高防服务器:为什么DDoS攻击规模并不总是等同于影响

在过去的几年时间里,网络黑客已经开发出一些新方法,这些方法可以产生真正令人震惊的流量。在一次扩大的DDoS攻击事件中,黑客向服务器发送请求,同时假装是攻击的目标。然后,服务器将其回复发送给受害者,其通信量明显高于最初发送给攻击者的通信量。

这样既能掩盖攻击源,又能显著增加攻击规模。在这情况下,这种可以将攻击中的数据量提高至多5.1万倍;这就是在2018年初针对Github验证的最大DDoS攻击之一,达到了1.35Tbps的流量水平。2016年,针对DNS提供商Dyn的类似攻击摧毁了许多用户的大部分互联网,包括亚马逊、Netflix和Reddit。

隐藏DDoS攻击的出现

那么,在考虑DDoS防御时,我们可能会期望网络安全专业人员的主要问题是,他们的系统是否能够抵御大型分布式拒绝服务(DDoS)攻击的可怕力量。事实上,许多供应商都在宣传他们的总DDoS缓解能力如何使最大的攻击相形见绌,而这一能力是有效防御的重要组成部分。

然而,要将DDoS攻击造成的威胁视为纯粹基于其规模风险而忽略较小的、更具有针对性的入侵。事实上,我们越来越多地将DDoS视为不仅仅是大规模发动的问题。随着网络威胁环境的发展,DDoS正逐渐成为一种更加外科化的工具,当与其他方法一起使用时,它会造成比使网站宕机更持久的损害。

事实上,最新研究表明,尽管100Gbps及以上的大型攻击在去年下降了64%,但低于该规模的攻击却有所上升。与去年同期相比,5Gbps及以下的最小攻击量增长了158%,总体平均攻击量下降了37.5%。

大型攻击之所以下降,并不是因为缺乏能力。事实上,发动大规模袭击的挑战性从来没有减少过。一旦攻击者需要花费时间和资源构建一个僵尸网络,希望在不被检测到的情况下将其扩展到必要的大小,现在,一个僵尸网络只需要每天20英镑的价格就可以租用到。

隐身是一种新力量

执行小规模攻击是一种有意识的战术选择,旨在隐藏在传统的缓解策略中进行通过。对于许多极具破坏性的DDoS攻击,所涉及的流量非常小,不仅服务器仍旧保持运行,而且防御工具甚至不会被触发。这种隐身方法扩大了针对公共互联网和目标网络之间系统元素的更具体协议攻击的范围。有时,它们被设计为向路由器的CPU添加不适当的负载;有时它们以负载均衡器为目标来限制站点的可用性;有时它们填充防火墙状态表,使系统更加脆弱。

通过这种更小、更精确的方式为攻击者创造DDos攻击机会来实现其实际目标,无论是数据盗窃、系统入侵还是业务中断。在某些情况下,从攻击者的角度来看,长期降低网站性能,而不是完全禁用网站并触发对威胁的响应,就构成了成功发动的因素。

想想大卫对抗歌利亚的故事。它通常被认为是典型的弱势群体的故事,在这个故事中,一个规模较小、实力较弱的挑战者赢得了压倒性的胜利,登上了榜首。当然,大卫在战斗中的巨大优势是他弹弓精确、快速的技术,而歌利亚的盔甲却无法提供任何保护。以同样的方式,网络威胁领域的趋势不是以平等和相反的力量迎面满足大规模的分布式拒绝服务(DDoS)缓解技术,而是寻求更智能、更微妙的胜利之路。当然,企业将需要改进防御方法来进行匹配,评估他们为防范各种大小的攻击(无论大小)所做的准备。

腾正科技作为网络安全服务商,提供高防服务器租用服务,为饱受DDoS攻击用户提供一系列的DDoS防御解决措施。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20190904A0E22E00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券