鉴于最近与维基解密相关的 DDoS 事件,我不禁感到几乎所有在线网站都很容易受到此类攻击。Visa、MasterCard(仅举几例)已因此关闭。
我的问题是:
- DDoS 是一种如此强大的攻击形式吗?
- 公司可以做什么来应对这种情况?
编辑:我想我可能把问题表述得太“笨拙”了。我知道什么是 DDoS(来自维基百科和其他网站)。
我真正的问题是:为什么那些大公司不采用反 DDOS 技术?别告诉我 Paypal 和 MasterCard 不怕服务中断或攻击。我查看过其中一些解决方案的成本,但与 Paypal 或 VISA 一年的收入相比,它们似乎并不昂贵。真正的问题是他们为什么如此没有准备?(或者 DDoS 的规模比预期的要大得多?)
答案1
有一个类似的问题这里:
这个问题的挑战在于它要求解决一个根本无法解决的问题。没有任何工具或实践可以保护你免受决心破坏你的服务的中等水平攻击者的攻击。
mod_evasive 是您在短期内解决此问题的最佳解决方案。它实施“最佳实践”请求限制,并可防止您的系统被 5 行 Perl 脚本搞垮。
从长远来看,当您的应用程序成功时,您不可避免地会在它前面部署一个负载平衡器。主流商业负载平衡器(如 F5 的 Big-IP)都实现了“DOS 保护”限制,因此您可以在升级时启用该功能。但不要只是为了获得该功能而升级。
解决现代 DDOS 攻击的问题在于,这些攻击是从许多不相关的非点(通常来自巨大的僵尸网络)发起的。Citrix/NetScaler、Imperva 和 F5 等 Web 应用程序防火墙可以很好地应对预制攻击,但需要熟练的分析师(最好来自您自己的团队)来阻止知道您名字的“真正的”攻击者;您可以通过分析攻击流量、在其中找到攻击者特有的特征并对其进行过滤来完成这项工作。
我认为您对此采取的免费“即插即用”防御措施是正确的,尤其是对于新的应用程序而言。
@tqbf
答案2
确实如此。分布式拒绝服务其威力与防御者的可用性和冗余策略成反比。主要问题不是 DDoS无法减轻;大部分网络都依赖于集中式架构、冗余性差和级联单点故障。
最初的互联网协议在设计时就考虑到了可用性和冗余度,以牺牲信任或同步为代价来提供更多的容错能力。看看DNS, BGP, SMTP,和网络新闻出版最初是为了完美插画而设计的。
回到网络,DDoS 攻击的主要问题是确保 DNS 在高负载下保持可用,确保服务器冗余足以处理峰值容量下的压力,以及确保单个连接不会占用相对于其他连接过高的系统资源。
因此,缓解措施变成了重新路由或黑洞流量、将影响分散到尽可能多的硬件、提供非程序镜像以及与用户社区相关的其他服务保证机制的问题。其中大部分都融入了高可用性服务和威胁建模,对于任何对该领域感兴趣的人。
最后我想指出的是Server Fault 上还有更多答案,对于任何对此问题的 IT 视角感兴趣的人。
答案3
请到IT 安全 Stack Exchange对此进行良好的讨论,并找到有效的方法。有些 DDoS 缓解合作伙伴在这方面非常擅长 - 我为一家全球银行进行了测试,验证了一项测试,DDoS 缓解在攻击开始后的几秒钟内就起作用了,并且在整个攻击过程中,我们以高负载运行,这使业务照常进行。David 给出的答案正是它在那个例子中的工作方式。
答案4
问题的答案取决于有多少僵尸网络 攻击者已经这样做了。也许我们是僵尸网络链的一部分,谁知道呢。你认为全世界的人都会为软件付费吗?你在开玩笑吧……只需在种子中搜索任何软件,无论你下载什么,都会附带根工具包即使使用最强大的防病毒系统,它们也能隐藏自身。如果使用 rootkit,攻击者可能会将受害者的计算机控制为机器人。有时您不需要任何 rootkit,任何预装的软件都可以完成相同的工作。攻击者通过将这些僵尸网络出售用于不同目的(例如发送垃圾邮件)来获利。
研究界发明了一些技术来阻止恶意活动或防止主机成为僵尸网络的一部分(在感染阶段之前),但这是黑客和防御者之间永无止境的军备竞赛。请记住,互联网是一个开放系统,因此目前还没有最终的解决方案。可能永远不会有,这是研究永不停止的答案。
思科有一些缓解技术,请查看这里