拒绝服务(DoS)攻击的目的是通过向目标发送大量人工流量来阻塞网络或资源, 哪些限制用户访问被攻击的服务.
DoS (Denial-of-service)攻击的目的是破坏或阻止合法用户访问网站, applications, or other resources. 这些攻击被犯罪组织用来勒索钱财,被激进组织用来make a statement,’ and by state actors to punish their adversaries.
The impact and costs associated with DoS attacks can be wide-ranging; sending a text bomb 触发目标智能手机的意外重启可能会被认为是一个小小的不便, 而阻止在线业务为其客户提供服务的大规模攻击可能会花费数百万美元. 随着今天网络系统的超连接,DoS攻击,像其他 common security attacks,对世界各地的许多企业、组织和政府构成了威胁.
Over the years, 拒绝服务攻击已经演变为包含许多攻击向量和机制.
最初,DoS攻击涉及一个系统攻击另一个系统. While a DoS attack could be carried out in similar fashion today, 当今大多数DoS攻击涉及攻击者控制的许多系统(甚至数十万个), all simultaneously attacking the target.
这种攻击系统的协调被称为“分布式拒绝服务”(DDoS),并且通常是执行下面列出的其他攻击类型时所选择的机制. There are even “stresser” (a.k.a. “booter”) services, ostensibly for-hire to test one’s own systems, which could easily be used to DDoS an unsuspecting target.
Referred to as a “bandwidth consumption attack,攻击者将尝试用尽所有可用的网络带宽(“泛滥”),这样合法的流量就不能再从目标系统传入/传出. Additionally, 攻击者可能会使用“分布式反射拒绝服务”(DRDoS)来欺骗他人, 不知情的系统通过向目标发送大量网络流量来协助攻击.
During this attack, 合法用户和系统被拒绝访问他们通常有权访问的受攻击网络上的其他系统. A variant of this attack, with similar results, 包括通过攻击网络基础设施设备(如网络设备)来改变(或关闭)网络本身.g. switches, routers, wireless access points, etc.),这样它们就不再允许网络流量像往常一样从目标系统流入/流出, 导致类似的拒绝服务结果,而不需要洪水.
这些攻击的重点是破坏目标系统的可用性. 资源耗尽是一种常见的攻击向量,其中有限的系统资源(例如.g. memory, CPU, 磁盘空间)被攻击者故意“用完”,以削弱目标的正常操作. For example, SYN flooding 系统攻击是否会耗尽目标上所有可用的传入网络连接, 阻止合法用户和系统建立新的网络连接. 针对系统的攻击的结果可以是轻微的中断或减速,也可以是彻底的系统崩溃. While not common, 永久性拒绝服务(PDoS)攻击甚至可以将目标破坏到必须对其进行物理修复或更换的程度.
Targeting the application is a popular vector for DoS attacks. Some of these attacks use the existing, 应用程序创建拒绝服务情况的通常行为. Examples of this include locking users out of their accounts 或者请求对应用程序的组成部分(如中央数据库)造成压力,导致其他用户无法按预期访问或使用该应用程序. Other application-targeted attacks rely on vulnerabilities in the application, 例如触发导致应用程序崩溃的错误条件, 或者利用直接访问系统的漏洞来进一步加强DoS攻击.
The following suggestions may help reduce the attack surface of an organization and temper the potential havoc of a DoS attack:
Review application architecture and implementation: Don’t allow user actions to deplete a system’s resources, don’t allow user actions to over-consume application components, 一定要在互联网上寻找有最佳实践建议的资源.
Monitor and alert:
许多提供商(包括云和数据中心)已经提供了可以提供的监控解决方案. 咨询您的供应商,并考虑他们的监控+警报解决方案是否适合您的需求.
Have a mitigation plan (and capability) in place不同的攻击类型需要不同的能力和策略来缓解. 拒绝服务攻击是一个非常严重的问题,许多提供商现在都提供了缓解机制和策略. 考虑一下你的供应商提供的那些是否适合你的需要.
While denial-of-service attacks remain an ongoing threat, their impact can be reduced through thoughtful review, planning, and monitoring.