行为分析:如何在 DDoS 攻击下保护用户体验
想象以下场景。在 Covid-19 爆发后,当地政府网站成为向其公民传达政府信息的可靠中心枢纽。这些信息可能与在锁定期间预约接种疫苗的说明不同。一天晚上,在九点钟的新闻中,新闻主播称数千种疫苗刚刚上市。所有公民都应访问当地政府网站以获取更多信息。与此同时,一群 hacktivist DDoS 攻击者抗议政府处理这场健康危机的方式,他们决定对将关闭网站的服务器发起攻击。
下一代网络攻击者
当今的网络攻击者在不断寻求新方法来发起分布式拒绝服务 (DDoS) 攻击以危及服务可用性、破坏网络、服务器和网站的过程中变得越来越老练。虽然他们的动机各不相同,但他们的针对性是一致的。
速率限制不是最好的方法
在这样的对手面前,领先一步的需求每天都在增长。最近 DDoS 攻击的规模和多样性已经达到了任何人都无法想象的水平。
话虽如此,令人惊讶的是,大多数 DDoS 攻击缓解解决方案主要使用速率限制技术。也就是说,所有超过一定流量阈值的流量都会被拦截,不区分是否恶意,导致部分合法用户无法获得服务。通过这样做,许多组织在受到 DDoS 攻击时牺牲了用户体验和生产力。
合法用户不应在网络攻击期间受到影响
合法用户看不到(也不关心)整个画面。他们没有被告知服务器受到严重攻击,目前无法向他提供服务。他们只看到一件事——他们需要一项服务并且被拒绝访问它。
今天,组织不再接受导致阻止真实用户的误报。就像平时他们不接受一样,他们也不应该受到攻击。即使是少量,它们也不应该接受到达服务器的恶意流量。
即使在重大攻击期间,也需要更复杂的技术来确保客户体验。
行为分析是新标准
随着越来越多的供应商明白这正在成为 DDoS 缓解的新标准,行为方法开始扩展。致力于保护其资产并确保为用户提供持续的服务可用性的组织不会满足于更少。
让我们回到我们的政府网站场景。现在是九点钟,无数市民试图访问该网站,但大规模的 DDoS 攻击已将其关闭。
一种先进而复杂的行为 DDoS 缓解工具可以阻止黑客试图在网站上发起的攻击,并允许公民继续访问。阻止可疑 IP 地址或特定恶意来源并不是行为分析的唯一作用。它还分析每个请求背后的动机,而不仅仅依赖于特定时间的流量。该站点可能受到大规模攻击;然而,与此同时,一群想要接种疫苗的市民需要访问该网站。两者之间的区别在于基于行为的 DDoS 缓解的整个概念。
企业的目标是通过确保可用性来确保用户体验。我们不应该让对大规模 DDoS 攻击的恐惧成为选择阻止合法用户并影响他们体验的方法的催化剂,而是推动解决方案变得更加智能。
【分享一个简单快速解决阿里云ECS服务器被DDOS攻击问题!】
今天一位朋友的阿里云服务器被攻击了,网站完全打不开,阿里云也自动启动了清洗流量,阿里云默认5GB防御是不够用的,基本上一打就死。
服务器也登录不上,怎么办?
这时候只需要换一个IP即可,阿里云的ECS是可以绑定/解绑弹性IP的,这时候更换一个弹性IP,但是域名不能马上解析到这个新IP,否则一样挨打,阿里云的高级安全防御都很贵,动不动就是上万一个月的费用,其实用阿里云全站加速也可以解决,虽然阿里云全站加速没有多大的防御功能,但是很多DDOS攻击是对准IP攻击的,而阿里云全站加速是有N个节点多个IP,一般攻击者都会认为这是开启了防御,打也是白打,这时候就会放弃了。
这时候去开启阿里云全站加速,把源站IP指向到新开通的弹性IP,这样就可以正常访问了,此方法我成功使用多次,帮助过多位网友解决阿里云ECS攻击问题。
阿里云全站加速也就是动态CDN,按使用量收费,这样可以省掉很多防御的钱。
在2022年,微软帮助客户抵御了超过52万次的大规模DDOS攻击行为,平均每天 1,435 次,但在假期季节遭遇了更多的攻击行为。在2022年遭遇的最大 DDOS 攻击流量为 3.25 Tbps。
DDoS攻击是一种恶意网络攻击,攻击者通过控制两台或以上的电脑、网站或服务器,植入恶意软件,受感染的装置组成一个殭尸网络,并且按照攻击者指示,向攻击目标发送大量互联网流量请求,瘫痪对方服务器,使其他用户无法访问。
对于常见攻击目标,包括串流平台、通信服务、购物网站以及在线游戏等等,例如在线游戏Minecraft的最大服务器Wynncraft遭受到前所未有的大规模DDoS攻击,据外媒消息指出,持续约两分钟的DDoS攻击以2.5 Tbps的惊人传输量,试图瘫痪游戏服务器、使全球几十万名玩家无法登入服务器。
如何检测服务器或电脑受到DDoS攻击,可通过以下7点的迹象来判断是否正遭到DDoS攻击:
1. 打开文件或浏览网站时,连接速度异常缓慢。
2. 网站无法访问及使用。
3. 来自单个IP地址出现不寻常流量。
4. 应用程序的效能低。
5. 处理器与内存的工作量突然急升
6. 特定页面或端点的请求不寻常激增。
7. 在特殊时间出现不寻常的高峰流量。
常见的DDoS攻击类型包括以下几种︰
应用层攻击
DDoS攻击的最常见形式就是应用层攻击,会生成大量HTTP请求,这些请求会快速耗尽目标服务器的响应能力。
协议攻击
协议攻击利用管理互联网通信的协议或程序中的弱点,它们可以出现在网络)层或传输层,攻击者发送包含虚假IP地址的TCP请求,当目标响应,然后等待假IP地址确认握手,不完整的握手最终会累积起来使目标服务器不堪负荷而无法访问。
容量攻击
容量消耗攻击试图占用目标的所有可用带宽,这些攻击通过向目标服务器发送大量流量来造成过度拥塞。
当公司发现遭到DDoS攻击,除了可以限制服务器在特定时间内接受的请求数量之外,还能通过调整防火墙来管理和过滤来自外部可疑的联机请求,但是比较难抵御复杂的DDoS攻击。
那么如何防止DDoS攻击,其实各家云端服务供货商﹐比如微软Azure、Google Cloud及AWS,都有推出DDoS保护的技术服务,在遭受攻击期间,有关公司能提供技术专家或顾问,协助客户建立DDoS快速响应团队,快速识别、缓解和监控攻击。尽管再严密的防护也无法完全避免公司成为攻击目标,但如果在每次攻击后,重新检视防护策略,把从中学到的经验优化网络安全措施,能为下次攻击的损失风险减少最低。
10常见网站安全攻击手段及防御方法
1. 跨站脚本(XSS)
Precise Security近期的一项研究表明,跨站脚本攻击大约占据了所有攻击的40%,是最为常见的一类网络攻击。但尽管最为常见,大部分跨站脚本攻击却不是特别高端,多为业余网络罪犯使用别人编写的脚本发起的。
跨站脚本针对的是网站的用户,而不是Web应用本身。恶意黑客在有漏洞的网站里注入一段代码,然后网站访客执行这段代码。此类代码可以入侵用户账户,激活木马程序,或者修改网站内容,诱骗用户给出私人信息。
设置Web应用防火墙(WAF)可以保护网站不受跨站脚本攻击危害。WAF就像个过滤器,能够识别并阻止对网站的恶意请求。购买网站托管服务的时候,Web托管公司通常已经为你的网站部署了WAF,但你自己仍然可以再设一个。
2. 注入攻击
开放Web应用安全项目(OWASP)新出炉的十大应用安全风险研究中,注入漏洞被列为网站最高风险因素。SQL注入方法是网络罪犯最常用的注入手法。
注入攻击方法直接针对网站和服务器的数据库。执行时,攻击者注入一段能够揭示隐藏数据和用户输入的代码,获得数据修改权限,全面俘获应用。
保护网站不受注入攻击危害,主要落实到代码库构建上。比如说,缓解SQL注入风险的首选方法就是始终尽量采用参数化语句。更进一步,可以考虑使用第三方身份验证工作流来外包你的数据库防护。
3. 模糊测试
开发人员使用模糊测试来查找软件、操作系统或网络中的编程错误和安全漏洞。然而,攻击者可以使用同样的技术来寻找你网站或服务器上的漏洞。
对抗模糊攻击的最佳方法就是保持更新安全设置和其他应用,尤其是在安全补丁发布后不更新就会遭遇恶意黑客利用漏洞的情况下。
4. 零日攻击
零日攻击是模糊攻击的扩展,但不要求识别漏洞本身。此类攻击最近的案例是谷歌发现的,他们在Windows和Chrome软件中发现了潜在的零日攻击。
保护自己和自身网站不受零日攻击影响最简便的方法,就是在新版本发布后及时更新你的软件。
5. 路径(目录)遍历
路径遍历攻击不像上述几种攻击方法那么常见,但仍然是任何Web应用的一大威胁。
网站能否抵御路径遍历攻击取决于你的输入净化程度。这意味着保证用户输入安全,并且不能从你的服务器恢复出用户输入内容。最直观的建议就是打造你的代码库,这样用户的任何信息都不会传输到文件系统API。即使这条路走不通,也有其他技术解决方案可用。
6. 分布式拒绝服务(DDoS)
DDoS攻击本身不能使恶意黑客突破安全措施,但会令网站暂时或永久掉线。卡巴斯基实验室《2017年IT安全风险调查》指出,单次DDoS攻击可令小企业平均损失12.3万美元,大型企业的损失水平在230万美元左右。
保护网站免遭DDoS攻击侵害一般要从几个方面着手。首先,需通过内容分发网络(CDN)、负载均衡器和可扩展资源缓解高峰流量。其次,需部署Web应用防火墙(WAF),防止DDoS攻击隐蔽注入攻击或跨站脚本等其他网络攻击方法。
7. 中间人攻击
中间人攻击常见于用户与服务器间传输数据不加密的网站。作为用户,只要看看网站的URL是不是以HTTPS开头就能发现这一潜在风险了,因为HTTPS中的“S”指的就是数据是加密的,缺了“S”就是未加密。
在网站上安装安全套接字层(SSL)就能缓解中间人攻击风险。SSL证书加密各方间传输的信息,攻击者即使拦截到了也无法轻易破解。现代托管提供商通常已经在托管服务包中配置了SSL证书。
8. 暴力破解攻击
暴力破解攻击是获取Web应用登录信息相当直接的一种方式。但同时也是非常容易缓解的攻击方式之
一,尤其是从用户侧加以缓解最为方便。
保护登录信息的最佳办法,是创建强密码,或者使用双因子身份验证(2FA)。作为网站拥有者,你可以要求用户同时设置强密码和2FA,以便缓解网络罪犯猜出密码的风险。
9. 使用未知代码或第三方代码
尽管不是对网站的直接攻击,使用由第三方创建的未经验证代码,也可能导致严重的安全漏洞。
想要避免围绕潜在数据泄露的风险,请让你的开发人员分析并审计代码的有效性。此外,确保所用插件(尤其是WordPress插件)及时更新,并定期接收安全补丁:研究显示,超过1.7万个WordPress插件(约占研究当时采样数量的47%)两年内没有更新。
10. 网络钓鱼
网络钓鱼是另一种没有直接针对网站的攻击方法,但我们不能将它排除在名单之外,因为网络钓鱼也会破坏你系统的完整性。根据FBI《互联网犯罪报告》的说法,其原因在于网络钓鱼是最常见的社会工程网络犯罪。
缓解网络钓鱼骗局风险最有效的办法,是培训员工和自身,增强对此类欺诈的辨识能力。保持警惕,总是检查发送者电子邮件地址是否合法,邮件内容是否古怪,请求是否不合常理。另外,谨记:天上不会掉馅饼,事出反常必有妖。
转自:数世咨询
如何自定义第 3/4 层 DDoS 保护设置
在今年早些时候最初为我们的客户提供对 HTTP 层 DDoS 保护设置的控制之后,我们现在很高兴将客户的控制扩展到数据包层。使用这些新控件,使用Magic Transit和Spectrum服务的Cloudflare Enterprise 客户现在可以直接从 Cloudflare 仪表板或通过 Cloudflare API 调整和调整他们的 L3/4 DDoS 保护设置。
新功能让客户可以控制两个主要的 DDoS 规则集:
1. 网络层 DDoS 保护 规则集— 此规则集包括检测和缓解OSI 模型第 3/4 层 DDoS 攻击的规则,例如 UDP 泛洪、SYN-ACK 反射攻击、SYN 泛洪和 DNS 泛洪。此规则集适用于企业计划中的 Spectrum 和 Magic Transit 客户。
2. 高级 TCP 保护 规则集— 此规则集包括用于检测和缓解复杂的状态外 TCP 攻击的规则,例如欺骗性 ACK 泛滥、随机 SYN 泛滥和分布式 SYN-ACK 反射攻击。此规则集仅适用于 Magic Transit 客户。
要了解更多信息,请查看我们的DDoS 托管规则集开发人员文档。我们整理了一些指南,希望对您有所帮助:
1. Cloudflare DDoS 保护入门和入门
2. 处理漏报
3. 处理误报
4. 使用 VPN、VoIP 和其他第三方服务的最佳实践
5. 如何模拟 DDoS 攻击
Cloudflare 的 DDoS 保护
一个服务(DDoS)攻击分布式拒绝是一种网络攻击,其目的是扰乱受害人的互联网服务。DDoS 攻击的类型很多,攻击者可以在 的不同层级产生这些攻击。一个例子是HTTP 洪水。它旨在破坏 HTTP 应用程序服务器,例如那些为移动应用程序和网站提供动力的服务器。另一个例子是UDP 洪水。虽然这种类型的攻击可用于破坏 HTTP 服务器,但也可用于破坏非 HTTP 应用程序。其中包括基于 TCP 和 UDP 的应用程序、网络服务(如VoIP 服务)、游戏服务器、加密货币等。
为了保护组织免受 DDoS 攻击,我们构建并运行了自主运行的软件定义系统。它们会自动检测和缓解我们整个网络中的 DDoS 攻击。您可以在我们深入探讨的技术博客文章中阅读有关我们的自主 DDoS 保护系统及其工作原理的更多信息。
不计量和无限制的 DDoS 保护
我们提供的保护级别不受限制且不受限制——不受攻击规模、攻击次数或攻击持续时间的限制。这在最近尤为重要,因为正如我们最近所见,攻击越来越大、越来越频繁。因此,在第三季度,网络层攻击比上一季度增加了 44%。此外,就在最近,我们的系统自动检测并缓解了一次DDoS 攻击,该攻击的峰值略低于
2 Tbps——这是迄今为止我们所见过的最大的一次。
Mirai 僵尸网络发起了近
2 Tbps 的 DDoS 攻击
阅读有关近期 DDoS 趋势的更多信息。
托管规则集
您可以将我们的自主 DDoS 保护系统视为智能规则组(规则集)。有HTTP DDoS保护规则、网络层DDoS保护规则和高级TCP保护规则的规则集。在这篇博文中,我们将介绍后两个规则集。我们已经在博客文章如何自定义您的 HTTP DDoS 保护设置 中介绍了前者。
在网络层 DDoS 保护规则集中,每条规则都有一组独特的条件指纹、动态字段屏蔽、激活阈值和缓解措施。这些规则由 Cloudflare 管理,这意味着每条规则的细节都由我们的 DDoS 专家在内部策划。在部署新规则之前,它首先经过严格测试和优化,以确保我们整个全球网络的缓解准确性和效率。
在高级 TCP 保护规则集中,我们使用一种新颖的 TCP 状态分类引擎来识别 TCP 流的状态。支持此规则集的引擎是flowtrackd — 您可以在我们的公告博客文章中阅读更多相关信息。该系统的独特功能之一是它能够仅使用入口(入站)数据包流进行操作。系统只看到入口流量,并且能够根据其合法性丢弃、质询或允许数据包。例如,大量与打开的 TCP 连接不对应的 ACK 数据包将被丢弃。
如何检测和缓解攻击
采样
最初,流量通过BGP 任播通过 路由到最近的 Cloudflare 边缘数据中心。一旦流量到达我们的数据中心,我们的 DDoS 系统就会对其进行异步采样,从而允许对流量进行路径外分析,而不会引入延迟惩罚。高级 TCP 保护规则集需要查看整个数据包流,因此它仅供 Magic Transit 客户使用。它也不会引入任何延迟惩罚。
DDoS攻击方法分析
由于多种原因,DDoS 是一种流行的攻击方法。首先,这并不困难——或者至少困难的部分通常是由其他人完成的。它本身不是“黑客”——它不需要高超的技术技能。它通常通过僵尸网络进行。这可能是为攻击而雇佣的犯罪僵尸网络;或者它可能是一群志同道合的人(如 Anonymous 所使用的)作为自愿僵尸网络运行。在所有情况下,目的都是消耗目标的资源,无论是到达目标的带宽还是目标的 CPU 资源。一旦消耗了这些资源,合法用户就无法使用目标,并实现拒绝服务。
Imperva 的拒绝服务攻击:趋势、技术和技术综合指南提供了对可用和使用的不同技术和工具的详细分析,并通过各种最近的案例研究对其进行了说明。特别是,它分析了三种主要且免费提供的 DDoS 工具:Mobile LOIC、SlowHTTP(包括 Slowloris)和 railgun。
然后,该报告继续讨论识别 DDoS 流量的方法,以便缓解这种情况。“DDoS 可以使企业资源陷入瘫痪,就像高速公路上的交通一样,但组织可以通过学习如何识别和防范恶意流量来减轻这些影响,”Imperva 的高级网络研究人员之
一 Tal Be'ery 解释说。
然而,故事中最有趣的部分之一是在“DDoS 的经济”部分。报告称:“恶意攻击者可以通过多种方式将关闭网站获利,例如通过敲诈勒索(&39;)。同样,”它继续说,“DoS 攻击也已经工业化,可以从专业人士那里购买作为服务。” 它甚至在互联网上公开和秘密地做广告——在 YouTube 上可以找到一个特定的广告。
大多数人将 DDoS 与黑客行动主义和匿名者联系在一起——事实上,Imperva 讨论的案例研究都属于这一类。一般来说,公众都知道这些攻击,因为宣传是主要动力,而匿名者总是声称拥有所有权。从分析中不清楚的是“商业”DDoS 攻击的程度,无论是犯罪分子为了敲诈勒索还是公司为了获得竞争优势而进行的攻击。在这两种情况下,避免公开都很重要。然而,这意味着 DDoS 不仅仅是出于政治动机,也不限于大公司。
这反过来意味着 DDoS 攻击检测部分成为所有公司(无论大小)的重要组成部分。
国家威胁:DDoS-over-TCP 技术如何放大攻击
研究人员详细介绍了增加网络攻击面的新方法
一种新型的分布式拒绝服务 ( DDoS ) 攻击可以允许民族国家行为者通过滥用中间件来审查互联网访问并针对任何网站。
马里兰大学和科罗拉多大学博尔德分校的一个团队使用人工智能算法揭示了该技术,他们说这是同类中第一个基于 TCP 的 DDoS 放大攻击。
过去,反射放大攻击主要限于基于用户数据报协议 (UDP) 的协议。
然而,该团队表示,利用网络中间件中普遍存在的 TCP 不合规性可能会导致它们做出响应并放大网络流量——可能会产生大量放大。
UMD 计算机科学助理教授Dave Levin 说: “过去一些最大、最具威胁的放大因素一直在 500 倍左右,最近一次放大攻击在 10,000 倍范围内。”
“我们发现了可提供 100,000 多次、一百万次甚至技术上无限放大的放大攻击。”
大多数民族国家审查基础设施目前都可以通过这种方式利用,还有许多现成的商业防火墙。
“长期以来,众所周知,一些民族国家会在网上审查本国公民。这篇论文——以及我们的另一篇同时发表的论文——表明,民族国家审查员对整个互联网构成了更大的威胁,”莱文说。
“攻击者可以使用审查基础设施——通常是部署在其边界的许多防火墙——对互联网上的任何人发起拒绝服务攻击。”
严密防守
该团队表示,防御这些攻击将很困难。由于中间件会欺骗它们生成的流量的 IP 地址,因此攻击者可以将反射流量的源 IP 地址设置为中间件后面的任何 IP 地址。
在民族国家审查基础设施的情况下,这可能是该国家/地区内的任何 IP 地址,使受害者难以在攻击期间丢弃来自违规 IP 地址的流量。
弱审查
去年
9 月,研究人员私下与一些国家计算机应急准备团队 (CERT)、DDoS 缓解服务和防火墙制造商分享了他们的发现。
然而,他们说,解决这个问题不仅意味着每个易受攻击的防火墙制造商更新其中间件,而且还需要各国削弱他们的审查基础设施——这是一种极不可能的情况。
该团队发布了一系列脚本和工具,供网络管理员通过GitHub存储库测试他们的中间件。