服务可用性是用户体验的关键组成部分。客户期望服务持续可用且响应迅速,任何停机都可能导致用户失望、放弃购物车和失去客户。

因此,DDoS 攻击的复杂性、规模和持续时间都在增加。Radware 2018 年全球应用和网络安全报告发现,在一年的时间里,突发攻击等复杂的 DDoS 攻击增长了 15%,HTTPS 泛洪增长了 20%,超过 64% 的客户受到应用层攻击( L7 ) DDoS 攻击。


有些攻击是双向的

随着 DDoS 攻击变得越来越复杂,组织需要更精细的保护措施来缓解此类攻击。然而,为了保证完全保护,许多类型的攻击——尤其是更复杂的攻击——需要对入站和出站通道的可见性。

此类攻击的一些示例包括:

状态外协议攻击:一些 DDoS 攻击利用协议通信过程中的弱点(例如 TCP 的三向握手序列)来创建“状态外”连接请求,从而提取连接请求以耗尽服务器资源。虽然这种类型的一些攻击(例如 SYN 泛洪)可以仅通过检查入站通道来阻止,但其他攻击也需要对出站通道的可见性。

这方面的一个例子是 ACK 洪水,攻击者借此不断向受害者主机发送伪造的 TCP ACK 数据包。然后目标主机尝试将 ACK 回复与现有 TCP 连接相关联,如果不存在此类连接,它将丢弃数据包。但是,此过程会消耗服务器资源,并且大量此类请求会耗尽系统资源。为了正确识别和缓解此类攻击,防御需要对入站 SYN 和出站 SYN/ACK 回复的可见性,以便他们可以验证 ACK 数据包是否与任何合法连接请求相关联。

反射/放大攻击:此类攻击利用连接请求与某些协议或应用程序的回复之间的不对称响应。同样,某些类型的此类攻击需要对入站和出站流量通道的可见性。

这种攻击的一个例子是大文件出站管道饱和攻击。在此类攻击中,攻击者识别目标网络上的一个非常大的文件,并发送连接请求以获取它。连接请求本身的大小可能只有几个字节,但随后的回复可能非常大。大量此类请求会阻塞出站管道。

另一个例子是 memcached 放大攻击。尽管此类攻击最常用于通过反射压倒第三方目标,但它们也可用于使目标网络的出站通道饱和。

扫描攻击:大规模的网络扫描尝试不仅是一种安全风险,而且经常带有 DDoS 攻击的特征,使网络充斥着恶意流量。这种扫描尝试基于向主机端口发送大量连接请求,并查看哪些端口回复(从而表明它们是打开的)。但是,这也会导致封闭端口产生大量错误响应。缓解此类攻击需要对返回流量的可见性,以便识别相对于实际流量的错误响应率,以便防御断定攻击正在发生。

服务器破解:与扫描攻击类似,服务器破解攻击涉及发送大量请求以暴力破解系统密码。同样,这会导致高错误回复率,这需要对入站和出站通道的可见性才能识别攻击。

有状态的应用层 DDoS 攻击:某些类型的应用层 (L7) DDoS 攻击利用已知的协议弱点或命令创建大量欺骗性请求,从而耗尽服务器资源。缓解此类攻击需要状态感知的双向可见性以识别攻击模式,以便可以应用相关的攻击签名来阻止它。此类攻击的示例是低速和应用层 (L7) SYN 泛洪,它们会引出 HTTP 和 TCP 连接以持续消耗服务器资源。

双向攻击需要双向防御

随着在线服务可用性变得越来越重要,黑客提出了比以往任何时候都更复杂的攻击,以压倒防御。许多这样的攻击媒介——通常是更复杂和更强大的攻击媒介——要么针对或利用出站通信渠道。

因此,为了让组织充分保护自己,他们必须部署允许双向检查流量的保护措施,以识别和消除此类威胁。