中科院之声|DDoS攻防“修炼”手册丨大东话安全( 二 )
小白:正面刚啊!
大东:广义上的CC攻击还包括HTTPS攻击、慢速攻击、连接耗尽、空连接攻击等 , 但它们有一个共同点 , 就是利用真实源发起攻击 , 攻击者利用真实源可跟随协议栈行为的特点 , 使得防御难度加大 。
小白:啊 , 那可怎么办?
大东:别担心 , 知名协议(如HTTP、DNS)还有一个好处 , 就是安全人员可以通过研究公开的RFC文档去了解协议的每一个细节 , 而DDoS攻击和防御的平衡点往往就在毫厘之间 。
小白:天下难事 , 必做于易;天下大事 , 必做于细 。
【中科院之声|DDoS攻防“修炼”手册丨大东话安全】 第三阶段 , 针对私有协议的DDoS真实源攻击
大东:对于DDoS防护设备 , 任何无法解码的流量都可以认为是私有协议流量 , 极难防御 。 针对知名协议 , 安全人员还可以通过查看分析RFC寻找蛛丝马迹 , 但当面对私有协议流量的时候 , 大家两眼一抹黑 , 除了限速不知道怎么办了 , 就出现了攻守不平衡的局面 。
小白:那该怎么应对呢?
大东:我们的安全人员发明了一系列算法 , 并针对攻击者的思路和手法灵活应对 。
小白:太棒了 , 这样可真是治标又治本呀!
第四阶段 , 超大反射攻击出现导致攻守资源不平衡
大东:2014年 , 一起峰值达到400Gbps的NTP反射攻击震惊全球网络 , 它使得原本小众的DDoS攻击进入平常人们的视野 , 超大反射攻击的出现 , 从根本上改变了 DDoS 对抗格局 。
小白:这事我也听说过 , 还有2016年9月19日 , OVH声称遭受了一起来自 145607个网络视频监控设备发起的峰值最高800Gbps的DDoS攻击 。 紧接着9月20日 , KrebsonSecurity遭受峰值达620Gbps的DDoS攻击 。
本文插图
(图片来源:2017绿盟科技DDoS威胁报告——反射攻击流量趋势图)
大东:是的 , 业内网络安全人员认为这几起攻击均来源于名叫Mirai的僵尸网络 。 据统计 , 当时全球感染Mirai的物联网设备数量累计超过200万 , 遍布全球90多个国家和地区 。 推算一下的话 , 光这一僵尸网络就具备发动峰值超过1.5Tbps 的攻击能力 。
小白:这也太可怕了 。
大东:是的 , 当攻击者可以较低的成本利用网上资源 , 将攻击规模提升到百G甚至上T的级别 , 这给物联网等设备带来安全问题甚至给全球的网络安全防护都带来巨大挑战 。
三、DDoS防御路径
小白:东哥 , 我刚才上网随便搜索DDoS攻击服务 , 就出现了一大片搜索结果 。
大东:是啊 , 现在DDoS黑产也越来越专业化 , 成立网站兜售DDoS攻击服务 , 有的可能有专业的团队做开发 , 随时更新用户的DDoS需求 , 从植入广告收益、商业竞争敲诈勒索(游戏、电商行业等) 。
小白:东哥 , 快教教我们该怎么防御DDoS攻击吧 。
大东:第一 , 要从我们日常的DDoS攻击防御方法开始说起 , 这种自主防御的方法对个人和企业来说成本最低 , 也是防御必不可少的环节 。 主要可通过定期扫描漏洞及时打上补丁;过滤不必要的服务和端口;检查访客来等方法进行防御 。
小白:那如果自主防御不能达到很好的效果呢?
大东:第二 , 可采用高防服务器来保证服务器系统的安全 。 此外 , 还可采用高防IP隐藏服务器的真实IP地址;或者采用高防CDN通过内容分离数据流量进行防御 。
小白:防御DDoS攻击的方法除了这四种还有其他的吗?
大东:还有最后一种就是配置Web应用程序防火墙 。
小白:感谢东哥倾囊相送 , 我要把这些知识分享给我的朋友们啦 。
参考资料:
1. 绿盟科技“黑洞”ADS:二十年风雨兼程 ,十八载筑梦前行
2. DDoS恶意软件发展史
推荐阅读
- 人工智能|中科院举办上海人工智能大会 影谱科技获“AI影像最具创新技术奖”
- 中科院之声|令人眼泪掉落——Teardrop攻击技术丨大东话安全
- 中年|美国面临天价赔偿,英特尔被曝侵犯中科院专利,不赔2个亿搞不定
- 美国|TikTok之声暂停 但字节仍将跳动
- 中年|中科院打破壁垒获重大突破,美国想拦也拦不住,美媒:优势全无
- |界读|FinFet工艺极其重要,中科院和Intel争夺相关技术顶峰
- Array|助力探测火星大气 中科院研制火星离子与中性粒子分析仪
- |中科院海洋所命名5个深海生物新物种
- Array,Array|英特尔侵权中科院专利案再续,英特尔输得起吗?
- 景小妹的哥哥|中科院离职员工称:我之前月薪9000,新机构给我开百万年薪