Topic Overview
拒绝服务(DoS)攻击的目的是通过向目标发送大量人工流量来阻塞网络或资源, 哪些限制用户访问被攻击的服务.
DoS (Denial-of-service)攻击的目的是破坏或阻止合法用户访问网站, applications, 或者其他资源. 这些攻击被犯罪组织用来勒索钱财,被激进组织用来发表声明,以及国家行为体惩罚他们的对手.
The impact and costs associated with DoS attacks can be wide-ranging; sending a text bomb 触发目标智能手机的意外重启可能会被认为是一个小小的不便, 而阻止在线业务为其客户提供服务的大规模攻击可能会花费数百万美元. 随着今天网络系统的超连接,DoS攻击,像其他 常见的安全攻击,对世界各地的许多企业、组织和政府构成了威胁.
Over the years, 拒绝服务攻击已经演变为包含许多攻击向量和机制.
最初,DoS攻击涉及一个系统攻击另一个系统. 而DoS攻击可以以类似的方式进行, 当今大多数DoS攻击涉及攻击者控制的许多系统(甚至数十万个), 同时攻击目标.
这种攻击系统的协调被称为“分布式拒绝服务”(DDoS),并且通常是执行下面列出的其他攻击类型时所选择的机制. 甚至还有“压力源”(a).k.a. “橄榄球员”)服务, 表面上是受雇来测试自己的系统, 很容易被用来攻击毫无戒心的目标.
被称为“带宽消耗攻击”,攻击者将尝试用尽所有可用的网络带宽(“泛滥”),这样合法的流量就不能再从目标系统传入/传出. Additionally, 攻击者可能会使用“分布式反射拒绝服务”(DRDoS)来欺骗他人, 不知情的系统通过向目标发送大量网络流量来协助攻击.
在这次攻击中, 合法用户和系统被拒绝访问他们通常有权访问的受攻击网络上的其他系统. 这种攻击的变种, 结果相似, 包括通过攻击网络基础设施设备(如网络设备)来改变(或关闭)网络本身.g. 交换机、路由器、无线接入点等.),这样它们就不再允许网络流量像往常一样从目标系统流入/流出, 导致类似的拒绝服务结果,而不需要洪水.
这些攻击的重点是破坏目标系统的可用性. 资源耗尽是一种常见的攻击向量,其中有限的系统资源(例如.g. memory, CPU, 磁盘空间)被攻击者故意“用完”,以削弱目标的正常操作. For example, SYN flooding 系统攻击是否会耗尽目标上所有可用的传入网络连接, 阻止合法用户和系统建立新的网络连接. 针对系统的攻击的结果可以是轻微的中断或减速,也可以是彻底的系统崩溃. 虽然不常见, 永久性拒绝服务(PDoS)攻击甚至可以将目标破坏到必须对其进行物理修复或更换的程度.
以应用程序为目标是DoS攻击的常用载体. 其中一些攻击使用现有的, 应用程序创建拒绝服务情况的通常行为. 这方面的例子包括 锁定用户的帐户 或者请求对应用程序的组成部分(如中央数据库)造成压力,导致其他用户无法按预期访问或使用该应用程序. 其他针对应用程序的攻击依赖于 应用程序中的漏洞, 例如触发导致应用程序崩溃的错误条件, 或者利用直接访问系统的漏洞来进一步加强DoS攻击.
以下建议可能有助于减少 attack surface 并缓和DoS攻击的潜在破坏;
审查应用程序架构和实现不要允许用户操作耗尽系统资源, 不要允许用户操作过度使用应用程序组件, 一定要在互联网上寻找有最佳实践建议的资源.
监控和警报:
许多提供商(包括云和数据中心)已经提供了可以提供的监控解决方案. 咨询您的供应商,并考虑他们的监控+警报解决方案是否适合您的需求.
是否有适当的缓解计划(和能力)不同的攻击类型需要不同的能力和策略来缓解. 拒绝服务攻击是一个非常严重的问题,许多提供商现在都提供了缓解机制和策略. 考虑一下你的供应商提供的那些是否适合你的需要.
拒绝服务攻击仍然是一个持续的威胁, 它们的影响可以通过深思熟虑的审查来减少, planning, and monitoring.