查看原文
其他

全球约三分之二的DDoS攻击瞄准通信运营商

小雪 看雪学院 2019-05-26

据网络安全公司 Nexusguard 2018年第三季度的 DDoS 威胁报告,该季度有66.5%的 DDoS 攻击指向通信服务提供商,攻击者通过使用非常小的垃圾流量,污染了数百个IP前缀的多种IP地址。


Nexusguard 技术官 Juniman Kasman 称,犯罪者比起大而明显的方式,更倾向于用更小型且分散的方式将垃圾流量注入,使得攻击绕过检测。而这可能使通信服务提供商错过正在进行的大规模 DDoS 攻击。


这些攻击经常使用开放的域名系统(DNS)解析器进行DNS 放大攻击(DNS Amplification)。攻击后,目标IP地址只接收少量响应,而这个过程几乎不留痕迹。


DNS放大攻击是一种拒绝服务攻击。攻击者利用僵尸网络中大量的被控主机,伪装成被攻击主机,在特定时间点,连续向多个允许递归查询的DNS服务器,发送大量DNS服务请求,迫使其提供应答服务。


该报告的一些数据显示,中国在全球攻击源方面占领先地位,占比在23%以上,有15%的攻击来源于美国。另外,报告显示针对通信服务提供商的新模式的原因,简单服务发现协议(SSDP,SimpleService Discovery Protocol)放大攻击比上个季度增加了639.8%。


简单服务发现协议(SSDP)是一种应用层协议,是构成通用即插即用(UPnP)技术的核心协议之一。简单服务发现协议提供了在局部网络里面发现设备的机制。控制点(也就是接受服务的客户端)可以通过使用简单服务发现协议,根据自己的需要查询在自己所在的局部网络里面提供特定服务的设备。设备(也就是提供服务的服务器端)也可以通过使用简单服务发现协议,向自己所在的局部网络里面的控制点宣告它的存在。


2018年2月28日,全球最大源代码托管平台GitHub遭遇了有史以来最严重的DDoS攻击,不到十分钟,GitHub就不得不向CDN服务商Akamai 请求协助。峰值流量达到了前所未有的1.35Tbps,这是一种利用Memcache作为DDoS放大器进行放大的超大规模DDoS攻击技术。这种利用Memcache的攻击实现了高达5万多倍的放大系数,是DDoS历史上首次出现的超高倍数DDoS攻击事件。



在这之前的记录是针对2016年DNS提供商Dyn的攻击,其估计每秒1000千兆位的峰值爆炸,这次攻击前后有三波,它通过已感染Mirai恶意软件的物联网设备组成的僵尸网络进行攻击。许多公司都受到此次攻击的影响,比如Amazon、Paypal、Netflix、Twitter、Reddit和Github。该攻击导致Dyn无法响应由其域名服务器解析的域名的有效DNS查询,以至于终端用户无法访问相关域名。


DDoS攻击已成为目前全球最常见的网络犯罪形式之一。遭受DDOS攻击的网站会出现:网站无法访问、访问提示“server unavailable”、服务器CPU使用率100%、内存高占用率。攻击者经常会精心策划攻击时机,以便实现最大的经济危害。除此之外,DDoS攻击还会危害企业与客户之间的关系。

2016年,卡巴斯基实验室和B2BInternational曾做过一项研究,对超过5,000家企业进行调查,发现有37%的DDoS攻击会破坏企业的信誉,造成深远的客户信任危害。调查还发现,有超过一半的受调查企业由于遭受DDoS攻击,造成企业数据丢失(57%)或无法访问企业关键信息(56%),有42%的受影响企业表示这种攻击影响了他们开展业务的能力。

因此,无论是个人还是对企业,在这个DDoS愈发猖獗的时代,都应该掌握相关知识,主动积极做好防范策略,而不是被动等待保护。



建议


1备份网站或者临时主页

遭遇DDoS攻击后,如果导致生产服务器下线,这个时候你可以切换到备份网站,它不一定拥有全部的功能,只要能够帮助你显示一些重要的信息就够足,比如你需要通过它发公告说明自己目前的情况等。可以将这种临时主页放到带宽大的Github Pages 或者 Netlify,可应对攻击,还支持绑定域名,能从源码自动构建。


2HTTP 请求的拦截

HTTP 请求的特征一般有两种:IP 地址和 UserAgent 字段。比如,恶意请求都是从某个 IP 段发出的,那么把这个 IP 段封掉就行了。或者,它们的 User Agent 字段有特征(包含某个特定的词语),那就把带有这个词语的请求拦截。

3带宽扩充

真正的 DDOS 攻击是没有特征的,它的请求看上去跟正常请求一样,而且来自不同的 IP 地址,所以没法拦截。这就是为什么 DDOS 特别难防的原因。对于网站来说,就是在短时间内急剧扩容,提供几倍或几十倍的带宽,顶住大流量的请求。这就是为什么云服务商可以提供防护产品,因为他们有大量冗余带宽,可以用来消化 DDOS 攻击。

4CDN

CDN 指的是网站的静态内容分发到多个服务器,用户就近访问,提高速度。因此,CDN 也是带宽扩容的一种方法,可以用来防御 DDOS 攻击。

网站内容存放在源服务器,CDN 上面是内容的缓存。用户只允许访问 CDN,如果内容不在 CDN 上,CDN再向源服务器发出请求。这样的话,只要 CDN 够大,就可以抵御很大的攻击。不过,这种方法有一个前提,网站的大部分内容必须可以静态缓存。对于动态内容为主的网站(比如论坛),就要想别的办法,尽量减少用户对动态数据的请求。一旦上了 CDN,千万不要泄露源服务器的 IP 地址,否则攻击者可以绕过 CDN 直接攻击源服务器,前面的努力都白费。

下载报告:

Threat Report

Distributed Denial of Service (DDoS)  

-Q3 2018

链接:

https://bbs.pediy.com/thread-249109.htm


参考来源:

  • 开源中国

  • ruanyifeng.com

  • kaspersky


- End -


(点击图片即可进入)



往期热门资讯:        





公众号ID:ikanxue

官方微博:看雪安全

商务合作:wsc@kanxue.com


点击下载原文提及的PDF
Modified on

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存