拒绝服务 (DoS) 防护是什么意思?
防范拒绝服务攻击
拒绝服务 (DoS) 攻击或 分布式拒绝服务 (DDoS) 攻击是两种存在时间较为久远的网络威胁,至今仍然是高度盛行的大规模入侵工具。近年来,随着攻击规模不断扩大,攻击媒介的数量和组合愈加复杂,DoS 防护的难度也日益提高。由于安全架构日渐依赖于云端托管环境,许多企业都难以妥善保护面向互联网的资产,难以为其实现与数据中心内的资产相同的 DoS 防护水平。
DoS 和 DDoS 攻击都会造成类似流量堵塞的效果
概括来说,DoS 或 DDoS 攻击就如同成百上千个虚假拼车请求所导致的意外交通堵塞。这些请求在拼车服务看来似乎合法,因此服务会调度驾驶员接人,从而不可避免地使城市街道拥堵。这会导致正常的合法流量无法到达目的地。
云端 DDoS 防护的挑战
随着越来越多的企业淘汰传统数据中心,并将应用程序迁移到云端,为了保护面向 Web 的资产和互联网服务,安全团队需要更强大的自适应防护机制。但许多云托管 IP 不在企业的直接控制范围之内,如果没有得到妥善保护,DoS 和 DDoS 攻击者很容易得逞。
攻击者非常了解这种上云趋势,也深知企业的分散式云端托管基础架构中存在不一致的安全策略和较高的问题排查难度,进而渴望利用因此在企业安全态势中造成的薄弱环节。
而对于公有云环境,每家云服务提供商的安全防护责任都不尽相同,这导致情况更加复杂化。对于云服务提供商提供的安全防护水平,许多企业都做出了不够准确的假设,这会提高其遭遇攻击的风险,例如身份验证滥用、ARP 攻击、QoS 问题、配置不当的 MTU 设置,以及大量其他出站风险。
为了保护云端资产,安全防护团队正在积极寻找解决方案,从而通过单一控制平台编排 DDoS 和 DoS 防护,提供更高的监测能力和精简的报告能力,以改善事件数据的关联。
但云服务提供商提供的许多内部 DDoS 抵御解决方案都存在一些关键的不足,包括在监测能力、报告和 SLA 方面。有些提供商的解决方案的透明度很差,甚至没有透明度可言,而其他提供商则无法提供抵御时间 SLA 来保证正常运行时间和可用性。此外,许多云服务提供商并不支持客户按需获得全球安全运营中心 (SOC) 的全天候支持服务。
防范拒绝服务攻击常见问题
什么是 DoS 攻击?
DoS 攻击就是拒绝服务攻击,其目的是让合法用户无法访问网站、路由器、服务器或网络。DoS 攻击由一台计算机发起,而分布式拒绝服务 (DDoS) 攻击则从多个位置对目标发起攻击。为此,DDoS 攻击会利用僵尸网络,也就是由 IPv4 或 IPv6 地址构成的分布式网络——由被劫持的计算机、机器或 IoT 设备构成的爬虫程序网络。
DoS 或 DDoS 攻击的工作原理是什么?
DoS 或 DDoS 攻击会采用泛洪的方式,向服务器、网站、网络设备或机器发送大量恶意流量,以此让其无法正常工作。在容量型攻击(如 ICMP 泛洪攻击或 UDP 泛洪攻击)中,攻击者使用大量流量造成目标不堪重负、系统或用于访问系统的网络路径过载,同时阻止合法流量和用户访问目标资源。
协议攻击(如 SYN 泛洪攻击)会发送利用协议通信的漏洞的恶意连接请求,企图耗尽网络基础架构资源(如防火墙或负载均衡器)的计算能力。在像 Slowloris 这样的应用层攻击中,攻击者会耗尽 Web 服务器、应用程序服务器或数据库可以处理的请求量,从而发起容量耗尽式攻击,同时保持较低的请求量,以此避开检测机制,最终造成用户无法使用攻击目标。
理想的 DoS 或 DDoS 防护形式是怎样的?
针对 DoS 攻击和 DDoS 攻击,理想的防护机制应该是一种多层安全防护态势,它运用在防护相应事件方面有着出色往绩的技术,保护网站、应用程序、API、权威 DNS 和网络资源的安全。