服务可用性是用户体验的一个重要组成部分。客户希望服务持续可用并且可以快速响应,任何宕机都可能导致用户失望、购物车被遗弃和客户流失。与此同时,DDoS攻击的复杂性、规模和持续时间都在增加。
Radware 2018年全球应用及网络安全报告发现,在过去一年,脉冲式攻击等复杂DDoS攻击增加了15%,HTTPS洪水增加了20%,64%以上的客户均遭受过应用层(L7) DDoS攻击。
某些攻击是双向的
由于DDoS攻击变得越来越复杂,企业需要更精细的防护措施来缓解这种攻击。然而,为了确保可以实现全面的保护,防护措施必须具备对多类攻击的入站和出站通道的可视性–尤其是更复杂的攻击。
这些攻击包括:
状态失效协议攻击:某些DDoS攻击可以利用协议通信过程中的漏洞,如TCP三次握手序列,创建“失效”的连接请求,拖慢连接请求,进而耗尽服务器资源。在这种类型的攻击中,有些攻击可以只检查入站通道就可以拦截,但其它攻击还需要对出站通道的可视性才可以拦截。
其中一个例子就是ACK洪水攻击,在攻击中,攻击者会不断地向受害主机发送伪造的TCP ACK数据包。随后,目标主机会尝试将ACK应答关联到现有的TCP连接,如果连接不存在,主机就会将数据包删除。然而,此过程会消耗服务器资源,大量的此类请求就会耗尽系统资源。为了准确识别并缓解这类攻击,防御措施必须具备对入站SYN和出站SYN/ACK应答的可视性,进而验证ACK数据包是否关联了合法的连接请求。
反射/放大式攻击:这类攻击利用了连接请求和某些协议或应用应答之间的不对称响应。同样,防御这类攻击中的某些攻击也需要对入站和出站流量通道的可视性。
此类攻击的一个例子就是大文件出站管道拥塞攻击。在此类攻击中,攻击者会识别目标网络中的大文件,并发送获取该文件的连接请求。连接请求本身的大小可能只有几个字节,但随后的响应却可能非常大。大量的此类请求就会堵塞出站管道。
另一个例子是memcached放大式攻击。此类攻击是最常用的利用反射来击垮第三方目标的攻击,也可以用来堵塞目标网络的出站通道。
扫描攻击:大规模的网络扫描尝试不仅是一个安全风险,而且常常具有DDoS攻击的特征,利用恶意流量淹没网络。此类扫描尝试会向主机端口发送大量连接请求,并查看哪些端口有响应(从而表明这些端口是开放的)。然而,这也会让已关闭端口生成大量的错误响应。缓解此类攻击需要对返回流量的可视性,从而识别与实际流量相关的错误响应率,防御正在发生的攻击。
服务器破解:服务器破解攻击类似于扫描攻击,会发送大量的请求来暴力破解系统密码。同样,这也会导致很高的错误应答率,识别这类攻击也需要对入站和出站通道的可视性。
状态化的应用层DDoS攻击:某些应用层(L7) DDoS攻击可以利用已知的协议漏洞或命令来创建大量的虚假请求,耗尽服务器资源。缓解此类攻击需要具有状态感知功能的双向可视性,以识别攻击类型,进而采用相关的攻击特征码来拦截攻击。低速慢速应用层(L7) SYN洪水攻击就是其中一个例子,该攻击可以拖慢HTTP和TCP连接,持续消耗服务器资源。
防护双向攻击需要双向的防御措施
由于在线服务的可用性变得越来越重要,为了击跨防御措施,黑客们也在不断寻找比以往任何时候都要复杂的攻击。许多攻击矢量或攻击或利用出站通信通道,通常是那些更复杂、更强大的攻击矢量。
因此,企业要充分保护自身安全,就必须部署可以实现双向流量检查的防护措施,识别并消除此类威胁。
“小鸟云”是深圳前海小鸟云计算有限公司旗下的云计算服务品牌,专注为个人开发者用户、中小型、大型企业用户提供一站式核心网络云端部署服务,促使用户云端部署化简为零,轻松快捷运用云计算。小鸟云是国内为数不多具有ISP/IDC双资质的专业云计算服务商,同时持有系统软件著作权证书、CNNIC地址分配联盟成员证书,通过了ISO27001信息安全管理体系国际认证、ISO9001质量保证体系国际认证。
作为卓越的云计算服务商,小鸟云有着完善的行业解决方案和精湛的云计算技术。自主研发的纯SSD架构云服务器,以50,000IOPS随机读写速度、800Mb/s吞吐量的高性能数值刷新行业记录。其整合资源、细化资源到落地资源的服务举措,旨在打造差异化的开放式闭环生态系统,帮助用户快速构建稳定、安全的云计算环境。且云计算强大的计算能力和弹性扩展优势有效降低用户开发运维难度和整体IT成本,让用户能更专注于核心业务的创新,实现自身更多价值。
