多管齐下,防御拒绝服务攻击
勒索软件和资料外泄可能是最受关注的,但是拒绝服务(Denial-of-service, DoS)攻击的案例正在增加。那么我们可以做什么来减少它们带来的影响呢?
听过一句古话叫做“重焕生机”吗?好吧,拒绝服务攻击正好印证了这句话。事实上,拒绝服务攻击(或者称之为DoS)的使用数量正在增加。阿卡迈科技最近的一份报告显示,在2016年的第一个季度DoS攻击数量与2015年同比增长了125%。与此同时,一份来自Verizon的最新报告显示,受DoS影响的行业包含了国有企业、零售业、金融服务业和学校——所有这些行业都需要抵御拒绝服务攻击的措施。
尽管DoS攻击没有像勒索软件、Point-of-Sale(POS)攻击或者零售数据泄露那么引人注目,但是它能影响的用户数也是很多的。让这些攻击一直这么流行的原因是他们很容易被触发,并且很难完全地防护它们。DoS攻击只是针对应用可用性,攻击者可以很简单地将服务中断。
使用新的方式进行DoS攻击
学生们也发现了DoS攻击的威力了,一些学生黑客使用这项技术来简单地逃避将要进行的考试。他们使用DoS攻击应用服务器几个小时,就不再需要担心考试不通过了。这种方法如此简单的原因是DoS产品很简单而且便宜,并且可以在网上买到,你甚至不需要到“暗网”上去买。只要简单地搜索一下这个术语,网站就会返回很多DoS的服务。很多这些booter网站支持通过信用卡,Paypal,Western Union和比特币进行付款。
显而易见,这样的门槛是很低的,因此任何人都可以发起一个DoS来攻击你的公司。因此,在攻击发生之前部署拒绝服务防卫计划是非常重要的。这个计划会在被攻击之前解决谁来进行响应、响应的内容是什么以及会执行哪些防护措施会等问题。要减少任何潜在的损害,你需要尽早定位和检测到要受到的攻击。
流量的隔离
识别和检测技术是基于的是检测和区别合法流量及非法流量的能力。行为分析是最常见的一种技术,行为分析通过记录平均包速率来将有差异的包进行标记。这种方法会在有问题发生的时候提醒你。变点检测是另一个有用的技术,这项技术使用统计数据和对累积和的估算来定位和识别真实和网络流量以及预期的网络流量。
增大带宽和部署负载均衡器是两个很重要的步骤。事实是,你应该总是拥有比你想象需要更多的带宽才对。这不只是针对于DoS来说,其他合理的事件也会导致流量的突发。拥有额外的带宽可以帮助吸收攻击,以及可以为防御响应争取更多的时间。同步服务器可以提供额外的自动防故障保护。这种拒绝服务防御策略的想法是将流量负载到多服务器架构的不同服务器上,以此来进一步减轻攻击带来的伤害。
减缓请求来保护你的网络
限流是另一个有用的技术。限流减缓每一个用户的请求数量,还可能可以对短时间太多的尝试进行限制。你应该考虑阻拦一些无效的地址。你可能有时候会听说这种称之为bogon and martian packet filtering的做法。这些简单来说就是一些无效的地址,比如说无用的地址、loopback地址和网络地址转换(NAT)地址。
不要忘了回顾一下RFC 2827和3704的标准。RFC 2827不会对DoS攻击进行保护,但是它能阻止攻击者在你的网络使用伪造的源地址,而这些源地址是不会被防火墙规则所过滤的。你需要部署拒绝服务攻击的防御技术。RFC 3704也是通过拒绝伪造地址带来的流量限制DoS攻击带来的影响。RFC 3704也保证了流量是可以追踪到它的正确的源地址的。更谨慎点,你可以和你的因特网服务供应商(ISP)讨论一下他们提供的黑洞过滤和DoS防御服务。黑洞过滤是一种在路由层面将数据包丢弃的技术,可以动态实现它的功能,以快速抵御DoS攻击。
所有的拒绝服务攻击防御措施都可以限制DoS攻击带来的损害,但是这并不能阻止别人恶意地去攻击你的网络。要充分做好准备,你需要有一份应急响应计划、部署额外的带宽、黑洞虚假流量和考虑从ISP那购买DoS硬件和服务。最糟糕的情况是你什么都不准备,而是等待DoS攻击来临的时候采取想响应的方法。
作者:Michael Gregg
来源:51CTO
多管齐下,防御拒绝服务攻击相关推荐
- 【网络与系统安全实验】拒绝服务攻击及防御
[网络与系统安全实验]拒绝服务攻击及防御 拒绝服务攻击概述 拒绝服务攻击的概念 "拒绝服务"这个词来源于英文Denial of Service(简称DoS),它是一种简单的破坏性攻 ...
- 中新金盾DDOS软件防火墙——防御CC攻击的好帮手
针对当前的DOS/DDOS攻击现状,安徽中新软件自主研发的抗拒绝服务产品--金盾抗DDOS防火墙,具有很强的DOS/DDOS攻击的防护能力.并可在多种网络环境下轻松部署,保证网络的整体性能和可靠性. ...
- 浅谈几种区块链网络攻击以及防御方案之拒绝服务攻击
旧博文,搬到 csdn 原文:http://rebootcat.com/2020/04/14/network_attack_of_blockchain_ddos_attack/ 写在前面的话 自比特币 ...
- 高防服务器究竟能防御哪些攻击?
基于DDoS比较广泛,很多机房都会针对DDoS攻击进行,因此,很多企业会选择高防服务器来进行抵御恶意攻击. 高防服务器指机房通过主要的高防设备对恶意数据进行有效鉴别和清洗,具有防御网络攻击功能的服务器 ...
- 如何防御DDoS攻击
以前我家里用的是卡巴的防火墙,经常受到DDOS的攻击,每一次受到攻击之后,机子就不能上网,只有重启之后才可以上,十分郁闷.如果关掉卡巴的提示,就不会出现上不了网的情况.所以现在我的机子都不敢再用卡巴的 ...
- 分布式拒绝服务攻击(DDoS)原理及防范
转自:http://www.cnblogs.com/rootq/archive/2009/11/06/1597215.html http://www.ibm.com/developerworks/cn ...
- DRDoS(memcache漏洞导致的反射型分布式拒绝服务攻击)
一.DDoS基础 见博文:DDoS攻击与防御 二.Memcached 反射DDOS攻击原理 反射DDOS是发送大量带有被害者IP地址的请求给反射服务器,反射服务器对IP地址源做出大量回应,形成拒绝服务 ...
- Discuz! 防御CC攻击的设置办法
防御 CC 攻击 Discuz!5.5 在以往抗 CC 的基础上又加了两种方法,可以根据实际遭受攻击的情况,通过配置组合出适合的抵抗方法.限于篇幅,不详细阐述对抗原理,现将配置方法做下简要说明. 配置 ...
- DRDoS分布反射式拒绝服务攻击(什么是DRDoS)
什么是DRDoS DRDoS分布反射式拒绝服务攻击这是DDoS攻击的变形,它与DDoS的不同之处就是DrDoS不需要在攻击之前占领大量的"肉鸡".它的攻击原理和Smurf攻击原理相 ...
- 使用Discuz!自带参数防御CC攻击以及原理,修改Discuz X 开启防CC攻击后,不影响搜索引擎收录的方法...
这部份的工作,以前花的时间太少. 希望能产生一定的作用. http://www.nigesb.com/discuz-cc-attacker-defence.html http://bbs.zb7.co ...
最新文章
- 算法与面试之-如何准备算法面试
- FatFs最新版本获取方法
- 24v开关电源维修技巧_焊机维修案例汇总6
- ListView自适应实现表格
- 随想录(学习wrk的代码)
- HTTP的概念以及请求消息的数据格式
- python 实现 熵值法 确定指标权重
- Oracle错误处理机制
- html怎么设置p元素居中,CSS 如何使p层水平居中
- 【汇正财经】怎样利用价值投资买牛票?
- cve查询网址(漏洞查询地址)
- 计算机网络第一章知识总结
- 天天生鲜项目——用户订单页
- (初学者)使用DOSBox编写汇编程序
- i54590核显相当于什么显卡
- 原创:谈谈计算机图像识别技术之身份证号码识别
- 手机网站支付宝接入iframe无法唤醒支付宝app
- web应用越权问题的三个解决思路
- 兔子是如何吃掉狼和野猪
- redis win10开机自启
热门文章
- 【收藏】十大Webserver漏洞扫描工具
- JavaScript学习02 基础语法
- 在windows下把txt文件改为utf8格式
- Dennis Ritchie, father of Unix and C, dies
- nginx负载均衡fair模块安装和配置
- servlet跳转问题
- error: Unable to find vcvarsall.bat
- JavaScript里的数组转化新方法Array.From
- ArrayList与Vector的区别
- [译]应用内搜索功能实现 Android TV应用程序手册教程十三