词汇表: 网络安全术语和定义

什么是 DDoS 缓解?

分布式拒绝服务 (DDoS) 攻击会威胁应用的可用性,因此拥有 DDoS 缓解解决方案至关重要。

分布式拒绝服务 (DDoS) 攻击是一种针对特定应用s或网站的网络攻击,目的是耗尽目标系统的资源,使合法用户无法访问或无法访问。 2023 年,应用层攻击增加了 165% ,技术行业成为所有垂直行业中受攻击最多的行业。 这就是为什么拥有全面的 DDoS 缓解解决方案对于维持正常运行时间和弹性至关重要。  

DDoS 攻击中的关键概念

在深入研究 DDoS 缓解方法和解决方案之前,深入了解当今的 DDoS 威胁非常重要。 分布式拒绝服务 (DDoS) 攻击通过向目标资源注入大量流量,使其超载到无法运行的程度,从而破坏基础设施。 DDoS 攻击还可能发送专门制作的消息,损害应用的性能。 DDoS 攻击可以针对网络基础设施(例如防火墙状态表)以及应用资源(例如服务器和 CPU)。 

DDoS 攻击可能会造成严重后果,损害在线服务的可用性和完整性并造成严重破坏,还可能造成财务损失和声誉损害。 这些攻击还可以用作一种分散注意力的方式,以便不法分子可以访问重要数据。 

DDoS 攻击是一种拒绝服务 (DoS) 攻击,其试图通过增加流量来破坏网络、服务器或网站的正常运行。 另一方面,DDoS 攻击使用多台设备向目标发送大量流量。 由于DDoS 攻击涉及多个系统对单个系统的攻击,因此它们代表着更大的威胁,并且更难以阻止。 

这些是七层开放系统互连 (OSI) 模型中常见的 DDoS 攻击类型:

  • 容量耗尽攻击的目的是利用巨大的流量压垮网络,使网络无法运行。 这些攻击通常使用僵尸网络执行,僵尸网络是由单个攻击者控制的受感染设备的网络。
  • 协议攻击针对 OSI 模型的网络层,并利用 TCP/IP、ICMP 和 UDP 等网络协议中的漏洞。 这些攻击旨在使防火墙、路由器和负载平衡器等网络设备的资源超载,从而导致服务中断。 这些也被称为“计算”攻击。
  • 应用层攻击针对 OSI 模型的应用层,利用 HTTP、HTTPS 和 DNS 等 Web应用s中的漏洞。 这些攻击旨在耗尽网络服务器的资源,从而导致服务中断。

DDoS 攻击中使用的常见攻击媒介:

  1. UDP洪水: 此攻击会用用户数据报协议 (UDP) 数据包淹没目标服务器,这可能导致服务器崩溃或无响应。 
  2. TCP SYN 洪水: 此攻击利用传输控制协议 (TCP) 使用的三次握手过程来建立两个设备之间的连接。 攻击者向目标服务器发送大量 SYN 数据包,导致其无响应。
  3. HTTP 洪水: 此攻击通过向目标服务器发送大量 HTTP 请求来瞄准 Web 服务器,这可能导致其无响应。
  4. DNS放大: 此攻击利用域名系统 (DNS) 向目标服务器发送大量 DNS 响应数据包,从而导致服务器无响应。 
  5. NTP扩增: 此攻击利用网络时间协议 (NTP) 向目标服务器发送大量 NTP 响应数据包,导致其无响应。 
  6. SSDP放大: 此攻击利用简单服务发现协议 (SSDP) 向目标服务器发送大量 SSDP 响应数据包,从而导致服务器无响应。 
  7. SYN-ACK 洪水: 此攻击利用 TCP 三次握手过程,向目标服务器发送大量 SYN-ACK 数据包,导致其无响应。 
  8. HTTP 慢读取: 此攻击向目标服务器发送 HTTP 请求,但读取响应的速度很慢,这可能导致服务器无响应。 
  9. 死亡 Ping: 此攻击会向目标服务器发送一个超大的 ping 数据包,这可能导致其崩溃或无响应。 
  10. Smurf 攻击: 此攻击利用互联网控制消息协议 (ICMP) 向目标服务器发送来自多个来源的 ping 请求,这可能导致其无响应。 
  11. 重载 URL: 在攻击计划的侦察阶段,攻击者会搜索网站计算成本最高的 URL,并将其用作 DDoS 攻击的一部分。 这些 URL 被称为“重型”URL,因为它们在请求时会给服务器带来更大的负载。  
  12. 低而慢: 这些 DDoS 攻击的目标是悄悄地、秘密地破坏应用资源 — 并且使用极少的带宽来实现。 因此,它们很难被检测到,并且由于它们发生在已经建立 TCP 连接的应用层,因此 HTTP 请求看起来是合法的。
DDoS 防护图表

因此, DDoS 攻击的威胁是巨大的,可能会使公司更容易受到网络攻击。 这意味着了解 DDoS 攻击如何发生至关重要,这样您才能采取措施来缓解攻击。

为什么在网络安全政策中实施 DDoS 缓解措施至关重要 可用性:

DDoS 攻击可能导致严重停机并破坏服务可用性,从而造成财务损失和声誉损害。

保护: 通过采用 DDoS 缓解措施,您的公司可以降低恶意流量到达其网络基础设施的风险,同时确保合法用户可以访问其网站和网络applications。 DDoS 攻击有时会被用作烟幕,以分散安全团队对可能导致数据泄露的协同攻击活动的注意力。 有些类型的攻击根本无法通过“编码”消除

弹力: 投资有效的 DDoS 缓解技术可增强组织抵御国家对手和其他恶意行为者的能力,从而降低其被攻击的吸引力。

节省成本: 快速缓解 DDoS 攻击可以为组织节省时间和金钱。

通过将 DDoS 缓解措施纳入网络安全政策,组织可以主动保护其资源、维持服务可用性并最大限度地减少潜在 DDoS 攻击的影响。

DDoS 缓解技术

现在我们了解了易受 DDoS 攻击的风险,包括业务关键数据和applications,以及部署 DDoS 缓解解决方案为何至关重要。 我们现在可以回顾DDoS 缓解的类型,以便您可以确定最适合您需求的解决方案。

本地 DDoS 缓解措施

组织可以实施多种类型的内部部署解决方案和措施来降低 DDoS 攻击的风险。 除了基于云计算的技术之外,还可以使用其中一些技术来构建更强大的整体防御态势。

  • 网络基础设施加强: 该解决方案涉及加强网络基础设施以抵御 DDoS 攻击。 其中包括增加带宽、添加冗余链路和升级网络设备。 
  • 速率限制和流量整形: 该解决方案涉及限制进入网络的流量量。 它可以通过在网络设备上设置速率限制或使用流量整形技术来对流量进行优先排序来实现。
  • 防火墙和入侵防御系统 (IPS): 该解决方案涉及使用防火墙IPS 设备来过滤恶意流量。 防火墙可以根据 IP 地址、端口和协议阻止流量,而 IPS 设备可以根据签名检测和阻止攻击。

基于云的 DDoS 缓解措施

将 DDoS 缓解工作转移到云端或混合解决方案有助于提高效率、可扩展性和功效。 一些基于云的解决方案可以与内部部署解决方案集成。 基于云的 DDoS 缓解解决方案在云交付网络或 CDN上运行。 

  • 任播路由将流量分发到可以处理流量的最近的数据中心。 它的工作原理是在网络的不同部分宣布同一个网络,以减少到达该网络的网络“旅行时间”。 当 CDN 网络使用任播路由时,它会更具战略性地分配流量,从而增加接收网络的表面积并有助于将大量流量重新路由到更多数据中心。
  • 流量清洗中心是专门从合法流量中过滤掉恶意流量的数据中心。 它们通过过滤攻击流量并将干净的流量转发到客户的服务器来减轻 DDoS 攻击。 当发生 DDoS 攻击时,流量会被路由到清洗中心,在那里进行分析和过滤。 然后将干净的流量转发到客户的服务器。

基于混合云的 DDoS 缓解

将 DDoS 缓解工作转移到混合解决方案可以带来公共云安全性和私有云或内部管理的最佳效果。 混合模型可以让企业根据其独特的数据需求进一步调整其安全态势。 

applicationDDoS 缓解

应用程序是现代商业的驱动力,但它们越来越多地成为 DDoS 攻击的目标。 传统的 DDoS 缓解措施是静态的和集中的。 但由于应用程序分布在各个云和架构中,它们需要可扩展且灵活的 DDoS 缓解解决方案来提供最大程度的保护。  

DDoS 缓解措施的组成部分

全面的 DDoS 缓解策略通常包括几个关键组成部分。 

流量分析与监控

缓解 DDoS 攻击的第一步是检测潜在问题或风险。 识别和警报威胁的两种主要方法是基于签名的检测和基于异常的检测。

基于签名的检测依赖于已知的危害指标 (IOC) 的预编程列表来识别威胁。 这些 IOC 可能包括恶意网络攻击行为、电子邮件主题行的内容、文件哈希、已知字节序列或恶意域等问题。 基于签名的检测对已知攻击的处理速度较快,误报率较低,但无法检测零日漏洞。

另一方面,基于异常的检测能够对未知的可疑行为发出警报。 基于异常的检测首先涉及使用标准化基线训练系统,然后将活动与该基线进行比较;一旦检测到异常情况,就会触发警报。 基于异常的检测可能会有更高的误报率。 

实时交通疏导

保护 DNS 资源对于业务至关重要。 两种实时交通改道解决方案可以提供帮助。 

  • DNS 重定向涉及将 DNS 查询从一个域名重定向到另一个域名。 当网站移至新域名或公司希望将流量从一个域名重定向到另一个域名时,这非常有用。 DNS 重定向 可以使用 DNS 区域文件中的 CNAME 记录来实现。 当收到对原始域名的 DNS 查询时,DNS 服务器会使用指向新域名的 CNAME 记录进行响应。 然后,客户端会针对新域名发送新的 DNS 查询。
  • BGP Anycast 涉及从互联网上的多个位置宣传相同的 IP 地址。 在 BGP Anycast 中,边界网关协议 (BGP) 用于从多个位置通告 IP 地址。 当客户端向 Anycast IP 地址发送 DNS 查询时,该查询将被路由到通告该 IP 地址的最近位置。 这可以通过减少延迟来帮助提高 DNS 服务的性能和可用性。 BGP Anycast通常由在不同地理区域拥有多个数据中心的大型组织使用。

攻击过滤和清理

当流量流向您的网络并穿过您的网络时,您需要一个 DDoS 缓解解决方案来持续监控其中是否存在恶意活动。

  • 恶意流量的识别方法是,在来自客户端的流量发送到应用层之前对其进行检查,从而确保恶意流量永远不会通过代理屏障。 从服务器返回的流量经过全面检查,然后才可以传回给客户端。 这有助于确保信用卡号或 PII 等敏感数据不会跨越代理屏障。
  • 清洗算法和技术用于查找并删除进入网络的恶意流量。 清洗中心是流量的第一站;在中心,根据流量特征和可能的攻击方法对流量进行分类。 当流量穿过清洗中心时,会继续检查流量,以确认恶意流量已被完全删除。 这种安全控制至关重要,因为 DDoS 攻击很容易破坏进入客户环境的入口管道。

选择提供商时要考虑的 DDoS 缓解因素

在考虑适合您组织需求的 DDoS 缓解解决方案时,您需要根据业务的增长轨迹和可能的风险面来权衡以下因素。 当您考虑使用云服务时,您现在可以选择多种公共云(AWS、Google Cloud、Microsoft Azure 和阿里云)以及私有云公司。

选择 DDoS 缓解提供商时要考虑的因素

 

缓解 DDoS 攻击的最佳实践

全面的 DDoS 缓解解决方案有助于预防性地覆盖您的网络,通过实时事件响应以及持续的测试和审查来确保最高性能。 

积极措施

网络架构设计: 精心设计的网络架构可以确保网络具有弹性并能承受大量流量,从而有助于防止 DDoS 攻击。 例如,采用多层安全设计的网络,包括防火墙、入侵检测系统和其他安全措施,可以帮助防止 DDoS 攻击渗透网络。 此外,网络分段可以通过隔离网络受影响的区域来帮助限制攻击的影响。 

负载平衡: 负载平衡可以通过在多台服务器之间分配流量来帮助防止 DDoS 攻击,从而有助于防止任何一台服务器不堪重负。 这有助于确保网络即使在遭受 DDoS 攻击期间仍然可用。 负载均衡器还可以帮助检测和阻止恶意流量,从而有助于防止 DDoS 攻击成功。 

详细的供应商 SLA: 在考虑第三方提供 DDoS 攻击防护时,了解供应商在每种 DDoS 场景中的能力并将协议、操作和响应纳入 SLA 至关重要。

事件响应

DDoS事件处理步骤: 快速有效地应对 DDoS 事件涉及六个关键步骤,但必须指出的是,这些步骤不是以线性方式进行,而是以循环方式进行。 

  1. 准备: 建立联系,定义程序并收集工具以在攻击期间节省时间。 
  2. 检测: 发现事件、确定其范围并让适当方参与。 
  3. 分析: 分析攻击流量,确定其特征并识别目标。 
  4. 遏制: 通过过滤流量和阻止恶意流量来遏制攻击。 
  5. 根除: 通过从网络中删除恶意流量来消除攻击。 
  6. 恢复: 通过恢复服务和审查事件来从攻击中恢复。 

DDoS 事件期间与缓解提供商的通信协议: 从一开始,公司及其缓解提供商遵循严格的沟通协议是关键。 以下是建议在事件发生期间进行沟通的最佳做法: 

  • 制定沟通计划: 在攻击发生之前与您的 DDoS 缓解提供商制定沟通计划。 该计划应包括关键人员的联系信息、升级程序和沟通渠道。
  • 提供详细信息: 向您的 DDoS 缓解提供商提供有关攻击的详细信息,包括攻击类型、目标和攻击持续时间。 这些信息可以帮助您的提供商制定有效的缓解策略。 
  • 与您的提供商合作: 与您的DDoS 缓解提供商密切合作,制定适合您组织需求的缓解策略。 这可能包括调整流量路由、过滤流量或阻止恶意流量。 
  • 监控情况: 密切监视情况并定期向您的 DDoS 缓解提供商提供更新。 这可以帮助您的提供商根据需要调整其缓解策略。 
  • 回顾事件经过: 攻击得到缓解后,请与您的 DDoS 缓解提供商一起审查事件,以确定需要改进的领域,并根据需要更新您的事件响应计划。 

定期测试和审查

IT 和安全团队应该定期进行分析和测试。 一种测试是红队测试,它涉及模拟现实世界攻击者的策略和技术。 在这种情况下,红队测试人员会尝试各种 DDoS 攻击来监控缓解解决方案的响应。  

随时了解网络攻击的趋势也至关重要,尤其是当来自世界各地的不法分子不断改变其攻击手段时。 缓解解决方案应该具有可扩展性并能适应任何新类型的干扰。 

DDoS 缓解案例研究

无论处于哪个垂直行业,无论规模大小,在世界任何地方运营的组织都可以从可靠的 DDoS 缓解解决方案中受益。 这些案例研究证明了 DDoS 缓解解决方案在任何情况下的有效性。 像您这样的公司已经从承担 DDoS 风险中看到了可衡量的成果。 

  • 案例研究: 了解一家领先的保险公司如何阻止DDoS 攻击,同时帮助保护其applications和用户。 
  • 视频: 了解 F5 如何帮助电子邮件提供商停止整合其网络设备以减少潜在攻击面并增强运营安全性。 

DDoS 缓解的未来趋势

尽管 DDoS 攻击已存在数十年,但实施此类攻击的不法分子却变得越来越老练,越来越具有攻击性。 了解网络安全 DDoS 领域的现状和未来趋势非常重要。 

从总体来看,F5 在 2023 年发现了以下趋势: 

  • application层攻击增加了 165% 
  • 与 2022 年相比,科技行业成为受攻击最多的行业 
  • 总体观察到的事件减少了 -9.7% 
  • 峰值带宽比 2020 年增长 216% 
  • 所有垂直行业都有望看到更多应用和多向量 DDoS 

此外,网络安全专家正在关注三个发展领域: 

人工智能和机器学习: 随着越来越多的公司在制造或客户服务等其他业务领域部署人工智能和机器学习,它们可以在检测和减轻 DDoS 攻击方面发挥作用。  最近的一项研究表明,使用人工智能方法检测 DDoS 攻击的准确率超过 96%。  

物联网(IoT) : 物联网正在不断发展,但保护所涉及的额外计算表面可能会使这些解决方案更容易受到攻击。 专家建议采用更强大的安全措施、密码保护以及使用防火墙或 VPS,以减少面临攻击风险的设备数量。  

区块链技术: 区块链技术为 DDoS 缓解提供了一个有趣的选择,因为区块链本质上是去中心化的并且具有安全的分布式存储。 这对于应对地理攻击尤其有帮助,因为安全也可以从地理位置上进行瞄准。 

虽然 DDoS 攻击不会消失,但现在和未来几年都会有更多的工具可以帮助减轻这些攻击。

F5 如何提供帮助

分布式拒绝服务 (DDoS) 攻击已经存在几十年了,并且并未消失。 这就是为什么公司需要为他们的 DDoS 缓解解决方案考虑未来。 在 F5,网络安全几乎是我们所做的一切的核心。 我们的 DDoS 缓解解决方案和一流的支持为您的组织提供了缓解可能遭受的 DDoS 攻击风险所需的优势。 确保您的 DDoS 缓解解决方案能够扩展并适应您公司的需求以及适应 DDoS 不良行为者的威胁也很重要。  

让 F5 以各种方式帮助您和您的网络抵御DDoS 攻击。 我们在根据您组织的需求实施正确类型的 DDoS 缓解措施方面拥有丰富的经验。