由Akamai发布了《网络安全大师:打造防御第7层DDoS攻击的终极秘籍》这篇报告。以下是对该报告的部分摘录,完整内容请获取原文查看。在本文中,探讨了抵御第 7 层 DDoS 攻击时面临的难题,并详细介绍了攻击者 采用的方案(包括所用的工具和技术)、应对这些攻击的检测和抵御策略,以及事 件后分析与恢复建议。
第 7 层 DDoS 攻击针对的是 OSI 模型的顶层,也就是应用层。这些攻击的目标是 侵入 Web 应用程序处理请求的途径,以此来耗尽目标资源。第 7 层 DDoS 攻击的 常见目标包括: Web 服务器:攻击者将 Web 服务器作为目标,干扰向合法用户分发内容。 这可能会导致网站加载速度缓慢,甚至可能完全无法访问。 Web 应用程序:依赖于数据库或后端服务的应用程序非常容易遭受第 7 层 DDoS 攻击,因为这些攻击会侵入应用程序在解析请求、处理请求或管理会 话时的弱点。
应用程序编程接口 (API):在现代化的 Web 服务和移动应用程序中,API 是 非常关键的组成部分。攻击者会针对 API 发起攻击,干扰不同软件服务之间 的交互,进而影响到依靠这些 API 的应用程序的功能。 DNS 服务:虽然 DNS 攻击还可能发生在其他层,但第 7 层攻击会涉及到利 用恶意请求来轰炸 DNS 服务,从而干扰域名解析,导致大面积出现可访问 性问题。DNS over HTTP/TLS 的采用日趋普遍,会导致此类攻击的增长。 电子邮件服务器:针对电子邮件服务器的攻击会干扰通信,同时影响到传入 和传出电子邮件。 支付网关和金融服务:对于攻击者而言,这些都是相当有利可图的目标, 他们通过干扰交易来造成金融运营的混乱。
Akamai 的互联网现状 (SOTI) 报告和安全见解会定期分析第 7 层 DDoS 攻击的发展 形势,并重点介绍多元化的攻击媒介以及高风险行业。
攻击者使用的工具和技术
很不幸的是,DDoS 攻击者及其使用方法并不是一成不变的。攻击者不断摸索利用 攻击来牟利的套数,他们在调整技术,利用新工具和寻找新方法。有很多因素证明 了这一演变。 自动化:攻击者使用自动化脚本和爬虫程序来模仿合法用户行为,使得检测 显著变得更加困难。此外,攻击者现在会转为利用机器学习算法,通过它们 来适应和规避传统的检测方法。 多媒介攻击:攻击者越来越多地采用多媒介策略,结合运用不同的攻击类型 (例如 GET 和 POST 泛洪)与 DNS 目标(例如放大攻击和碎片攻击)以及 其他组合攻击方式,从而实现彻底耗尽网络和应用程序资源的目的。
以 API 为目标:随着企业在应用程序的使用中越来越依赖于 API,攻击者也 发现了新的机会,可以在其 DDoS 攻击中利用 API 漏洞。这些攻击的目标是 耗尽服务器的资源,其手段包括同时发出成千上万的连接请求,或者利用逻 辑漏洞,从而导致服务中断。 利用物联网设备:物联网设备数量急剧增长,然而通常未能得到妥善保护, 这为僵尸网络提供了庞大的武器库。这些设备经常遭到劫持,利用其网络连 接和计算能力来发起大规模的 DDoS 攻击。
复杂程度提高
DDoS 攻击利用这些新的工具和技术,复杂性和攻击频率也随之提升,攻击者会使 用错综复杂的方法绕过传统的防御措施。下面列出了一些明显的趋势: 加密:明显转向基于 HTTPS 的 DDoS 攻击的趋势,使得抵御攻击更加困 难。这些攻击会进行加密,伪装成合法流量,这加大了检测并筛选掉这些攻 击的难度,因为传统的 DDoS 防护措施在解密应用层 SSL/TLS 流量方面存在 限制。
僵尸网络和代理:由于 DDoS 僵尸网络显著增长以及攻击者普遍使用匿名代 理,现在会从大量 IP 地址发送请求(通常每次攻击会有超过 10,000 个 IP)。一些防御措施针对单个 IP 计算请求数量,攻击者使用此策略可以绕过 这样的措施。而云托管平台的盛行以及云端服务的采用,只会让策划这些高 强度和高度分散的攻击变得更容易。
防御者采用的方法也在不断发展,有一种方法会根据每个 TLS 指纹跟踪请 求,这种指纹由多个 TLS 层信号组成,例如密码类型及其顺序。虽然这种方 法容易产生误报,但如果能够正确使用,当攻击者从大量的机器和 IP 发起 攻击时,此方法可提供更有效的防御措施,因为被入侵的设备上安装的是同 一个软件。这些设备会表现出类似的环境特征,其中之一就是共享 TLS 库。
一探究竟:评估风险和识别漏洞
您可以通过确定关键资产及其中可能易受 DDoS 攻击的位置,来大幅增强第 7 层 DDoS 抵御策略。此风险评估可以帮助您根据资源的重要性和易受攻击性,确定哪 些资源需要优先保护。在了解了潜在的攻击媒介及其影响之后,企业可以实施具体 的应对措施,例如速率限制、Web 应用程序防火墙和行为分析,从而有效地缓解 风险。此外,采用连续风险评估,您就可以根据新出现的威胁和不断变化的业务需 求来发展防御策略。
不同的行业和企业可能会采取不同的方法来进行应用层 DDoS 风险评估。例如: 电子商务:在开展大型促销活动之前开展风险评估,可能会发现结账流程中 存在严重漏洞。可以采取的抵御措施包括实施 Web 应用程序防火墙 (WAF) 和速率限制来保护该服务。 金融服务:对于银行业应用程序,风险评估可能会发现登录页面是 DDoS 攻 击的主要目标。然后,银行可以将针对端点定制的速率限制与行为检测结合 使用,来区分合法用户和攻击流量。
了解特定漏洞之后,就可以实施有针对性的防御措施,并在攻击期间增强关键 服务。
避免分工不明:明确角色和职责
在制定有效的第 7 层 DDoS 防御策略的过程中,务必要明确相关的角色和责任。 只有这样,在发生攻击时才会尽可能确保井然有序地开展工作和高效地做出响应。 如果角色不明确,响应工作可能会一片混乱,职责重叠而且防御工作漏洞百出。 明确职责可以帮助每位团队成员明确自己的具体任务,例如监控流量和识别异常, 以及实施抵御策略和与利益相关者沟通等等。这种井井有条的工作方式有助于将攻 击影响降到极低,维护服务可用性并保护关键资产。
实际上,有过多的决策者而角色并不明确时,在 DDoS 攻击期间反而会导致响应延 误。例如,如果网络运营团队和网络安全团队分别决定采取不同的缓解方法,而缺 乏相互配合,他们可能会无意中抵消对方的努力或者忽视关键漏洞。正确的策略需 要预先定义角色,例如制定事件响应负责人、通信协调员和技术响应团队,确保在 面对攻击时敏捷地采取一致的行动,尽可能缩短停机时间,并简化事件后分析。
要想在第 7 层有效防范 DDoS 攻击,您需要采取多种检测和抵御策略。您可以运用 多种方法,每种方法都有自己的优势和关键考量因素。
基于行为和异常的检测
优势:这种方法依靠使用机器学习和统计分析来了解您的正常流量模式,从而识别 可能表明发生 DDoS 攻击的异常流量。这种方法对于复杂的、以前未曾发现过的攻 击非常有效。 考量因素:这种高效的检测存在一段学习期,可能需要几周的时间来建立 “正常” 流量的基准,而在此期间检测功能可能不会那么有效。如果没有经过准确的训练, 模型可能会返回误报。
基于速率和吞吐量的检测
优势:此方法易于实施,监控请求的速率和大小,在流量超过预定义的阈值时触发 告警或缓解流程。它可以高效快速地识别大规模高容量的攻击。 考量因素:合法的流量高峰(例如在促销活动期间的流量)可能会被误认为是 DDoS 攻击。此方法可能无法检测到一直处于监控中的低容量、低速率的攻击。
(本文仅供参考,不代表我们的任何投资建议。如需使用相关信息,请参阅报告原文。)
