任何网站管理员都努力在流量激增期间保持其网站正常运行。但您如何确定这些流量峰值是合法的?更重要的是,如果情况并非如此,我们应该如何应对?
不幸的是,现实情况是 DDoS 攻击可能对大型和小型网站构成威胁。在本文中,我们将介绍有关如何阻止 DDoS 攻击并防止其将来发生的一些重要基础知识。
什么是分布式拒绝服务?
分布式拒绝服务 (DDoS) 攻击是一种网络攻击,其中特定服务器、服务或网络的正常流量被 Internet 流量中断。这种攻击通常使用多台受感染的计算机或网络资源(包括物联网 (IoT) 设备)发起。
用最简单的术语来说,DDoS 攻击可以比作高速公路上的巨大交通堵塞,阻止普通通勤者(在本例中为网站访问者)到达他们想要的目的地。
DDoS 攻击有哪些类型?
DDoS 攻击有多种不同类型。所有这些都通过向服务器发送虚假请求或超出服务器处理能力的流量来阻止合法用户访问网站。
容量 DDoS 攻击
此类攻击被认为是 DDoS 中最常见的攻击。他们的目标是使网站带宽过载或导致 CPU 使用问题,从而大幅减少每秒 I/O 操作的数量。如果攻击者能够使目标设备过载,则攻击成功。
容量 DDoS 攻击的一些示例包括:
UDP flood:是一种攻击者向目标服务器上的随机端口发送大量UDP数据包的攻击。由于 UDP 是无连接的,因此服务器尝试响应每个请求,通常使用端口不可达消息。这会使网络资源过载并可能导致拒绝服务。
ICMP flood:攻击者向目标机器发送大量ICMP报文(例如ping命令使用的Echo Request报文)的攻击。这里的目标是使目标设备的网络和处理器资源超载,迫使其响应每个请求。
Ping flood:这是一种 ICMP 洪水,攻击者向目标系统发送批量 ping 请求。如果系统配置为响应每个此类请求,则可能会很快耗尽其网络和计算资源。
基于协议的 DDoS 攻击
基于协议的DDoS攻击的目的是利用三层、四层协议栈的弱点,攻击服务器或网络设备资源,导致服务失败。
如果攻击者占用的带宽超过网络端口可以处理的带宽,或者超过服务器可以处理的数据包,则攻击成功。
基于协议的 DDoS 攻击的一些示例包括:
Ping of death:此类攻击涉及发送特制的 ping 数据包,该数据包大于允许的最大 IP 数据包大小(65,535 字节)。此类数据包可能会导致缓冲区溢出或其他系统故障,从而导致系统不稳定或崩溃。
SYN flood:在该攻击中,攻击者向目标服务器发送大量SYN数据包(建立TCP连接的初始阶段),而没有完成连接建立过程。这会耗尽可用于新连接的服务器资源池,从而无法处理合法的连接请求。
应用层DDoS攻击
应用程序级攻击的目标是攻击集中在 Web 应用程序级的 CPU、内存或资源,包括影响 Web 服务器、运行 PHP 脚本或访问数据库以仅加载一个网页。
针对 DNS 服务器的攻击:此类 DDoS 攻击的目的是通过大量请求使域名系统 (DNS) 服务器过载。这会导致服务器无法处理合法请求,从而无法访问其 DNS 记录由受攻击服务器维护的网站和在线服务。
缓存绕过:攻击者尝试以无法使用缓存处理的方式发送请求。这些可能是需要服务器处理的独特请求,例如具有独特查询字符串或标头的请求。此类攻击会增加服务器的负载,因为它无法使用缓存的响应,并且必须单独处理每个请求。
HTTP flood:在这里,攻击者会生成大量 HTTP 请求,以使 Web 服务器或其背后的应用程序过载。与针对网络基础设施的低级攻击不同,HTTP 泛洪针对的是应用程序,迫使服务器浪费资源来处理每个请求。这些攻击可以伪装成合法流量,使其难以检测和阻止。
DDoS 的影响和后果
如果未能做好应对 DDoS 攻击的准备,最好的情况是导致无限期的流量损失,最坏的情况是导致声誉和销售损失。此类后果可能会对公司的业务产生最大的影响。
以下是有关 DDoS 攻击的一些需要了解的事项,突出了其影响:
对于犯罪分子/攻击者来说,购买为期一周的 DDoS 攻击的容量仅需 150 美元;
一次小型的有针对性的 DDoS 攻击可能会让攻击者损失低至 10 美元;
全球每天发生超过2000起DDoS攻击;
成功的 DDoS 攻击可能会给受害公司带来巨大的经济损失。
如何检查 DDoS 攻击
定期监控网站的流量峰值以快速发现任何明显的异常情况非常重要。
正如我们之前讨论过的,最常见的 DDoS 攻击被认为是使用大量流量的容量攻击,但并非所有 DDoS 攻击都是容量攻击。
流量急剧增加直接表明存在潜在的 DDoS 攻击。需要提前设置并定期检查用于监控网站活动的工具,以便有一天您发现您的网站已关闭数小时或数天时不会感到惊讶。此类工具的优点是,它们可以在显着超过峰值请求阈值的情况下设置警报。
以下一些指标也可能表明该网站可能存在恶意活动:
一天中请求激增的时间;
这些请求的发起地点;
它们发生的时间。
您预计凌晨 2 点您网站的访问量是否会激增?您是否期待来自其他国家的游客涌入?或者,您可能正在销售一些季节性商品,例如新年烟花 – 那么冬季活动的急剧增加将是合理的。
一般来说,你首先需要仔细思考一下请求数量增加的可能原因,如果肯定没有这样的原因,你就可以仔细考虑是否要拦截这个可疑流量。
Googlebot 可能会频繁重复向您的网站发出请求,乍一看这似乎很可疑。然而,Googlebot 和其他搜索引擎抓取工具都以这种方式工作,以确保网站在搜索结果中正确排名。相应地,此类流量也需要用专门的分析工具来衡量,不要与恶意流量混淆,更不能在任何情况下进行拦截。
乍一看,解决方案很明显 – 阻止他们的来源!然而,即使在这里,也有几个关键点最好检查一下,以免意外把事情搞砸。
安全系统清单。提前制定需要在网络基础设施中实施的资产和工具的全面列表,以确保正确检测和防止 DDoS 攻击。
制定明确的应对计划。提前定义安全团队关键成员的职责,以确保对攻击进行有组织的响应。
确定替代方法或解决方案。确保您的团队成员确切知道如果攻击超出合理限制且无法使用标准方法处理,应联系谁。
报告预计停机时间。如果您有经常使用您网站的客户,您应该提前关注紧急通知他们网站暂时不可用或性能下降的问题。
如何阻止 DDoS 攻击
接下来,我们将了解在 DDoS 攻击影响您的网站及其流量之前帮助阻止它的具体步骤。
1. 识别 DDoS 攻击
及早检测 DDoS 攻击可显着减少网站的影响和停机时间。如果您使用自己的 Web 服务器,请确保您有适当的服务来帮助您及时检测 DDoS 攻击。
2. 保持足够的带宽和资源
您的网络服务器应该已经配置为能够处理流量的意外增加,特别是当您不时投放广告、活动或特别优惠时。这些额外的资源可以让您在站点资源完全被淹没之前有几分钟的时间来响应 DDoS 攻击。
3. 保护您的网络边界
如果您拥有自己的 Web 服务器,则可以采取几个步骤来减轻 DDoS 攻击的影响。例如,您可以限制 Web 服务器随时间推移接受的请求数量、添加过滤器以丢弃数据包,或设置较低的 ICMP、SYN 和 UDP 泛洪级别。
4.使用Web应用程序防火墙
Web 应用程序防火墙 (WAF) 可以帮助抵御 DDoS 和 DoS 攻击、第 7 层威胁、恶意机器人,甚至可以及时修补已知的网站漏洞。WAF 本质上是位于网站与其接收的流量之间的一层保护。
有多种 WAF 解决方案可提供自动 DDoS 缓解,但确定哪种 WAF 最适合您的产品的最佳方法之一是分析保护的有效性、它是否符合您的预算以及您的团队是否可以正确配置它。
5.启用区域锁定
国家一级的封锁通常可以非常有效地降低风险。它还可以帮助执行某些旨在阻止黑客的组织策略。以下是一些需要注意的事项:
物理位置对计算机来说并不重要;它总是可以伪造的。反过来,网站防火墙只能看到 IP 地址,其位置由特殊的大型表确定,其中的数据可能会随着时间的推移而过时。
对于攻击者来说,绕过区域封锁系统非常容易。使用一种或另一种形式的匿名代理或在被阻止的国家/地区列表之外配置代理就足够了。
这并不意味着区域封锁无助于防止 DDoS 威胁,但重要的是要了解这不是万能药,您不应该为了想象中的安全而封锁来自除本国以外的任何国家的流量。
目前,大多数僵尸网络由数千个被黑客入侵的网站、受损的视频监控系统、受感染的计算机和其他物联网设备组成。这些攻击正在世界各地蔓延,全国范围内的封锁实际上可以阻止数千个盲目的机器人发送垃圾邮件。因此,这种方法绝对有它的优点。
DDoS 攻击对网站和在线服务的所有者构成非常严重的威胁。虽然此类攻击无法完全避免,但可以通过一系列战略和技术措施有效遏制。
及早发现攻击、保持足够的带宽以及实施 Web 应用程序防火墙和区域阻止等保护系统,可以显着降低此类攻击的风险和影响。正确配置的监控系统和明确制定的事件响应计划将提供额外的保护,并有助于在发生攻击时保持业务连续性。