服務(wù)可用性是用戶體驗(yàn)的關(guān)鍵組成部分�？蛻粝Ｍ�服務(wù)能夠持續(xù)可用并快速響應(yīng)，任何停機(jī)都可能導(dǎo)致用戶失望、客戶流失、名譽(yù)受損。DDoS攻擊已成為在線服務(wù)可用性的嚴(yán)重威脅，且其復(fù)雜性、攻擊規(guī)模和持續(xù)時(shí)間都在增加。天下數(shù)據(jù)發(fā)現(xiàn)，在 2018 年，復(fù)雜的 DDoS 攻擊(如突發(fā)攻擊)增加了 15%，HTTPS 洪水攻擊增加了 20%，超過 64%的客戶受到應(yīng)用層的攻擊(L7)DDoS 攻擊。

一、某些攻擊是雙向的

隨著 DDoS 攻擊變得更加復(fù)雜，企業(yè)需要更加精細(xì)的保護(hù)來防御此類攻擊。但是，為保證完全的保護(hù)，許多復(fù)雜類型的攻擊需要能夠查看入站和出站通道。此類攻擊的一些示例包括：

Out of State Protocol 攻擊：一些 DDoS 攻擊利用協(xié)議通信進(jìn)程中的弱點(diǎn)(例如 TCP 的三次握手序列)來創(chuàng)建 “狀態(tài)外” 連接請(qǐng)求，從而抽出連接請(qǐng)求以耗盡服務(wù)器資源。雖然這種類型的攻擊(例如 SYN 泛洪)可以通過僅檢查入站通道來停止，但其他攻擊也需要對(duì)出站通道的可見性。

一個(gè)例子是 ACK 泛洪，攻擊者不斷向受害主機(jī)發(fā)送偽造的 TCP ACK 數(shù)據(jù)包。然后，目標(biāo)主機(jī)嘗試將 ACK 回復(fù)與現(xiàn)有 TCP 連接相關(guān)聯(lián)，如果不存在，則會(huì)丟棄該數(shù)據(jù)包。但是，此過程會(huì)消耗服務(wù)器資源，并且大量此類請(qǐng)求會(huì)耗盡系統(tǒng)資源。為了正確識(shí)別和減輕此類攻擊，防御需要對(duì)入站 SYN 和出站 SYN / ACK 回復(fù)都具有可見性，以便他們可以驗(yàn)證 ACK 數(shù)據(jù)包是否與任何合法連接請(qǐng)求相關(guān)聯(lián)。

反射 / 放大攻擊：此類攻擊利用連接請(qǐng)求與某些協(xié)議或應(yīng)用程序的回復(fù)之間的不對(duì)稱響應(yīng)。同樣，某些類型的此類攻擊需要同時(shí)了解入站和出站流量通道。

此類攻擊的一個(gè)示例是 大文件出站管道飽和攻擊。在此類攻擊中，攻擊者在目標(biāo)網(wǎng)絡(luò)上識(shí)別一個(gè)非常大的文件，并發(fā)送連接請(qǐng)求以獲取它。連接請(qǐng)求本身的大小只有幾個(gè)字節(jié)，但隨后的回復(fù)可能非常大。大量此類請(qǐng)求可能會(huì)堵塞出站管道。

另一個(gè)例子是 memcached 放大攻擊。盡管此類攻擊最常用于通過反射壓倒第三方目標(biāo)，但它們也可用于使目標(biāo)網(wǎng)絡(luò)的出站信道飽和。

掃描攻擊：大規(guī)模網(wǎng)絡(luò)掃描嘗試不僅具有安全風(fēng)險(xiǎn)，而且是經(jīng)常承受 DDoS 攻擊的標(biāo)志，使網(wǎng)絡(luò)充斥惡意流量。此類掃描嘗試基于向主機(jī)端口發(fā)送大量連接請(qǐng)求，以及查看哪些端口應(yīng)答(從而指示它們是打開的)。但是，這也會(huì)導(dǎo)致封閉端口出現(xiàn)大量錯(cuò)誤響應(yīng)。減輕此類攻擊需要查看返回流量，以便識(shí)別相對(duì)于實(shí)際流量的錯(cuò)誤響應(yīng)率，以便防御得出攻擊正在發(fā)生的結(jié)論。

服務(wù)器破解：與掃描攻擊類似，服務(wù)器破解攻擊涉及發(fā)送大量請(qǐng)求以暴力破解系統(tǒng)密碼。同樣，這會(huì)導(dǎo)致高錯(cuò)誤回復(fù)率，這需要可以查看入站和出站通道，以便識(shí)別攻擊。

有狀態(tài)應(yīng)用層 DDoS 攻擊：某些類型的應(yīng)用層(L7)DDoS 攻擊利用已知的協(xié)議弱點(diǎn)或命令創(chuàng)建大量欺騙性請(qǐng)求，從而耗盡服務(wù)器資源。減輕此類攻擊需要具有狀態(tài)感知的雙向可見性，以便識(shí)別攻擊模式，以便可以應(yīng)用相關(guān)的攻擊特征來阻止它。此類攻擊的示例是低速和慢速應(yīng)用層(L7)SYN 泛洪，它們抽取 HTTP 和 TCP 連接以便持續(xù)消耗服務(wù)器資源。

二、雙向攻擊需要雙向防御

隨著在線服務(wù)可用性變得越來越重要，黑客們正在進(jìn)行比以往更復(fù)雜的攻擊，以淹沒防御。許多這樣的攻擊向量 - 通常是更復(fù)雜和有效的攻擊向量 - 要么瞄準(zhǔn)還是利用出站通信信道的優(yōu)勢(shì)。

因此，為了使組織能夠充分保護(hù)自己，他們必須部署保護(hù)措施，以便對(duì)流量進(jìn)行雙向檢查，以識(shí)別和消除此類威脅。例如部署天下數(shù)據(jù)香港高防服務(wù)器、高防IP服務(wù)，其香港高防服務(wù)器基于先進(jìn)的攻擊智能檢測(cè)和處理系統(tǒng)，可以在 5 分鐘內(nèi)精準(zhǔn)識(shí)別多達(dá) 25 種以上的各類 DDoS 變種攻擊及其任意組合，并秒級(jí)觸發(fā)防護(hù)機(jī)制。系統(tǒng)將自動(dòng)牽引攻擊流量至清洗中心過濾，進(jìn)而快速阻斷攻擊，并將正常流量返注回源站，保障網(wǎng)站 / 應(yīng)用正常可訪問。天下數(shù)據(jù)香港高防服務(wù)器，可防御 DDoS 攻擊高達(dá)500Gbps，且支持壓力測(cè)試。詳詢天下數(shù)據(jù)在線客服。

本文鏈接：http://m.51huadong.com/servernews/11003714.html