為 DDoS 攻擊做好準備
DNS 水刑攻擊、SSL 洪水攻擊、勒索式 DoS 攻擊與應用層的應用程式攻擊─DDoS 與網路層攻擊 多樣且複雜。由於各種線上市場持續發展,因此現在駭客即使不具備網路及網路攻擊的相關知識也有 可能造成重大傷害。由於容易取得攻擊工具與服務,因此讓可能攻擊的集合數也變得比過去更大。
比起過去,現在的 DDoS 緩解解決方案更需要能全方位防止廣泛的 DDoS 攻擊。以下介紹八個最常 見且複雜的 DDoS 攻擊,您的組織應為阻止這些攻擊做好準備。
1. Burst 攻擊
Burst 攻擊與進階的反覆式阻斷式(簡稱 APDoS)活動包括以隨機間隔突然爆量的攻擊,以及可持 續好幾週的攻擊,並會包含同時以所有網路層為目標的多個媒介。這些攻擊類型傾向對網路效能及 SLA 造成經常性的干擾,進而妨礙合法使用者存取服務。
2. DNS 攻擊
DNS 攻擊依然很受攻擊者青睞,因為這類攻擊需要的資源相對較少,而且能對 DNS 重要基礎架構 造成嚴重傷害。有經驗的攻擊者會利用 DNS 協定的缺陷來產生更強大的攻擊,包括 DNS 水刑攻 擊與 DNS 遞迴攻擊。要緩解這些攻擊就必須要有會學習並對 DNS 流量行為有深入瞭解的工具。
3. 動態內容與 CDN 基礎攻擊
組織經常會使用內容傳遞網路(Content Delivery Network,簡稱 CDN)供應商以支持全球站點及 應用程式效能。問題就在由於組織不會封鎖來自 CDN IP 位址的流量,因此 CDN 會為攻擊提供特 別隱密又難察覺的掩護。惡意發動者用偽裝的 IP 位址創造一個技術形式,不只是為了混淆身分,還能根據地理位置定位或他們能洩露關於 IP 位址的正面信譽資訊,冒充看似合法的使用者。透過請求 CDN 節點會直接傳遞的無快取內容,動態內容攻擊就能讓源伺服器過載,進一步利用 CDN 基礎的防護。
4. 物聯網僵屍網路
儘管機器人流程自動化與其他善意機器人能幫助加速生產力與業務流程,如資料蒐集與制定決策, 但惡意機器人會對網路與服務造成大規模的 DDoS 攻擊。組織持續仰賴傳統的安全性解決方案以 評估機器人流量。現在的複雜惡意機器能模仿人類行為,並繞過人機驗證及其他更早期的技術與啟發法。
5. 應用層 (L7) 應用程式攻擊
應用程式 DoS 攻擊以資源耗盡為目標,方法是使用知名 的超文本傳輸協定(簡稱 HTTP),以及 HTTPS、SMTP、 FTP、VOIP 與其他具備可利用缺陷的應用程式協定進而 達成 DoS 攻擊。如同以網路資源為目標的攻擊,以應用 程式資源為目標的攻擊同樣有許多不同形式,包括洪水攻 擊和「小流量與慢速」攻擊。
6. 勒索式 DDoS 攻擊 (簡稱 RDoS)
在勒索式 DDoS 攻擊中,犯罪者會寄送電子郵件威脅組織在期限之內支付贖金,否則將攻擊組織 而使其業務、營運或產能無法使用。這些攻擊年年增加,且通常會採取巨流量的 DDoS 攻擊形式。 RDoS 攻擊特別隱密又難察覺,因為發動者並不需要駭入目標的網路或應用程式中。
7. 反射/放大攻擊
反射/放大攻擊會利用特定技術協定所具備的請求與回應比率差距。攻擊者使用冒充為其受害者 IP 的來源 IP 位址,將封包傳送給反射器伺服器,因而以回應封包間接讓受害者應接不暇。這些回應以 高度比例生成一些至今最大型的巨流量 DDoS 攻擊。反射式 DNS 回應攻擊就是個常見的例子。
8. SSL/TLS 與加密攻擊
攻擊者使用 SSL 協定遮掩,並進一步在網路層與應用層威脅中將攻擊流量變得複雜。許多安全性 解決方案會使用被動引擎進行 SSL 攻擊防護,這代表它們無法有效區別加密攻擊流量與加密正常 流量的不同,只是限制請求的速度。
要阻止這樣的攻擊就必須有 DDoS 緩解措施,將自動機器學習基礎的偵 測與緩解容量,結合適用於就地部 署、私有雲及公有雲等任何基礎架構 的全面防護。
下載
