世界上很多大型網(wǎng)站,例如Facebook, Flickr, Twitter, Reddit, YouTube,
Github都使用的一種技術(shù)就是DDOS緩存服務(wù)器。主要作用就是,運(yùn)用DDOS緩存技術(shù)處理的動態(tài)網(wǎng)頁應(yīng)用可以減輕網(wǎng)站數(shù)據(jù)庫的壓力,當(dāng)這些網(wǎng)站出現(xiàn)大規(guī)模的連接請求時(shí)可以快速從內(nèi)存中打開提高網(wǎng)站的打開速度。讓網(wǎng)站管理員可以進(jìn)一步提升網(wǎng)站的性能。
內(nèi)存緩存 DDoS 攻擊防護(hù):http://www.bxgb88.com/network/cdn.html
一、什么是內(nèi)存緩存 DDoS 攻擊?
內(nèi)存緩存分布式拒絕服務(wù) (DDoS) 攻擊也叫memcached
DDOS是一種網(wǎng)絡(luò)攻擊,攻擊者試圖使目標(biāo)受害者的網(wǎng)絡(luò)流量超載。攻擊者將欺騙性的請求發(fā)送到易受攻擊的 UDP
內(nèi)存緩存*服務(wù)器,該服務(wù)器隨后向目標(biāo)受害者發(fā)送互聯(lián)網(wǎng)流量,從而可能使受害者的資源不堪重負(fù)。當(dāng)目標(biāo)的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施過載時(shí),就無法處理新請求,而常規(guī)流量也無法訪問互聯(lián)網(wǎng)資源,從而導(dǎo)致拒絕服務(wù)。
內(nèi)存緩存攻擊的工作原理:
內(nèi)存緩存攻擊的工作方式類似于所有 DDoS 放大攻擊,例如 NTP 放大和 DNS
放大。這種攻擊欺騙性請求發(fā)送到易受攻擊的服務(wù)器,該服務(wù)器隨后會發(fā)出比初始請求大的數(shù)據(jù)量作為響應(yīng),因此放大了流量。
內(nèi)存緩存放大攻擊就好比是前段時(shí)間惡意打假“我要150份扣肉,然后舉報(bào)是三無產(chǎn)品”。當(dāng)向法院提起訴訟時(shí),他卻給出目標(biāo)受害者的聯(lián)系地址。然后,目標(biāo)會收到來自社會的譴責(zé),接到他們未請求的大量騷擾辱罵信息。
這種放大攻擊的方法之所以成為可能,因?yàn)閮?nèi)存緩存服務(wù)器可以選擇使用 UDP 協(xié)議進(jìn)行操作。UDP
是一種網(wǎng)絡(luò)協(xié)議,允許在不首先獲得所謂握手的情況下發(fā)送數(shù)據(jù) – 握手是指雙方都同意通信的網(wǎng)絡(luò)過程。之所以使用
UDP,是因?yàn)椴挥米稍兡繕?biāo)主機(jī)是否愿意接收數(shù)據(jù),無需事先征得它們的同意,就可以將大量數(shù)據(jù)發(fā)送給目標(biāo)主機(jī)。
內(nèi)存緩存 DDoS 攻擊防御手段:http://www.bxgb88.com/security/ddos.html
內(nèi)存緩存攻擊分為 4 個(gè)步驟:
1、攻擊者將大量數(shù)據(jù)有效載荷*植入暴露的內(nèi)存緩存服務(wù)器上。
2、接下來,攻擊者使用目標(biāo)受害者的 IP 地址偽造 HTTP GET 請求。
3、帶有漏洞的內(nèi)存緩存服務(wù)器接收到請求,試圖通過響應(yīng)來提供幫助,因此將大量響應(yīng)發(fā)送到目標(biāo)。
4、目標(biāo)服務(wù)器或其周圍的基礎(chǔ)設(shè)施無法處理從內(nèi)存緩存服務(wù)器發(fā)送的大量數(shù)據(jù),因此導(dǎo)致過載和對正常請求拒絕服務(wù)。
內(nèi)存緩存放大攻擊的規(guī)模可以達(dá)到多大?
這種攻擊的放大倍數(shù)十分驚人;在實(shí)踐中,我們見過高達(dá) 51,200 倍的放大倍數(shù)!這意味著對于 15 字節(jié)的請求,可以發(fā)送 750 kB
的響應(yīng)。這是一個(gè)巨大的放大倍數(shù),無法承受如此大量攻擊流量的 Web
資產(chǎn)則面臨巨大的安全風(fēng)險(xiǎn)。巨大的放大倍數(shù)加上帶有漏洞的服務(wù)器使內(nèi)存緩存放大攻擊成為攻擊者針對各種目標(biāo)發(fā)起 DDoS 攻擊的主要用例。
二、如何防護(hù)內(nèi)存緩存攻擊?
// 1、禁用 UDP – 對于內(nèi)存緩存服務(wù)器,請確保在不需要時(shí)禁用 UDP 支持。默認(rèn)情況下,內(nèi)存緩存啟用了 UDP
支持,這可能會使服務(wù)器容易受到攻擊。
// 2、對內(nèi)存緩存服務(wù)器進(jìn)行防火墻保護(hù) – 通過在內(nèi)存緩存服務(wù)器和互聯(lián)網(wǎng)之間添加防火墻保護(hù),系統(tǒng)管理員可以根據(jù)需要使用
UDP,而不必暴露于風(fēng)險(xiǎn)中。
// 3、防止 IP 欺騙 – 只要可以偽造 IP 地址,DDoS 攻擊就可以利用此漏洞將流量定向到受害者的網(wǎng)絡(luò)。防止 IP
欺騙是一個(gè)規(guī)模較大的解決方案,無法由特定的系統(tǒng)管理員實(shí)施,它要求傳輸提供商禁止源 IP 地址源自網(wǎng)絡(luò)外部的任何數(shù)據(jù)包離開其網(wǎng)絡(luò)。換句話說,互聯(lián)網(wǎng)服務(wù)提供商
(ISP)
之類的公司必須篩選流量,以使離開其網(wǎng)絡(luò)的數(shù)據(jù)包不得假裝成來自其他地方的其他網(wǎng)絡(luò)。如果所有主要的傳輸提供商都實(shí)施了這種篩選,基于欺騙的攻擊將在一夜之間消失。
// 4、開發(fā)具有減少 UDP 響應(yīng)的軟件 – 消除放大攻擊的另一種方法是去除任何傳入請求的放大因素;如果由于 UDP
請求而發(fā)送的響應(yīng)數(shù)據(jù)小于或等于初始請求,則放大就不復(fù)可能。
互聯(lián)數(shù)據(jù)高防CDN主要是適用于網(wǎng)站業(yè)務(wù),防御策略是將網(wǎng)站內(nèi)容分發(fā)至多個(gè)云端高防節(jié)點(diǎn),來防御所有大流量DDoS、完全過濾極端變種、穿盾、模擬等異常CC攻擊行為,隱藏源站IP,智能節(jié)點(diǎn)近源調(diào)度,全線路CN2帶寬,給予客戶極速的訪問體驗(yàn)。
上一篇:
專線中的PoP點(diǎn)是什么意思?如何使用?
下一篇:
IPsec是什么?IPsec在網(wǎng)絡(luò)中有哪些作用?
