努力做业务
努力工作,好好学习
一心向善,南无阿弥陀佛
真正的好防护,价格都是不便宜的~
CoAP:约束应用协议(Constrained Application Protocol)
CoAP是一种轻量级的机器对机器(M2M)协议,可以在内存和计算资源稀缺的智能设备上运行。简单来说,CoAP与HTTP非常类似。但它不是工作在TCP包,而是在UDP上。就像HTTP用于在客户端和服务器之间传输数据和命令(GET,POST,CONNECT等)一样,CoAP也允许相同的多播和命令传输功能,但不需要那么多的资源,这使它成为物联网设备的理想选择。然而,就像其它基于UDP的协议,CoAP天生就容易受到IP地址欺骗和数据包放大的影响,这也是它容易被DDoS攻击滥用的主要原因。
WS-DD:Web服务动态发现(Web Services Dynamic Discovery)
WS-DD是一种局域网内的服务发现多播协议。但经常因为设备厂商的设计不当,当一个正常的IP地址发送服务发现报文时,设备也会对其进行回应。如果设备被暴露在互联网上,即可被攻击者用于DDoS反射攻击。WSD协议所对应的端口号是3702。当前,视频监控设备的ONVIF规范以及一些打印机,都开放或在正在使用WS-DD服务。其实早在2019年,我们酉境安全实验室就对WS-DD可被用于反射攻击做出了分析。
ARMS:远程管理服务(Apple Remote Management Service)
前几年,已有不法分子利用Apple远程管理服务(ARMS)即Apple远程桌面(ARD)功能的一部分,实施了DDoS放大攻击。ARD启用后,ARMS服务开始在端口3283上侦听传输到远程Apple设备的入站命令,攻击者进而可以发动放大倍数为35.5的DDoS放大攻击。此漏洞的来源在于ARMS自身服务的设计缺陷。在使用UDP传输协议的情况下,客户端向netAssistant服务端口(即3283端口)发送一个UDP最小包,netAssistant服务便会返回携带有主机标识的超大包,请求与响应相差数十倍。由于其并未严格限制请求与响应比,导致暴露在公网中开启netAssistant服务的网络设备均有可能被当作反射源使用。
Jenkins:基于 Web 的自动化软件
Jenkins是一个开源的、可扩展的持续集成、交付、部署(软件/代码的编译、打包、部署)的基于Web的平台。Jenkins是一个执行自动化任务的开源服务器。利用Jenkins的漏洞(如CVE-2020-2100),可以用来发动 DDoS 攻击。尽管Jenkins v2.219中已经修复了这个漏洞,但是很多Jenkin服务器仍然会受到影响。
实际上,除了FBI 提及的这四种新型 DDoS 攻击途径,我们还应关注更多可用于反射放大攻击 ,工作在UDP 的协议。如SSDP、QOTD、SNMP、CHARGEN、LDAP、MEMCACHE、WS-DISCOVERY 等。
UDP反射放大攻击是近几年最火热,被利用最多的DDoS攻击方式之一。UDP数据包是无链接状态的服务,攻击者可以小代价的利用UDP 协议特性攻击目标主机,使其无法响应正确请求,以实现拒绝服务。
那么,我们应该如何应对UDP反射放大攻击?本文给出以下5种常用的防护思路:
1. 指纹学习算法:学习检查UDP报文中的Payload,自动提取攻击指纹特征,基于攻击特征自动进行丢弃或者限速等动作。
2.流量波动抑制算法:产品通过对正常的业务流量进行学习建模,当某类异常流量出现快速突增的波动时,自动判断哪些是异常从而进行限速/封禁,以避免对正常流量造成影响。
3.基于IP和端口的限速:通过对源IP、源端口、目标IP、目标端口的多种搭配组合进行限速控制,实现灵活有效的防护策略。
4.服务白名单:对于已知的UDP反射协议,如DNS服务器的IP地址添加为白名单,除此之外,其他源IP的53端口请求包,全部封禁,使UDP反射放大攻击的影响面降低。
5.地理位置过滤器:针对业务用户的地理位置特性,在遇到UDP反射攻击时,优先从用户量最少地理位置的源IP进行封禁阻断,直到将异常地理位置的源IP请求全部封禁,使流量降至服务器可处理的范围之内,可有效减轻干扰流量。
更加努力一些
真正的高防环境,都是靠真金铺垫出来的
网络安全已经成为每个企业和个人都不能忽视的问题。DDoS(分布式拒绝服务)攻击,作为一种常见的网络攻击方式,已经成为许多组织和个人的头痛之源。为了有效地应对这种攻击,各种DDoS防护技术和方法应运而生。
1、DDoS攻击的分类
DDoS攻击的目的是通过大量的请求来使目标服务器过载,从而导致服务中断。这些攻击可以分为几类,如流量攻击、连接攻击和应用层攻击。流量攻击通过发送大量的数据包消耗目标的带宽资源,连接攻击则利用伪造的连接请求消耗目标的连接资源,而应用层攻击则针对特定应用的漏洞发送恶意请求,导致应用崩溃。
2、核心的DDoS防护技术
为了抵御这些攻击,DDoS防护技术主要包括流量分析与过滤、速率限制与控制、IP黑名单与白名单管理以及深度包检查与应用层防护。流量分析与过滤通过实时监控和分析网络流量,识别异常模式,并及时过滤恶意流量。速率限制与控制为每个用户或IP设置请求速率限制,超出阈值的请求将被视为恶意并被拦截。IP黑名单与白名单管理根据历史数据和实时分析,动态地更新IP黑名单和白名单,确保恶意流量被拦截,而正常流量得以通行。深度包检查与应用层防护则对每个数据包进行深入的内容检查,识别并拦截恶意请求,同时保护应用层不受攻击。
3、实践中的DDoS防护方法
本地硬件设备:在实际的网络环境中,许多组织选择在本地部署专门的硬件设备来抵御DDoS攻击。这些设备,如防火墙和入侵检测系统,能够对入站流量进行实时的过滤和控制,从而及时识别并拦截恶意流量。
云端防护服务:随着云计算技术的发展,云端防护服务也逐渐受到了企业的青睐。这种服务主要是利用云服务提供商的强大资源,将流量首先导向云端进行清洗。在清洗过程中,恶意流量会被过滤掉,而正常的流量则会被导回原始服务器,确保业务的正常运行。
混合防护策略:对于那些希望同时利用本地硬件和云端服务的优势的组织,混合防护策略是一个不错的选择。这种策略结合了两者的优点,形成了一个多层的防护体系。无论是面对大规模的流量攻击,还是针对应用层的精细化攻击,这种策略都能确保在各种攻击场景下提供有效的防护。
4、未来的DDoS防护趋势
随着技术的进步,DDoS攻击也在不断演变。传统的防护方法可能无法应对新型的攻击。因此,我们需要不断研究和更新防护技术。未来的DDoS防护可能会更加依赖于人工智能和机器学习技术。通过自动学习和分析网络流量,系统可以更快速、更准确地识别和防御攻击。
DDoS攻击是一种持续存在的网络安全威胁,但通过了解和应用先进的DDoS防护技术和方法,我们可以有效地抵御这种攻击,确保网络资源的安全和稳定。随着技术的不断进步,我们有理由相信,未来的DDoS防护将更加智能、更加高效。
生活不易,必须努力,加油,争取2023年业务更上一层楼!加油
更加努力的自律!好好工作
