ddos攻击的意思是指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,最后可以成倍地提高拒绝服务攻击的威力。
DDos攻击在今天看来并不新鲜,近两年来发展态势也渐趋平缓,直至一个月前,欧洲反垃圾邮件组织Spamhaus突然遭受到高达300Gbps的大流量DDos攻击。这一轮被认为是史上最大的DDos攻击,让人们警醒,原来DDos攻击手段从未被攻击者忽略。
这次超大流量DDos攻击的本质是什么?为什么会在今天出现?对此类攻击又该如何防范? 在防DDos攻击领域耕耘多年的安全公司Arbor近日对相关问题给出了答案。
问:迄今为止,这是最大的DDoS攻击吗?
答:是的,而且规模比以前大得多。之前报告的(和验证的)最大攻击约为100Gb/秒。
问:这是一种新型的DDoS攻击吗?
答:不是的。此次攻击属于DNS反射/放大攻击,而DNS反射/放大攻击已存在多年了。这种类型的攻击已被发现用来产生近年来互联网上看到的多个最大攻击。DNS 反射/放大攻击利用互联网上的DNS 基础结构来放大攻击能够产生的通信量。DNS 是用于主机名到IP 地址解析的互联网基础设施的重要组成部分。DNS 反射/放大攻击通过使用多个客户端肉机(bots僵尸肉机) 将查询发送到多个开放DNS 解析器中,从而使大量的攻击流量从广泛分布源中产生(在Spamhaus袭击期间,使用了超过30K开放解析器)。
问:DNS反射/放大攻击是如何产生的?
答:两件事使这些类型的攻击成为可能:服务提供商网络缺乏入口过滤(允许流量从虚假源地址转发);因特网上开放 DNS 解析器的数目(可从任何 IP 地址进行查询响应)。
攻击者必须能够假冒目标受害人DNS 查询的源地址。所有组织应在他们网络的所有边界实施 BCP38/84 反欺骗。不幸的是,在今年的Arbor全球网络基础设施安全报告(包含2012年) 中,仅 56.9%的调查对象表示他们目前正在他们的网络边缘执行 BGP 38/84。
这种攻击的第二个关键组成部分是因特网上大量可用的开放DNS 解析器。目前在互联网上预计约有 2700 万开放DNS 解析器。
问:DNSSec(域名系统安全拓展)可帮助处理这些攻击吗?
答:不,DNSSec 旨在确保DNS 查询答复的真实并且不被篡改。完全无助于DNS反射/放大攻击,相比没有DNSSec的情况,具有DNSSec的任何类型查询都会生成更显著的大量回复数据包,实施DNSSec 实际上意味着更易将攻击放大。
问:互联网基础设施几乎已经到了最大的100Gbps。如果是这样的话,Spamhaus是如何看到300 Gbps的流量的?
答:虽然 100Gb/秒是部署在生产网络中的最大单个物理链路速度,但是多个100Gb/秒物理链路结合在一起,就可以形成大容量逻辑链路。
问:如何缓解这类攻击?
答:如果大部分服务提供商在网络边界执行了BCP 38/84,同时还大幅减少互联网上开放的DNS 解析器的数目,那么就可以减小攻击者的能力,从而降低此类较大攻击的风险。
我们需要通过各种机制来缓解这些攻击。我们可通过IP 筛选器列表,黑/白名单,灵活僵尸去除,和/或攻击中合适的负载正则表达式对策来保护通过DNS 反射/放大攻击的最终目标服务器。S/RTBH(基于源的远程触发黑洞)和FlowSpec(特定流过滤)也可用于缓和攻击流量;然而,在应用这些机制时必须谨慎,因为这有可能阻止所有的流量通过利用反射攻击的开放的DNS递归器。在某些情况下,这可能是最佳行动方法。选择缓解机制和策略需依赖客观事实。
问:其他公司可从此次攻击得到哪些教训?
答:目前的DDoS 威胁很复杂,由大容量攻击和复杂应用层威胁构成。为了有效地解决我们目前看到的攻击,保护服务可用性,企业组织需要分层的 DDoS 防御。企业组织必须具有网络边界解决方案,以积极地处理隐秘、复杂的应用层威胁,还必须利用基于云的服务提供商提供DDoS 保护服务,以减轻大的攻击。理想的情况是这两个组件一起工作并提供完整、集成、自动化的保护系统,从而使其免受DDoS 威胁的影响。
企业组织还应知道,巨大的攻击可能超过服务提供商预设的智能缓解能力或导致服务提供商内部的通信流量堵塞 (或在其互连点),而导致重大的附加损害(影响攻击者的非针对性服务)。在这些情况下,服务提供商可通过ACLs,S-RTBH,FlowSpec等来保护自己及客户。
对终端客户而言,应询问服务提供商具备多大的智能DDoS 缓解能力;服务提供商是否已在他们的网络上部署了BCP38/84 反欺骗系统;服务提供商是否部署了其它网络基础设施的当前最好实践,如Acl (iACLs) 基础设施和一般 TTL 安全机制 (GSTM) ;服务提供商是否已经在他们的网络上部署了 S/RTBH 或FlowSpec。
以上就是脚本之家小编为大家介绍的史上最大DDoS攻击的本质与防范的教程,想了解更多精彩教程请继续关注脚本之家网站!
相关教程
-
请问你是黑客的菜吗?有效防范黑客入侵的绝招
在大多数人看来,这也许只是网络世界中一群拥有高超电脑技术的专业人士代名词;或者,很多人印象中的黑客,就如同电影《黑客帝国》中展现的那样出神入化。Palo AltoNetworks日前发布了一项由其赞助的调查结果,这份调查揭露了神秘黑客的收入、攻击花费的时间,通过了解黑…
5/9/2018 10:54:44 PM -
你的账号密码是怎样丢失的?暴力破解攻击的检测和防御
之前我们讲过关于“黑客1小时内破解16位密码”这样可怕的事情,里面提及了很多安全专家反复提醒用户设置账户和密码时要尽可能多样化,以防被破解。要知道,在这个大数据称霸天下的时代,网络安全意味着什么,意味着一切。众所周知,iCloud艳照门其实并…
5/9/2018 10:54:43 PM -
如何逆向破解HawkEye keylogger键盘记录器进入攻击者邮箱
面对恶意邮件攻击,我们就只能默默忍受被他攻击,连自我保护能力都没有谈什么反抗?让人痛快的是,如今有了解决办法,逆向破解键盘记录器,进入攻击者邮箱。这一切要从一次恶意邮件攻击活动开始。下图为我们最近监测到的一个以恶意文件为发送附件的邮件攻击,请注意邮件信…
5/9/2018 10:54:41 PM -
黑客都很厉害吗 厉害的只是一小部分
国家正在修正关于黑客方面的法律法规,有一条震惊黑客圈的“世纪佳缘”起诉白帽黑客事件,深深的伤害了广大黑客们的心,加上扎克伯格和特拉维斯·卡兰尼克账号被盗,于是黑客话题又开始变得火热,黑客真的如你所想神秘又强大?真正技术高超的…
5/9/2018 10:54:33 PM
共有条评论 网友评论