h理数据库、暗网数据库等丰富的情报数据库,1 ~ F t线上线下进行关k $ | P X % x g q联分析。一方面,防御时间提前,甚至攻击在发动前就能预知;另一方面,攻击者可以追z O S a \ -根溯源,可以有效打击攻击者的嚣张气焰。
最大限度地破坏资源是DDoS攻击的根本意图。从这个角度看DDoS攻击的发展,可以梳理出清晰的脉络。有安全专家曾将DDoS攻击比作互联网“核武器&rdquo{ ! + ~ ; d &;:一旦v x M $ 3动员了足够数量的遍布互联网的+ k O ) j L ?“肉鸡&q 4 Yrdquo;和存在各种协议漏洞的开放服务器,任何互联网业务都可能瘫痪。最大限度地破坏资源是DDoS攻击的根本意图。从这个角度看DDoS攻击的发展,可以梳理出清晰的脉络。
DDoS攻击的发展趋势D | 0 C D X 1有三个明显的阶段:
第一阶段:个人电脑设置僵尸网络发起& i n 5 = J 4 !DDoS攻击;第二阶段:利用互联网开放服务器(如DN% [ e ? NS、NTP)发t 2 C ) h a x ?起反射攻击;第三阶段:利用智能//物联网设备协议(如SSDP)的漏F T 6 * u B洞发起反射攻击。
僵尸网络的DDoS。大多数传S P & %统的DDoS攻击是由僵尸主机X h t M m q % \(也称为肉鸡)组成的僵尸网络发起的。“肉鸡”是指被木马击中或被某些人留下的电脑。成为“肉鸡”的计算机可以被黑客远程控制。“肉鸡”的存在,大多是用户系统中的各种漏洞造成的。一旦系统被入侵,黑客就可以获得控制权。黑客在这些“肉鸡&rdquoN k l A : V 5 x;主人不知情的情况下对预定目标发起攻击。典型的攻击之一是DDoS攻z q U c ? m G b v击。
在我们遇到的一些实际攻击中,从攻击流量分析,来源分散在全国各地,这类攻击很可能是由大量被操纵的“肉鸡”组成的僵尸网络发起的。可见,“肉鸡&: m \rdquo;对互联网,尤其是网站系统构成了极大的威胁。即使单只“肉鸡”的攻击能力有限,如果有大量肉鸡,聚合攻击流量也会惊人。
开放式服6 % : 0 X b l务器的反射放大。
虽然肉鸡的效果显著,但僵尸网络的建立和维护都需要很高的成本。随/ = \ U L ] r h着黑客对更低成本和更大效果的不断追求,利用互联网开放服务器发起反射式拒绝服务攻击越来越流行。
反射拒绝服务攻击也称为DRDoS攻击(分布式反射拒绝服务),或分布式反射拒绝服务攻击。原理是黑客伪造攻击者的IP地址,向互联网上大量开放特定服务的* B \ U l F x N服务器发送请求。接收请求的主机根据源IP地址向受害者返回响应数据包。在整个过程中,返回响应的服务器并不知道请求源的恶意动机。a L h r + ! @ 6 ?
黑客往往会选择那些响应包远大于请求包的服务来使用,这样就可以用较小的流量换取较大的流量,得到数倍甚至数十倍的放大。一般来说,可用于放大和反射攻击的服务包括DNS% V G C ,服务、NTP服务、SNMP服务、Chargen服务等。
NTP协议的反射放大效果最好,超过500倍。也就是说,攻击者只需要发起100Mi G } Q - l ?bps的请求流量,经过NTP服务器反射放大后,就可以Y o ( 6 G W换取5Gl z H U | cbps的攻击流量。2014年2月,在一家国外云计算服务I / _ J R w提供商遭受的400Gbps DDoS攻击中,黑客使用了NTP反射放大攻击。
SSDP袭击的兴起s ) 5 S d 0 a &。
一方面,随着互联网上DNS、NTP、u % G c & t /SNMP等协议的开放服务漏洞不断被修复,可用于发起反射& L J f攻击的服务器数量不断减少。另一方面,互联网上家庭路由器、网络摄像头、打印机、智能家电等设备的激增,让黑客看到了另一座q N * v 0 3 T可以不断挖掘的金山。UPnP(即插即用)协议被广泛用作这些智能设备的网络通信协议,UPnP设备的发现T D B , l基于源端口为1900的SSDP(简单服务发现协议)。
使用SSDP协议的反射攻击原理类似于使用DNS服务和NTP服务,伪造为被攻击人的IP地址向互联网上的大量智能设备发起SS* \ k iDP请求,接收请求的智能设备根据源IP地址向受害者返回响应数据包F : u q , Y i =。
SSDP反射放大攻击是一种快速上升的DDoS攻击。从akamai 2015q1互联网/安全; p B y u ! )报告状态可以看出,S} s uSDP反射攻击已经成为TOP1的DDoS攻击模式(20.78%)。
根据Ao Q h c Q # %rbor Networks在2015年初发布的全球基础设施安全报告,直到2014年7N + E } [ Z . h ^月才注意到SSDP反射攻击,2014年Q3-Q4期间发起了几次流量超过100Gbps的攻击。
根据USCERT的数据,SSDP的放大率是30倍,比NTP和Chargen的放大率小得多。然而,由于互联网上智能设备数量巨大,随着IoT的发展,这个数字将呈现几何级数增长。这无疑为黑客提供了丰富的攻击来源。
SSDP的严峻形势P ! e = Q ) L也反映在阿里F ? ? + b Z巴巴云上。根据阿里巴巴云盾安全运营团队2015年6月的统计,针对阿里巴巴云用户的UDP DDoS攻击中,80%是SSDP反射= J s 3 | P 5 | 1放大攻击。
随着物联网和智能设备的快速发展和普及,使用智能设备的DDoS攻击将越来越普遍。
如何回应?
对于DDoS攻击,常用的防护措施包括:
(1)来源验证/反向检测,即来源检测和人机识别,包括cookie和识别码;
(2)限制源,即. N 5 f \ ( ] 3限制源If z bP或协议。黑名单是常用手段;
(3)特征丢弃,指根据数据包的特征或访问行为进行丢弃,如Payload特征、包行为特征、QPS特征等。
(4)速度限制,限制流量/接入速率。
特别是- } A A 1 P p ^ Q对于保护高流量的DDoS攻击,与电信运营商的合作也是必不可少的。包括与运| 1 h f d 5 Z t v营商合作实施现场清源,以及在运营商路由器上限制特定协议或特定源的IP都是降低保护开销的方式。
当然,针对第4层DDOS攻击和第7层DDoS攻击M v L } D Y 9 J n的不同攻击策略,具体的防护措施也有所不同。我在这里不再重复。
另外,对于网站来说,. , B \ J \ Z I通过CDN进行DDoS保护也是一个不错的手段。由于多个节点的相互) m B备份; ( X * ! p n和协议的限制,CDN具有固有! r d的抗DDoS能力和高可用性。同时,CDN经常与云WAz ? z #F系统协同工作,两者之间的配合成为保护HTTP Flood的利器。百度云加速买一送一,租用或托管服务器可咨询梦飞云idc了解。