使用美国服务器搭建的网站如何应对DDoS攻击

已关闭留言

使用美国服务器搭建的网站如何应对DDoS攻击:

随着大数据的兴起,基于用户访问数据建立了完整的视觉防御体系,包括QPSIP-cookieIP-request分发、页面点击等行为数据结合信誉机制。结合威胁情报,建立运营商/ISP/DC/区域信息数据库、IP地址黑名单、代理数据库、暗网数据库等丰富的情报数据库,线上线下进行关联分析。一方面,美国服务器租用,防御时间提前,甚至攻击在发动前就能预知;另一方面,攻击者可以追根溯源,可以有效打击攻击者的嚣张气焰。

最大限度地破坏资源是DDoS攻击的根本意图。从这个角度看DDoS攻击的发展,可以梳理出清晰的脉络。有安全专家曾将DDoS攻击比作互联网“核武器”:一旦动员了足够数量的遍布互联网的“肉鸡”和存在各种协议漏洞的开放服务器,任何互联网业务都可能瘫痪。最大限度地破坏资源是DDoS攻击的根本意图。从这个角度看DDoS攻击的发展,可以梳理出清晰的脉络。

网站如何应对DDoS攻击以及DDoS攻击的发展趋势

DDoS攻击的发展趋势有三个明显的阶段:

第一阶段:个人电脑设置僵尸网络发起DDoS攻击;第二阶段:利用互联网开放服务器(DNSNTP)发起反射攻击;第三阶段:利用智能//物联网设备协议(SSDP)的漏洞发起反射攻击。

僵尸网络的DDoS。大多数传统的DDoS攻击是由僵尸主机(也称为肉鸡)组成的僵尸网络发起的。“肉鸡”是指被木马击中或被某些人留下的电脑。成为“肉鸡”的计算机可以被黑客远程控制。“肉鸡”的存在,大多是用户系统中的各种漏洞造成的。一旦系统被入侵,黑客就可以获得控制权。黑客在这些“肉鸡”主人不知情的情况下对预定目标发起攻击。典型的攻击之一是DDoS攻击。

在我们遇到的一些实际攻击中,从攻击流量分析,来源分散在全国各地,这类攻击很可能是由大量被操纵的“肉鸡”组成的僵尸网络发起的。可见,“肉鸡”对互联网,尤其是网站系统构成了极大的威胁。即使单只“肉鸡”的攻击能力有限,如果有大量肉鸡,聚合攻击流量也会惊人。

开放式服务器的反射放大。

虽然肉鸡的效果显著,但僵尸网络的建立和维护都需要很高的成本。随着黑客对更低成本和更大效果的不断追求,利用互联网开放服务器发起反射式拒绝服务攻击越来越流行。

反射拒绝服务攻击也称为DRDoS攻击(分布式反射拒绝服务),或分布式反射拒绝服务攻击。原理是黑客伪造攻击者的IP地址,向互联网上大量开放特定服务的服务器发送请求。接收请求的主机根据源IP地址向受害者返回响应数据包。在整个过程中,返回响应的服务器并不知道请求源的恶意动机。

网站如何应对DDoS攻击以及DDoS攻击的发展趋势

黑客往往会选择那些响应包远大于请求包的服务来使用,亚洲服务器,这样就可以用较小的流量换取较大的流量,得到数倍甚至数十倍的放大。一般来说,可用于放大和反射攻击的服务包括DNS服务、NTP服务、SNMP服务、Chargen服务等。

NTP协议的反射放大效果最好,超过500倍。也就是说,攻击者只需要发起100Mbps的请求流量,经过NTP服务器反射放大后,就可以换取5Gbps的攻击流量。20142月,在一家国外云计算服务提供商遭受的400Gbps DDoS攻击中,黑客使用了NTP反射放大攻击。

SSDP袭击的兴起。

一方面,随着互联网上DNSNTPSNMP等协议的开放服务漏洞不断被修复,可用于发起反射攻击的服务器数量不断减少。另一方面,互联网上家庭路由器、网络摄像头、打印机、智能家电等设备的激增,让黑客看到了另一座可以不断挖掘的金山。UPnP(即插即用)协议被广泛用作这些智能设备的网络通信协议,UPnP设备的发现基于源端口为1900SSDP(简单服务发现协议)

使用SSDP协议的反射攻击原理类似于使用DNS服务和NTP服务,伪造为被攻击人的IP地址向互联网上的大量智能设备发起SSDP请求,接收请求的智能设备根据源IP地址向受害者返回响应数据包。

SSDP反射放大攻击是一种快速上升的DDoS攻击。从akamai 2015q1互联网/安全报告状态可以看出,SSDP反射攻击已经成为TOP1DDoS攻击模式(20.78%)

根据Arbor Networks2015年初发布的全球基础设施安全报告,直到20147月才注意到SSDP反射攻击,2014Q3-Q4期间发起了几次流量超过100Gbps的攻击。

根据USCERT的数据,SSDP的放大率是30倍,比NTPChargen的放大率小得多。然而,由于互联网上智能设备数量巨大,随着IoT的发展,这个数字将呈现几何级数增长。这无疑为黑客提供了丰富的攻击来源。

网站如何应对DDoS攻击以及DDoS攻击的发展趋势

SSDP的严峻形势也反映在阿里巴巴云上。根据阿里巴巴云盾安全运营团队20156月的统计,针对阿里巴巴云用户的UDP DDoS攻击中,80%SSDP反射放大攻击。

随着物联网和智能设备的快速发展和普及,使用智能设备的DDoS攻击将越来越普遍。

如何回应?

对于DDoS攻击,常用的防护措施包括:

(1)来源验证/反向检测,即来源检测和人机识别,包括cookie和识别码;

(2)限制源,即限制源IP或协议。黑名单是常用手段;

(3)特征丢弃,指根据数据包的特征或访问行为进行丢弃,如Payload特征、包行为特征、QPS特征等。

(4)速度限制,限制流量/接入速率。

特别是对于保护高流量的DDoS攻击,与电信运营商的合作也是必不可少的。包括与运营商合作实施现场清源,以及在运营商路由器上限制特定协议或特定源的IP都是降低保护开销的方式。

当然,针对第4DDOS攻击和第7DDoS攻击的不同攻击策略,具体的防护措施也有所不同。我在这里不再重复。

另外,对于网站来说,通过CDN进行DDoS保护也是一个不错的手段。由于多个节点的相互备份和协议的限制,CDN具有固有的抗DDoS能力和高可用性。同时,CDN经常与云WAF系统协同工作,两者之间的配合成为保护HTTP Flood的利器。