據網路安全公司 Nexusguard 2018年第三季度的 DDoS 威脅報告,該季度有66.5%的 DDoS 攻擊指向通訊服務提供商,攻擊者通過使用非常小的垃圾流量,汙染了數百個IP字首的多種IP地址。
Nexusguard 技術官 Juniman Kasman 稱,犯罪者比起大而明顯的方式,更傾向於用更小型且分散的方式將垃圾流量注入,使得攻擊繞過檢測。而這可能使通訊服務提供商錯過正在進行的大規模 DDoS 攻擊。
這些攻擊經常使用開放的域名系統(DNS)解析器進行DNS 放大公斤(DNS Amplification)。攻擊後,目標IP地址只接收少量響應,而這個過程幾乎不留痕跡。
DNS放大攻擊是一種拒絕服務攻擊。攻擊者利用殭屍網路中大量的被控主機,偽裝成被攻擊主機,在特定時間點,連續向多個允許遞迴查詢的DNS伺服器,傳送大量DNS服務請求,迫使其提供應答服務。
該報告的一些資料顯示,中國在全球攻擊源方面佔領先地位,佔比在23%以上,有15%的攻擊來源於美國。另外,報告顯示針對通訊服務提供商的新模式的原因,簡單服務發現協議(SSDP,SimpleServiceDiscoveryProtocol)放大攻擊比上個季度增加了639.8%。
簡單服務發現協議(SSDP)是一種應用層協議,是構成通用即插即用(UPnP)技術的核心協議之一。簡單服務發現協議提供了在區域性網路裡面發現裝置的機制。控制點(也就是接受服務的客戶端)可以通過使用簡單服務發現協議,根據自己的需要查詢在自己所在的區域性網路裡面提供特定服務的裝置。裝置(也就是提供服務的伺服器端)也可以通過使用簡單服務發現協議,向自己所在的區域性網路裡面的控制點宣告它的存在。
2018年2月28日,全球最大原始碼託管平臺GitHub遭遇了有史以來最嚴重的DDoS攻擊,不到十分鐘,GitHub就不得不向CDN服務商Akamai 請求協助。峰值流量達到了前所未有的1.35Tbps,這是一種利用Memcache作為DDoS放大器進行放大的超大規模DDoS攻擊技術。這種利用Memcache的攻擊實現了高達5萬多倍的放大係數,是DDoS歷史上首次出現的超高倍數DDoS攻擊事件。
在這之前的記錄是針對2016年DNS提供商Dyn的攻擊,其估計每秒1000千兆位的峰值爆炸,這次攻擊前後有三波,它通過已感染Mirai惡意軟體的物聯網裝置組成的殭屍網路進行攻擊。許多公司都受到此次攻擊的影響,比如Amazon、Paypal、Netflix、Twitter、Reddit和Github。該攻擊導致Dyn無法響應由其域名伺服器解析的域名的有效DNS查詢,以至於終端使用者無法訪問相關域名。
DDoS攻擊已成為目前全球最常見的網路犯罪形式之一。遭受DDOS攻擊的網站會出現:網站無法訪問、訪問提示“server unavailable”、伺服器CPU使用率100%、記憶體高佔用率。攻擊者經常會精心策劃攻擊時機,以便實現最大的經濟危害。除此之外,DDoS攻擊還會危害企業與客戶之間的關係。
2016年,卡巴斯基實驗室和B2BInternational曾做過一項研究,對超過5,000家企業進行調查,發現有37%的DDoS攻擊會破壞企業的信譽,造成深遠的客戶信任危害。調查還發現,有超過一半的受調查企業由於遭受DDoS攻擊,造成企業資料丟失(57%)或無法訪問企業關鍵資訊(56%),有42%的受影響企業表示這種攻擊影響了他們開展業務的能力。
因此,無論是個人還是對企業,在這個DDoS愈發猖獗的時代,都應該掌握相關知識,主動積極做好防範策略,而不是被動等待保護。
建議
1、備份網站或者臨時主頁
遭遇DDoS攻擊後,如果導致生產伺服器下線,這個時候你可以切換到備份網站,它不一定擁有全部的功能,只要能夠幫助你顯示一些重要的資訊就夠足,比如你需要通過它發公告說明自己目前的情況等。可以將這種臨時主頁放到頻寬大的Github Pages 或者 Netlify,可應對攻擊,還支援繫結域名,能從原始碼自動構建。
2、HTTP請求的攔截
HTTP 請求的特徵一般有兩種:IP 地址和 UserAgent 欄位。比如,惡意請求都是從某個 IP 段發出的,那麼把這個 IP 段封掉就行了。或者,它們的 User Agent 欄位有特徵(包含某個特定的詞語),那就把帶有這個詞語的請求攔截。
3、頻寬擴充
真正的 DDOS 攻擊是沒有特徵的,它的請求看上去跟正常請求一樣,而且來自不同的 IP 地址,所以沒法攔截。這就是為什麼 DDOS 特別難防的原因。對於網站來說,就是在短時間內急劇擴容,提供幾倍或幾十倍的頻寬,頂住大流量的請求。這就是為什麼雲服務商可以提供防護產品,因為他們有大量冗餘頻寬,可以用來消化 DDOS 攻擊。
4、CDN
CDN 指的是網站的靜態內容分發到多個伺服器,使用者就近訪問,提高速度。因此,CDN 也是頻寬擴容的一種方法,可以用來防禦 DDOS 攻擊。
網站內容存放在源伺服器,CDN 上面是內容的快取。使用者只允許訪問 CDN,如果內容不在 CDN 上,CDN再向源伺服器發出請求。這樣的話,只要 CDN 夠大,就可以抵禦很大的攻擊。不過,這種方法有一個前提,網站的大部分內容必須可以靜態快取。對於動態內容為主的網站(比如論壇),就要想別的辦法,儘量減少使用者對動態資料的請求。一旦上了 CDN,千萬不要洩露源伺服器的 IP 地址,否則攻擊者可以繞過 CDN 直接攻擊源伺服器,前面的努力都白費。
下載報告:
Threat Report
Distributed Denial of Service (DDoS) -Q3 2018
連結:
https://bbs.pediy.com/thread-249109.htm
參考來源:
- 開源中國
- ruanyifeng.com
- kaspersky
更多資訊: