DNS 泛洪

DNS 泛洪 什么是 DNS 泛洪？

域名系统 ( DNS ) 服务器是 Internet 的“电话簿”；它们是 Internet 设备能够查找特定 Web 服务器以访问 Internet 内容的路径。DNS 泛洪是一种分布式拒绝服务攻击 (DDoS)，攻击者可以泛洪特定域的 DNS 服务器，试图破坏该域的DNS 解析. 如果用户无法找到电话簿，则无法通过查找地址来调用特定资源。通过中断 DNS 解析，DNS 洪水攻击将危及网站、API 或 Web 应用程序对合法流量的响应能力。DNS 洪水攻击可能难以与正常的大量流量区分开来，因为大量流量通常来自多个独特的位置，查询域上的真实记录，模仿合法流量。

DNS 泛洪攻击是如何工作的？

域名系统的功能是在容易记住的名称（例如example.com）和难以记住的网站服务器地址（例如192.168.0.1）之间进行转换，因此成功攻击DNS 基础设施使大多数人无法使用Internet。DNS Flood攻击构成了一个相对较新的类型的基于DNS的攻击已经与高带宽的崛起增殖物联网（IOT）的互联网 僵尸网络就像未来。DNS Flood 攻击利用 IP 摄像机、DVR 盒和其他物联网设备的高带宽连接，直接淹没主要提供商的 DNS 服务器。来自物联网设备的大量请求使 DNS 提供商的服务不堪重负，并阻止合法用户访问提供商的 DNS 服务器。

DNS 泛洪攻击不同于DNS 放大攻击。与 DNS 泛洪不同，DNS 放大攻击会反射和放大来自不安全 DNS 服务器的流量，以隐藏攻击源并提高其有效性。DNS 放大攻击使用连接带宽较小的设备向不安全的DNS 服务器发出大量请求。这些设备对非常大的DNS 记录发出许多小请求，但是在发出请求时，攻击者将返回地址伪造为目标受害者的返回地址。放大允许攻击者仅用有限的攻击资源就可以消灭更大的目标。

如何缓解 DNS Flood 攻击？

DNS 泛洪代表了传统基于放大的攻击方法的变化。借助易于访问的高带宽僵尸网络，攻击者现在可以瞄准大型组织。在可以更新或更换受感染的物联网设备之前，抵御这些类型攻击的唯一方法是使用非常庞大且高度分布式的 DNS 系统，该系统可以实时监控、吸收和阻止攻击流量。

勒索（赎金） DDoS 攻击

什么是赎金 DDoS 攻击？

赎金 DDoS (RDDoS) 攻击是指恶意方试图通过分布式拒绝服务 (DDoS) 攻击威胁个人或组织来勒索金钱。有问题的恶意方可能会进行 DDoS 攻击，然后跟进要求支付赎金以阻止攻击，或者他们可能会先发送威胁 DDoS 攻击的赎金。在第二种情况下，攻击者实际上可能无法进行攻击，尽管假设他们正在制造空洞的威胁是不明智的。

针对 DDoS 赎金攻击的最佳保护是强大的DDoS 缓解服务。向进行威胁的个人或团体支付赎金绝不是一个好主意。

什么是 DDoS 攻击？

DDoS 攻击试图耗尽应用程序、网站或网络的资源，使合法用户无法获得服务。DDoS 攻击会向目标发送大量垃圾网络流量，就像高速公路上的交通堵塞一样。DDoS 攻击是“分布式”攻击，这意味着它们从各种来源（通常是欺骗性来源）发送流量，这使得它们比来自单一来源的拒绝服务 (DoS)攻击更难以阻止。

DDoS 攻击者使用多种不同的网络协议。在此处阅读不同类型的 DDoS 攻击。

DDoS 攻击会对组织的运营产生重大影响。对于许多企业而言，任何停机都意味着收入损失。如果长时间离线，组织也可能会失去信誉。

赎金 DDoS 攻击如何运作？

大多数 DDoS 赎金攻击始于向攻击者威胁企业或组织的目标发送赎金通知。在某些情况下，攻击者可能会在发送赎金通知之前进行小型演示攻击以说明其严重性。如果威胁是真实的并且攻击者决定继续进行，则攻击将按如下方式进行：

1. 攻击者开始向目标发送攻击流量。他们可能使用自己的僵尸网络或雇佣的 DDoS 服务来实施攻击。几个人一起工作也可以使用 DDoS 工具生成攻击流量。攻击流量可以针对OSI 模型中的第 3、4 或 7 层。

2. 目标应用程序或服务被攻击流量淹没，它要么缓慢爬行，要么完全崩溃。

3. 攻击一直持续到攻击者的资源耗尽，他们因其他原因关闭攻击，或者目标能够减轻攻击。缓解方法包括速率限制、IP 阻塞、黑洞路由或DDoS 保护服务；前三个很难针对高度分布式的攻击实施。

4. 攻击者可以更新他们的付款要求，进行后续攻击，或两者兼而有之。

详细了解 DDoS 攻击的具体实施方式。

典型的 DDoS 赎金票据包含哪些内容？

DDoS 赎金票据是恶意方发送给企业索要钱财的消息，否则恶意方将进行 DDoS 攻击。通常这些是通过电子邮件发送的。有时，攻击者会发送多条消息，每条消息都会透露有关其特定威胁或要求的更多详细信息。

威胁

DDoS 勒索信中包含的威胁可以采用几种不同的形式：

• 恶意方可能会因先前的 DDoS 攻击而受到指责并威胁另一次攻击
• 他们可能会因当前针对目标的 DDoS 攻击而受到赞扬
• 它们可能会在特定时间或未定义时间威胁未来的 DDoS 攻击

受威胁攻击的详细信息

为了使威胁听起来更危险，攻击者可能声称能够进行一定规模和持续时间的 DDoS 攻击。这些说法不一定是真的：仅仅因为有人声称能够进行持续 24 小时的 3 Tbps 攻击，并不意味着他们实际上有资源来执行它。

集团隶属关系

为了增加威胁的可信度，攻击者可能声称与著名的“黑客”组织有联系，例如 Fancy Bear、Cozy Bear、Lazarus Group、Armada Collective 或其他组织。这些说法可能是真的，但很难核实。这可能是攻击者的虚张声势或模仿尝试。

付款要求和付款指示

赎金票据将要求以某种形式付款。以比特币支付是一种常见的要求，但攻击者也可能要求以另一种加密货币或国家认可的货币（美元、欧元等）支付赎金。在某个时候，他们通常会要求提供特定数量的钱，并提供有关交付钱款的说明。

时间限制或截止日期

最后，为了让他们的需求变得紧迫并增加目标方遵守的可能性，赎金通知可能包括在受威胁的攻击开始之前交付赎金的硬期限，或者为了结束当前的攻击。一些攻击者会补充说，在给定的截止日期之后每小时或每天所需的付款金额都会增加。

支付赎金是个好主意吗？

不。除了支付赎金涉及向犯罪分子提供资金这一事实外，支付并不能保证攻击者会停止他们的活动。相反，支付赎金的组织是一个更可取的目标：它表明愿意满足攻击者的要求，因此也更有可能满足未来的要求。

此外，攻击者获得的资金越多，他们就越有能力为勒索活动提供资金，从而扩大他们应对未来攻击的能力。

最后，总有可能威胁不可信，商家白白付出了赎金。

收到 DDoS 赎金要求的企业应将其报告给相应的执法机构，并采取保护措施以抵御潜在的攻击，以防攻击者实施威胁。Cloudflare DDoS 保护是一种可以防御任何规模的 DDoS 攻击的服务示例。

大多数 DDoS 赎金威胁是否可信？

应认真对待所有安全威胁。但是，并非所有 DDoS 赎金威胁都是真实的。输入和发送一封简短的电子邮件相当容易。它需要更多的资源来维护、管理和激活大型受感染设备网络（称为僵尸网络），以便进行大型 DDoS 攻击。

话虽如此，暗网上提供了许多 DDoS 出租服务，攻击者可能会与其中一项服务签约以进行攻击。这自然会花费攻击者的钱——他们可以通过 DDoS 赎金威胁获得这些钱。

通常，赎金 DDoS 攻击是一种数字游戏。无论索取赎金的一方是否真的有能力实施他们的威胁，他们都指望一小部分目标支付赎金。

最安全的方法是使用DDoS 保护服务，而不是尝试评估威胁的可信度，该服务无论如何都可以使 Web 资产或网络保持在线。

Cloudflare 如何防御 RDDoS 攻击？

所有 Cloudflare 客户，包括免费客户，都可以访问DDoS 保护，以减轻甚至非常大的 DDoS 攻击。此外，Cloudflare Magic Transit保护企业客户的网络基础设施免受第 3 层 DDoS 攻击。Cloudflare 网络具有 100 Tbps 的容量，比有史以来最大的 DDoS 攻击大很多倍。虽然应该记录和监控所有安全威胁，但这种级别的保护意味着 Cloudflare 客户不必担心 DDoS 赎金记录和其他 DDoS 相关威胁。

如果您的组织收到赎金通知，您可以在此处联系 Cloudflare。

赎金 DDoS 攻击和勒索软件有什么区别？

勒索软件攻击是另一种常见的在线勒索形式。勒索软件是一种恶意软件，可加密组织的系统和数据库，使其无法使用。加密完成后，攻击者将索要金钱以换取解密组织的系统。勒索软件必须以某种方式进入企业的内部系统或网络；与网络钓鱼攻击相结合的恶意电子邮件附件是一种常见的威胁媒介。

与勒索软件攻击不同，DDoS 勒索攻击不会加密公司的系统；它的目的只是让他们下线。它也不需要攻击者在执行之前获得对企业内部系统的访问权限。但是，如果有足够强大的DDoS 保护，DDoS 赎金攻击对企业的运作几乎没有影响。

DDoS 解释：分布式拒绝服务攻击是如何演变的

拒绝服务攻击一直是犯罪工具箱的一部分，而且它们只会变得越来越普遍和强大。