DDoS攻击可能发生在拥有在线网站或服务的任何人身上。Infosec Skills的作者John Wagnon解释了一家银行如何设法阻止分布式拒绝服务攻击。
针对银行进行 DDoS 攻击
分布式拒绝服务攻击通常用于破坏网站。了解一家银行如何受到攻击以及他们如何阻止它,在这个由信息安全技能作者约翰·瓦格农(John Wagnon)主讲的网络工作应用剧集中。
什么是 DDoS 攻击?
(0:00- 0:30)攻击者一直在寻找可以利用的受害者。很多时候,他们使用一种称为分布式拒绝服务或DDoS攻击的攻击方法。像这样的攻击的目的是淹没受害者的网站,使其无法跟上攻击的所有流量,然后它最终停止工作。我的名字是约翰,我将告诉你一个关于银行如何受到DDoS攻击以及如何阻止攻击的真实故事。
使用僵尸网络生成 20 Gbps
(0:31- 0:43)攻击者使用僵尸网络(受感染的计算机和其他互联网连接设备的集合)发起攻击,针对该银行的网站每秒产生超过20千兆位的交易量。
利用易受攻击的 NTP 服务器
(0:44- 1:23)攻击者在这次攻击中使用了易受攻击的网络时间协议或 NTP 服务器。它们会向 NTP 服务器发送非常小的请求,但服务器会以非常大的响应进行响应。
攻击者会欺骗IP地址,使其看起来像银行的网站发送了请求。然后,非常大的响应从NTP服务器发送回银行的网站。
具体来说,攻击者使用了monlist命令,该命令包含该NTP服务器内存中的最后600个条目。因此,虽然请求大小非常小,但针对该银行网站的响应大小非常大。
利用易受 DNS 攻击的服务器
(1:24- 1:43)就像NTP一样,他们也使用域名系统(或DNS)易受攻击的服务器来放大对银行网站的攻击。具体来说,他们利用DNSSEC扩展来放大攻击,他们还在DNS攻击中使用“Any”标志向受害者发送大量响应。
其他扩增方案
(1:44- 1:51)其他协议,如无连接LDAP或CLDAP,也被用来放大攻击。
利用 IPsec 隧道
(1:52- 2:39)在这些洪水攻击发生时,攻击者还利用 IPsec 隧道发起了创造性攻击。IPsec 隧道用于互联网上两个连接端点之间的安全通信。
有两个不同的阶段用于设置 IPsec 隧道。阶段 1 用于设置隧道使用方式的管理详细信息。阶段 2 实际上是该隧道内安全通信流动的隧道。
因此,攻击者使用第一阶段的数据与该银行的网站进行通信,但随后他们从未完全完成第二阶段隧道。这样做的结果是,它使银行的网站保留了资源,消耗了资源并等待第二阶段隧道完成。总体而言,这次攻击针对该银行产生了每秒超过1千兆位的交易量。
缓解攻击的步骤
(2:40- 3:39)采取了几个措施来减轻这种攻击。第一步是关闭攻击流量的 UDP 端口。他们还对已知良好的流量使用了已知良好的白名单。能够允许或拒绝某些端口号的防火墙配置为阻止此攻击使用的特定端口。
而且当时使用的许多协议不需要通过公司防火墙,因此将它们关闭是可以接受的。但其他攻击需要在攻击期间关闭,然后在攻击结束后重新打开,例如DNS。
之后,通过检查阶段 1 是否由任何 IP 地址打开来缓解 IPsec 泛洪,但第二阶段未完成。然后那个有问题的IP地址被阻止了。然后,在这些IP地址被阻止时,编制了一个已知的违规者列表,这使银行能够防止那些已知的不良行为者的未来攻击。
DDoS 攻击的影响
(3:40- 4:10)总的来说,攻击被阻止了,银行能够为其客户提供服务。在攻击期间,客户体验有所放缓,但从未完全停止。
因此,您可以看到这些类型的DDoS攻击是严肃的业务。任何拥有在线网站或服务的人都可能成为这些类型的参与者的目标。因此,了解不同类型的 DDoS 攻击的工作原理以及如何缓解它们非常重要。
查看我的 OWASP 信息安全技能十大课程,了解有关常见攻击以及如何防范它们的更多信息