多管齊下，防禦拒絕服務攻擊

勒索軟體和資料外洩可能是最受關注的，但是拒絕服務(denial-of-service, dos)攻擊的案例正在增加。那麼我們可以做什麼來減少它們帶來的影響呢?

聽過一句古話叫做「重煥生機」嗎?好吧，拒絕服務攻擊正好印證了這句話。事實上，拒絕服務攻擊(或者稱之為dos)的使用數量正在增加。阿卡邁科技最近的乙份報告顯示，在2023年的第乙個季度dos攻擊數量與2023年同比增長了125%。與此同時，乙份來自verizon的最新報告顯示，受dos影響的行業包含了國有企業、零售業、金融服務業和學校——所有這些行業都需要抵禦拒絕服務攻擊的措施。

儘管dos攻擊沒有像勒索軟體、point-of-sale(pos)攻擊或者零售資料洩露那麼引人注目，但是它能影響的使用者數也是很多的。讓這些攻擊一直這麼流行的原因是他們很容易被觸發，並且很難完全地防護它們。dos攻擊只是針對應用可用性，攻擊者可以很簡單地將服務中斷。

使用新的方式進行dos攻擊

學生們也發現了dos攻擊的威力了，一些學生黑客使用這項技術來簡單地逃避將要進行的考試。他們使用dos攻擊應用伺服器幾個小時，就不再需要擔心考試不通過了。這種方法如此簡單的原因是dos產品很簡單而且便宜，並且可以在網上買到，你甚至不需要到「暗網」上去買。只要簡單地搜尋一下這個術語，**就會返回很多dos的服務。很多這些booter**支援通過信用卡，paypal，western union和位元幣進行付款。

顯而易見，這樣的門檻是很低的，因此任何人都可以發起乙個dos來攻擊你的公司。因此，在攻擊發生之前部署拒絕服務防衛計畫是非常重要的。這個計畫會在被攻擊之前解決誰來進行響應、響應的內容是什麼以及會執行哪些防護措施會等問題。要減少任何潛在的損害，你需要盡早定位和檢測到要受到的攻擊。

流量的隔離

識別和檢測技術是基於的是檢測和區別合法流量及非法流量的能力。行為分析是最常見的一種技術，行為分析通過記錄平均包速率來將有差異的包進行標記。這種方法會在有問題發生的時候提醒你。變點檢測是另乙個有用的技術，這項技術使用統計資料和對累積和的估算來定位和識別真實和網路流量以及預期的網路流量。

增大頻寬和部署負載均衡器是兩個很重要的步驟。事實是，你應該總是擁有比你想象需要更多的頻寬才對。這不只是針對於dos來說，其他合理的事件也會導致流量的突發。擁有額外的頻寬可以幫助吸收攻擊，以及可以為防禦響應爭取更多的時間。同步伺服器可以提供額外的自動防故障保護。這種拒絕服務防禦策略的想法是將流量負載到多伺服器架構的不同伺服器上，以此來進一步減輕攻擊帶來的傷害。

減緩請求來保護你的網路

限流是另乙個有用的技術。限流減緩每乙個使用者的請求數量，還可能可以對短時間太多的嘗試進行限制。你應該考慮阻攔一些無效的位址。你可能有時候會聽說這種稱之為bogon and martian packet filtering的做法。這些簡單來說就是一些無效的位址，比如說無用的位址、loopback位址和網路位址轉換(nat)位址。

不要忘了回顧一下rfc 2827和3704的標準。rfc 2827不會對dos攻擊進行保護，但是它能阻止攻擊者在你的網路使用偽造的源位址，而這些源位址是不會被防火牆規則所過濾的。你需要部署拒絕服務攻擊的防禦技術。rfc 3704也是通過拒絕偽造位址帶來的流量限制dos攻擊帶來的影響。rfc 3704也保證了流量是可以追蹤到它的正確的源位址的。更謹慎點，你可以和你的網際網路服務**商(isp)討論一下他們提供的黑洞過濾和dos防禦服務。黑洞過濾是一種在路由層面將資料報丟棄的技術，可以動態實現它的功能，以快速抵禦dos攻擊。

所有的拒絕服務攻擊防禦措施都可以限制dos攻擊帶來的損害，但是這並不能阻止別人惡意地去攻擊你的網路。要充分做好準備，你需要有乙份應急響應計畫、部署額外的頻寬、黑洞虛假流量和考慮從isp那購買dos硬體和服務。最糟糕的情況是你什麼都不準備，而是等待dos攻擊來臨的時候採取想響應的方法。

多管齊下，防禦拒絕服務攻擊

多管齊下非常網管

拒絕服務攻擊

拒絕服務攻擊 DOS）

多管齊下，防禦拒絕服務攻擊

多管齊下 非常網管

拒絕服務攻擊

拒絕服務攻擊 DOS）

相關推薦

多管齊下非常網管