常见的DDoS攻击通常以持续的高流量洪水的形式出现,流量逐渐上升,到达最高点,然后就是缓慢下降或突然下降。近年来,一种新的攻击模式出现了。突发式攻击,也称为打了就跑DDoS攻击,可以在随机的时间间隔内重复使用短时的突发高容量攻击。每一次短暂的爆可能只持续几秒钟,但突发式攻击活动则可以持续数小时甚至数天。这些攻击每秒会向目标发送数百Gbps的流量。
据我们的客户称,突发式攻击越来越流行。去年,美国一家排名前五的运营商就亲眼目睹了增加了10倍的突发式攻击,其中70%-80%的攻击的持续时间都不足一分钟。在2017年进行的一项全面调查中,一半的受访者都称突发式攻击增加了。
抵御突发式攻击的挑战
多数的企业内部DDoS防护解决方案都能检测到突发式攻击,但多数解决方案也只能将不良(和合法)流量限制在一定的阈值,从而引发高误报率。为了将误报率降到最低,安全专家需要通过捕获并分析流量来识别攻击流量,并手动创建特征码来拦截攻击流量。如果在突发式攻击过程中,攻击矢量发生了变化,特征码也必须适应不断变化的攻击特征。重复的手动特征码调整过程是一项劳动密集型任务,这就使得整个防护策略变得行不通。
同样,多数的混合DDoS防护措施也都利用了速率阈值来启动向云端DDoS防护措施提供商或清洗中心牵引。尽管如此,他们仍然会遭受同样高的误报率,这是因为企业内部DDoS设备和清洗中心DDoS设备都是采用速率限制和手动特征码来查找攻击流量,进而减少误报。
突发式攻击的行为式DoS检测和缓解
为了恰如其分的防御突发式攻击,需要不用的方法。
行为式DoS (BDoS)防护技术可以通过利用机器学习算法来有效地检测并缓解突发式攻击。这些算法可以了解正常流量行为,在攻击中检测流量异常,自动创建特征码并调整防护措施来缓解攻击。
BDoS可以为TCP、UDP、ICMP、IGMP等多个协议采集各种参数数据,并构建和平时期的流量基线。为了检测到攻击,检测引擎可以将实时统计数据与已创建的基线进行对比。
攻击检测结合了两个参数。第一个是速率,即特定流量类型的带宽。第二个是速率无关量,即特定流量类型在整个流量分布中所占的比例。
模糊逻辑推理系统可以测量攻击程度(DoA)的覆盖范围。只有在综合参数的整体DoA覆盖范围很高时,BDoS才会认定攻击开始了,然后启动攻击处理。这就保证了精确的攻击检测。例如,由突发访问引发的高容量流量将会出现高的速率异常,但速率无关量参数仍然是正常的。因此,整合的DoA覆盖范围不会引发BDoS启动攻击处理过程。然而,如果两个参数都显示出异常,整合DoA覆盖范围将会启动攻击处理过程,BDoS也会实时开始创建拦截特征码。BDoS需要10-18秒来创建特征码。
然而,由于没有足够时间来自动创建拦截特征码,因此只持续几秒钟的突发式攻击就可以绕过BDoS防护措施。这也是行为式突发攻击防护的切入点。
行为式突发攻击防护措施分析
行为式突发攻击防护措施优化了BDoS攻击检测和特征描述。
例如,在下面的突发式攻击中,有三次爆发,每一次爆发只持续了几秒钟。
当第一次爆发出现时,由于高的DoA,BDoS检测到了攻击,并继续对攻击进行描述,创建拦截特征码。由于第一次爆发在6秒钟之后就结束了,因此还没有创建特征码。在第一次爆发和第二次爆发之间的空闲时间,BDoS可以缓存采集到的参数和状态,生成候选特征码,保存下来以便应对下一次爆发。当第二次爆发出现时,BDoS会利用缓存信息,从停止的那一刻开始继续创建特征码。由于第二次爆发在8秒之后就结束了(总共耗时14秒),BDoS还未完成特征码创建。然而,当第三次爆发出现时,攻击总共持续了18秒,BDoS成功完成了特征码的创建,并拦截了攻击。
在攻击的整个生命周期中,由于应用了有效的特征码,因此BDoS可以即时拦截随后的突发式攻击。
突发式攻击可以在攻击生命周期内改变矢量。这对于攻击缓解策略而言是一个巨大挑战,因为这涉及到了在突发攻击在实时修改拦截特征码。BDoS可以持续监控攻击流量并测量DoA。如果攻击以这样的方式发生了改变,已应用的特征码就会失效(即,DOA很高),那么BDoS就可以调整特征码,拦截易变的突发式攻击。
有效防护突发式攻击的混合DDoS防护措施
企业内部的缓解解决方案可以实现内联式防护,但却无法防御管道拥塞。只有整合了企业内部和云端突发式攻击防护措施的解决方案可以确保准确、实时和完全自动化的攻击缓解。
增加带宽和服务器硬件可以防御DDoS吗?
增加带宽和服务器硬件的确可以缓解DDoS攻击,当你的带宽大于攻击者的攻击流量就可以无视攻击了,但是DDoS攻击的流量成本非常低,而带宽和硬件的成本却非常高,当攻击者发起成倍增加的大流量攻击时,靠增加带宽来防御是不太现实的,除非你超级超级有钱。 最合理的防御方式是选择接入网络高防,就拿墨者.安全的高防来说,防御等级超过1000G流量,国内一般的攻击流量是几十G最多到几百G,所以1000G的防御流量等级是完全够了。
DDOS可不可防御
不可以防御的,这是由网络带宽限制的、100辆车并排走一个5米宽的路,那是什么感觉。 DDOS就是增加了宽带数据量、造成网咯堵塞。 如果想防御,除非停止这个网站的所有服务。 既然用户可以访问,那攻击者同样可以操作一个庞大的僵尸网络来访问这个网站。
怎么样才能很好预防黑客攻击
九、防范木马程序木马程序会窃取所植入电脑中的有用信息,因此我们也要防止被黑客植入木马程序,常用的办法有:● 在下载文件时先放到自己新建的文件夹里,再用杀毒软件来检测,起到提前预防的作用。 ● 在“开始”→“程序”→“启动”或“开始”→“程序”→“Startup”选项里看是否有不明的运行项目,如果有,删除即可。 ● 将注册表里 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的所有以“Run”为前缀的可疑程序全部删除即可。 十、不要回陌生人的邮件有些黑客可能会冒充某些正规网站的名义,然后编个冠冕堂皇的理由寄一封信给你要求你输入上网的用户名称与密码,如果按下“确定”,你的帐号和密码就进了黑客的邮箱。 所以不要随便回陌生人的邮件,即使他说得再动听再诱人也不上当。 做好IE的安全设置ActiveX控件和 APPlets有较强的功能,但也存在被人利用的隐患,网页中的恶意代码往往就是利用这些控件编写的小程序,只要打开网页就会被运行。 所以要避免恶意网页的攻击只有禁止这些恶意代码的运行。 IE对此提供了多种选择,具体设置步骤是:“工具”→“Internet选项”→“安全”→“自定义级别”,建议您将ActiveX控件与相关选项禁用。 谨慎些总没有错!另外,在IE的安全性设定中我们只能设定Internet、本地Intranet、受信任的站点、受限制的站点。 不过,微软在这里隐藏了“我的电脑”的安全性设定,通过修改注册表把该选项打开,可以使我们在对待ActiveX控件和 Applets时有更多的选择,并对本地电脑安全产生更大的影响。 下面是具体的方法:打开“开始”菜单中的“运行”,在弹出的“运行”对话框中输入,打开注册表编辑器,点击前面的“+”号顺次展开到:HKEY_CURRE-Microsoft\Windows\CurrentVersion\InternetSettings\Zones\0,在右边窗口中找到DWORD值“Flags”,默认键值为十六进制的21(十进制33),双击“Flags”,在弹出的对话框中将它的键值改为“1”即可,关闭注册表编辑器。 无需重新启动电脑,重新打开IE,再次点击“工具→Internet选项→安全”标签,你就会看到多了一个“我的电脑”图标,在这里你可以设定它的安全等级。 将它的安全NT_USER\Software\等级设定高些,这样的防范更严密。
发表评论