拒絕服務(wù) (DoS) 事件是一種網(wǎng)絡(luò)攻擊，其中黑客或網(wǎng)絡(luò)犯罪分子試圖使其目標(biāo)用戶無(wú)法使用主機(jī)、在線服務(wù)或網(wǎng)絡(luò)資源。分布式拒絕服務(wù)攻擊可能是最著名的黑客事件類(lèi)型——2018 年的 GitHub 和 2016 年的 Dyn DDoS 攻擊最為突出——但還有許多其他類(lèi)型的拒絕服務(wù)攻擊不一定涉及分布式或僵尸網(wǎng)絡(luò)方法。然而，在幾乎所有情況下，拒絕服務(wù)事件的特點(diǎn)是目標(biāo)機(jī)器或服務(wù)被傳入流量淹沒(méi)，以至于處理或??帶寬資源不堪重負(fù)并脫機(jī)。

拒絕服務(wù)威脅的起源

在傳統(tǒng)的拒絕服務(wù)攻擊中，黑客使用虛構(gòu)的返回 Internet 協(xié)議 (IP) 地址向目標(biāo)機(jī)器或服務(wù)發(fā)送多個(gè)請(qǐng)求。當(dāng)服務(wù)器嘗試對(duì)這些地址進(jìn)行身份驗(yàn)證時(shí)，它會(huì)遇到一波錯(cuò)誤代碼響應(yīng)，從而引發(fā)一連串重復(fù)的 SMTP 流量鏈，這些流量會(huì)迅速使服務(wù)器飽和。同樣，在 Smurf 攻擊中，黑客會(huì)將數(shù)據(jù)包廣播到具有屬于這些目標(biāo)計(jì)算機(jī)的欺騙 IP 地址的多個(gè)主機(jī)。當(dāng)接收主機(jī)響應(yīng)時(shí)，它們有效地用響應(yīng)的數(shù)據(jù)包流量淹沒(méi)自己。

在 SYN 洪水中，攻擊者利用 TCP 3 次握手（SYN、SYN-ACK、ACK）過(guò)程使服務(wù)脫機(jī)。在 3-Way Handshake 中，服務(wù)器 A 會(huì)向服務(wù)器 B 發(fā)起 TCP SYNchronize 請(qǐng)求消息。主機(jī) B（目標(biāo)機(jī)器）收到請(qǐng)求后，會(huì)向服務(wù)器 A 發(fā)送一個(gè) SYNchronize-ACKnowledgement 數(shù)據(jù)包。此時(shí)拒絕服務(wù)攻擊發(fā)生。在建立 TCP 套接字連接的合法交換中，下一步是主機(jī) A 向主機(jī) B 發(fā)送 ACKnowledge 消息，但是當(dāng)控制主機(jī) A 的黑客阻止這種情況發(fā)生時(shí)，握手無(wú)法完成。結(jié)果是主機(jī) B 有一個(gè)連接的端口，無(wú)法用于其他請(qǐng)求。當(dāng)攻擊者重復(fù)發(fā)送這種性質(zhì)的請(qǐng)求時(shí)，

不斷演變的拒絕服務(wù)威脅

SYN 洪水、香蕉攻擊和其他類(lèi)型的傳統(tǒng) DoS 黑客攻擊至今仍在使用——當(dāng)然，由僵尸網(wǎng)絡(luò)驅(qū)動(dòng)的 DDoS 攻擊仍然是一個(gè)持續(xù)的威脅。但近年來(lái)，惡意黑客擴(kuò)大了他們所針對(duì)的機(jī)器和服務(wù)的數(shù)量，并大大擴(kuò)大了威脅面。組織越來(lái)越多地成為低強(qiáng)度“服務(wù)降級(jí)”攻擊的目標(biāo)，這種攻擊會(huì)導(dǎo)致代價(jià)高昂的服務(wù)減速，而無(wú)需完全離線資源。隨著越來(lái)越多的組織開(kāi)始依賴亞馬遜網(wǎng)絡(luò)服務(wù) (AWS) 和類(lèi)似的云產(chǎn)品來(lái)支持其網(wǎng)絡(luò)運(yùn)營(yíng)，這種攻擊方法變得越來(lái)越普遍。

當(dāng)大型零售商、金融服務(wù)提供商、消費(fèi)者品牌或類(lèi)似的商業(yè)企業(yè)在 AWS、Microsoft Azure 或其他云運(yùn)營(yíng)商上托管其網(wǎng)站時(shí)，該安排將受服務(wù)水平協(xié)議的約束。實(shí)際上，云運(yùn)營(yíng)商以給定的價(jià)格承諾提供該網(wǎng)站所需的處理資源、帶寬和支持基礎(chǔ)設(shè)施，以支持 X 數(shù)量的網(wǎng)絡(luò)流量，其中 X 將被測(cè)量為千兆字節(jié)的數(shù)據(jù)、零售數(shù)量交易、正常運(yùn)行時(shí)間和相關(guān)指標(biāo)。如果流量負(fù)載超過(guò)商定的水平，如果流量是合法的，這將是積極的，網(wǎng)站所有者將以更高的費(fèi)率收取費(fèi)用。

代價(jià)高昂的服務(wù)貶損

正如人們可能想象的那樣，不良行為者可以通過(guò)將非法流量引導(dǎo)到目標(biāo)網(wǎng)站來(lái)將自己注入這些關(guān)系，并輕松增加目標(biāo)組織的業(yè)務(wù)成本。在這種攻擊中經(jīng)常使用發(fā)送間歇性流量突發(fā)的脈沖“僵尸”服務(wù)器。由于有問(wèn)題的流量負(fù)載是偶爾出現(xiàn)的，而且顯然不是來(lái)自惡意來(lái)源，它們看起來(lái)非常像合法流量，這意味著網(wǎng)絡(luò)安全人員很難發(fā)現(xiàn)和阻止它們。

在這種類(lèi)型的拒絕服務(wù)或服務(wù)降級(jí)事件中使用的另一個(gè)工具集是所謂的“壓力源”應(yīng)用程序，最初旨在幫助網(wǎng)站所有者識(shí)別其 Web 基礎(chǔ)設(shè)施中的弱點(diǎn)。這些應(yīng)用程序（包括 WebHive）易于獲取且易于使用，可以安裝在多個(gè)云實(shí)例上，以構(gòu)建強(qiáng)大的 DDoS 功能。通過(guò)這種方式協(xié)同工作，這些攻擊工具可以使大型商業(yè)網(wǎng)站長(zhǎng)時(shí)間離線。

拒絕服務(wù)的關(guān)鍵要點(diǎn)

多年來(lái)，拒絕服務(wù)攻擊發(fā)生了變化和變化，但造成的損害繼續(xù)增加。Ponemon Institute 對(duì)多個(gè)行業(yè)的大型企業(yè)進(jìn)行的一項(xiàng)調(diào)查發(fā)現(xiàn)，典型的公司每年都會(huì)遭受四次拒絕服務(wù)事件，每年處理 DoS 的平均總成本約為 150 萬(wàn)美元。建立使您能夠檢測(cè)、預(yù)防和響應(yīng) DoS 攻擊的安全架構(gòu)是任何有效網(wǎng)絡(luò)安全計(jì)劃的關(guān)鍵步驟。