拒绝服务 (DoS) 事件是一种网络攻击,其中黑客或网络犯罪分子试图使其目标用户无法使用主机、在线服务或网络资源。分布式拒绝服务攻击可能是最著名的黑客事件类型——2018 年的 GitHub 和 2016 年的 Dyn DDoS 攻击最为突出——但还有许多其他类型的拒绝服务攻击不一定涉及分布式或僵尸网络方法。然而,在几乎所有情况下,拒绝服务事件的特点是目标机器或服务被传入流量淹没,以至于处理或带宽资源不堪重负并脱机。
拒绝服务威胁的起源
在传统的拒绝服务攻击中,黑客使用虚构的返回 Internet 协议 (IP) 地址向目标机器或服务发送多个请求。当服务器尝试对这些地址进行身份验证时,它会遇到一波错误代码响应,从而引发一连串重复的 SMTP 流量链,这些流量会迅速使服务器饱和。同样,在 Smurf 攻击中,黑客会将数据包广播到具有属于这些目标计算机的欺骗 IP 地址的多个主机。当接收主机响应时,它们有效地用响应的数据包流量淹没自己。
在 SYN 洪水中,攻击者利用 TCP 3 次握手(SYN、SYN-ACK、ACK)过程使服务脱机。在 3-Way Handshake 中,服务器 A 会向服务器 B 发起 TCP SYNchronize 请求消息。主机 B(目标机器)收到请求后,会向服务器 A 发送一个 SYNchronize-ACKnowledgement 数据包。此时拒绝服务攻击发生。在建立 TCP 套接字连接的合法交换中,下一步是主机 A 向主机 B 发送 ACKnowledge 消息,但是当控制主机 A 的黑客阻止这种情况发生时,握手无法完成。结果是主机 B 有一个连接的端口,无法用于其他请求。当攻击者重复发送这种性质的请求时,
不断演变的拒绝服务威胁
SYN 洪水、香蕉攻击和其他类型的传统 DoS 黑客攻击至今仍在使用——当然,由僵尸网络驱动的 DDoS 攻击仍然是一个持续的威胁。但近年来,恶意黑客扩大了他们所针对的机器和服务的数量,并大大扩大了威胁面。组织越来越多地成为低强度“服务降级”攻击的目标,这种攻击会导致代价高昂的服务减速,而无需完全离线资源。随着越来越多的组织开始依赖亚马逊网络服务 (AWS) 和类似的云产品来支持其网络运营,这种攻击方法变得越来越普遍。
当大型零售商、金融服务提供商、消费者品牌或类似的商业企业在 AWS、Microsoft Azure 或其他云运营商上托管其网站时,该安排将受服务水平协议的约束。实际上,云运营商以给定的价格承诺提供该网站所需的处理资源、带宽和支持基础设施,以支持 X 数量的网络流量,其中 X 将被测量为千兆字节的数据、零售数量交易、正常运行时间和相关指标。如果流量负载超过商定的水平,如果流量是合法的,这将是积极的,网站所有者将以更高的费率收取费用。
代价高昂的服务贬损
正如人们可能想象的那样,不良行为者可以通过将非法流量引导到目标网站来将自己注入这些关系,并轻松增加目标组织的业务成本。在这种攻击中经常使用发送间歇性流量突发的脉冲“僵尸”服务器。由于有问题的流量负载是偶尔出现的,而且显然不是来自恶意来源,它们看起来非常像合法流量,这意味着网络安全人员很难发现和阻止它们。
在这种类型的拒绝服务或服务降级事件中使用的另一个工具集是所谓的“压力源”应用程序,最初旨在帮助网站所有者识别其 Web 基础设施中的弱点。这些应用程序(包括 WebHive)易于获取且易于使用,可以安装在多个云实例上,以构建强大的 DDoS 功能。通过这种方式协同工作,这些攻击工具可以使大型商业网站长时间离线。
拒绝服务的关键要点
多年来,拒绝服务攻击发生了变化和变化,但造成的损害继续增加。Ponemon Institute 对多个行业的大型企业进行的一项调查发现,典型的公司每年都会遭受四次拒绝服务事件,每年处理 DoS 的平均总成本约为 150 万美元。建立使您能够检测、预防和响应 DoS 攻击的安全架构是任何有效网络安全计划的关键步骤。