双向DDoS攻击防御选择天下数据香港高防服务器
服务可用性是用户体验的关键组成部分。客户希望服务能够持续可用并快速响应,任何停机都可能导致用户失望、客户流失、名誉受损。DDoS攻击已成为在线服务可用性的严重威胁,且其复杂性、攻击规模和持续时间都在增加。蜗牛vps发现,在 2018 年,复杂的 DDoS 攻击(如突发攻击)增加了 15%,HTTPS 洪水攻击增加了 20%,超过 64%的客户受到应用层的攻击(L7)DDoS 攻击。
一、某些攻击是双向的
随着 DDoS 攻击变得更加复杂,企业需要更加精细的保护来防御此类攻击。但是,为保证完全的保护,许多复杂类型的攻击需要能够查看入站和出站通道。此类攻击的一些示例包括:
Out of State Protocol 攻击:一些 DDoS 攻击利用协议通信进程中的弱点(例如 TCP 的三次握手序列)来创建 “状态外” 连接请求,从而抽出连接请求以耗尽服务器资源。虽然这种类型的攻击(例如 SYN 泛洪)可以通过仅检查入站通道来停止,但其他攻击也需要对出站通道的可见性。
一个例子是 ACK 泛洪,攻击者不断向受害主机发送伪造的 TCP ACK 数据包。然后,目标主机尝试将 ACK 回复与现有 TCP 连接相关联,如果不存在,则会丢弃该数据包。但是,此过程会消耗服务器资源,并且大量此类请求会耗尽系统资源。为了正确识别和减轻此类攻击,防御需要对入站 SYN 和出站 SYN / ACK 回复都具有可见性,以便他们可以验证 ACK 数据包是否与任何合法连接请求相关联。
反射 / 放大攻击:此类攻击利用连接请求与某些协议或应用程序的回复之间的不对称响应。同样,某些类型的此类攻击需要同时了解入站和出站流量通道。
此类攻击的一个示例是 大文件出站管道饱和攻击。在此类攻击中,攻击者在目标网络上识别一个非常大的文件,并发送连接请求以获取它。连接请求本身的大小只有几个字节,但随后的回复可能非常大。大量此类请求可能会堵塞出站管道。
另一个例子是 memcached 放大攻击。尽管此类攻击最常用于通过反射压倒第三方目标,但它们也可用于使目标网络的出站信道饱和。
扫描攻击:大规模网络扫描尝试不仅具有安全风险,而且是经常承受 DDoS 攻击的标志,使网络充斥恶意流量。此类扫描尝试基于向主机端口发送大量连接请求,以及查看哪些端口应答(从而指示它们是打开的)。但是,这也会导致封闭端口出现大量错误响应。减轻此类攻击需要查看返回流量,以便识别相对于实际流量的错误响应率,以便防御得出攻击正在发生的结论。
服务器破解:与扫描攻击类似,服务器破解攻击涉及发送大量请求以暴力破解系统密码。同样,这会导致高错误回复率,这需要可以查看入站和出站通道,以便识别攻击。
有状态应用层 DDoS 攻击:某些类型的应用层(L7)DDoS 攻击利用已知的协议弱点或命令创建大量欺骗性请求,从而耗尽服务器资源。减轻此类攻击需要具有状态感知的双向可见性,以便识别攻击模式,以便可以应用相关的攻击特征来阻止它。此类攻击的示例是低速和慢速应用层(L7)SYN 泛洪,它们抽取 HTTP 和 TCP 连接以便持续消耗服务器资源。
二、双向攻击需要双向防御
随着在线服务可用性变得越来越重要,黑客们正在进行比以往更复杂的攻击,以淹没防御。许多这样的攻击向量 - 通常是更复杂和有效的攻击向量 - 要么瞄准还是利用出站通信信道的优势。
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:niceseo99@gmail.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。
评论