视频: å·§èæ¨æ¢¯æ¶æ (十一月 2024)
想象一下。 一群高中生决定打电话给办公室,一遍又一遍地挂电话,恶作剧。 学校的通讯中断了。 没有人能真正联系到校长。 这很像在“分布式拒绝服务”攻击中发生的情况。 恶意因素诱使大量机器人通过流量来攻击目标服务器,直到服务器无法再忍受它。 Incapsula是一种DDoS保护服务,它报告了一次巨大的DDoS攻击,并且发生了有趣的变化。 攻击数据包来自其他两家DDoS防护公司。
由Incapsula的Igal Zeifman撰写的博客文章并未指出这两家公司,只是说它们是“一家在加拿大,另一家在中国”。 两家公司都承认了责任并“放弃了责任方的服务”。 但是,这首先如何发生?
泛滥与放大
去年的SpamHaus DDoS攻击使用了一种称为DNS放大的技术。 攻击者发送一个小的DNS请求,该请求返回巨大的响应,并欺骗请求数据包,以便将响应传递给受害者。 这样一来,少量服务器就可以发起巨大的DDoS攻击。
但是,Incapsula帖子指出,针对这种攻击强化网络非常容易。 您需要做的就是定义一个规则,该规则拒绝服务器未请求的任何DNS信息包。
有问题的攻击没有使用任何形式的放大。 它只是以正常的DNS请求(每分钟15亿次)的速度淹没受害服务器。 这些请求与有效流量是无法区分的,因此服务器必须检查每个请求。 这篇文章说,这种类型的攻击会使服务器的CPU和内存过载,而放大攻击会使带宽过载。
这是怎么发生的?
Zeifman指出,DDoS保护服务完全具有发起DDoS攻击所需的基础结构。 Zeifman指出:“这与许多供应商更加关注'进来'而不是'进来'的事实结合在一起,使它们非常适合希望执行大规模非放大DDoS攻击的黑客。” “除了提供将保护者变成侵略者的'诗意的转折'之外,这种特大洪水还极其危险。”
确实,在此级别的攻击需要典型的网络犯罪团伙可能无法聚集的资源。 即使最大的僵尸网络也不允许它们每分钟实现15亿个请求。 根据Zeifman的说法,该解决方案适用于确实拥有这些资源来更好地保护它们的公司。 Zeifman说:“任何提供对高功能服务器的不加区别的访问的服务提供商,都可以帮助犯罪者摆脱这些限制。” “在这种情况下,安全厂商立即发挥了黑客的作用。”
您可以在Incapsula网站上阅读完整的帖子。 嘿,如果您碰巧是管理这种攻击所需的那种高性能服务器的少数人之一,那么也许您应该仔细-非常仔细地检查安全性。
