与我之前的问题类似,但是我认为最好提出两个单独的问题,而不是将它们合并为一个。
来自Forrester Wave™:DDoS 服务提供商,2015 年第三季度报告,我的:
防御的攻击类型
CGI 请求、拒绝能力、稀释低速率降级、直接、通过快速 DNS 的 DNS 请求攻击、高速破坏性、混合攻击、ICMP 攻击、各向同性攻击流量分布、陆地攻击、非各向同性攻击流量分布、死亡 ping、反射器、TCP 重置、TCP SYN 泛洪、泪滴攻击、UDP 泛洪、可变速率、高容量 AppSec、毒镖、慢 POST 和源错误攻击
好吧,坦率地说,总的来说,您的列表看起来像是一组自动生成的营销流行语,有时完全不清楚或与网络攻击无关(“直接”任何人?)。但是,该报告的作者声称从 Akamai 获取了该列表,这可能为我们提供了“源错误攻击”含义的线索。
Akamai 是一家 CDN 提供商。尽管该论文专门针对 DDoS 攻击,而且 Akamai DDoS 缓解在技术上与 Akamai CDN 网络1完全无关,但至少在公关和营销活动方面,它仍然是同一家公司。
这是 CDN 术语的简短摘要。内容交付网络由边缘服务器组成- 向客户端提供内容的设备(例如 Web 浏览器)。边缘服务器维护的内容从源服务器检索并以特定于特定 CDN 的方式分发到所有边缘服务器或它们的子集。源服务器是托管原始内容的服务器(由 CDN 的客户操作),后者随后由内容交付网络复制、缓存和分发。
在缓存未命中的情况下,即当接收到对边缘服务器上丢失的一条内容的请求时,后者从源服务器请求内容。的原点错误是由边缘服务器的情况下,返回到浏览器的消息有两个在边缘服务器高速缓存和源服务器上可用的没有这样的内容,最正常的条件下2,具有一起404 "Not Found"HTTP状态代码。
一个典型的(基于僵尸网络的)应用层 DDoS 攻击对 HTTP 应用程序可能对所述应用程序的可用性几乎没有影响3如果僵尸网络请求的所有 Web 资源都被 CDN 缓存,并且后者足够强大以处理来自僵尸网络的所有请求。然而,攻击者可能会选择只从 CDN 请求那些保证在源服务器上不存在的资源(例如,来自不存在目录的随机资源)。这样一来,来自僵尸网络的所有请求都会导致缓存未命中,并且都将被简单地代理到托管 HTTP 应用程序的源服务器,从而导致由于负载过重而对合法用户不可用。
如果有人想给它起个名字,或多或少地称这种方法为“起源错误攻击”。
这种攻击的修改是请求在边缘服务器和原始服务器上都存在的资源,使用随机查询字符串,例如https://example.com/?jhd=370而不是简单的https://example.com/。正如 HTTP 规范所建议的那样,一些 CDN 将此类请求视为缓存未命中并将其转发到源服务器。其他的可以配置为在请求静态内容时去除查询字符串,或者完全拒绝此类请求。因此,这种攻击方法虽然对动态网站相当有效,但对静态网站的影响可能很小。
**
更新 (26.03.2020):现在有一份会议记录文件更详细地描述了这次攻击。
1 Akamai Technologies 以自治系统20940维持其互联网存在。Akamai DDoS 缓解(前身为Prolexic)为 AS 32787。Akamai Technologies于 2014 年 2 月收购了 Prolexic ,但是,截至 2020 年 3 月,前 Prolexic 网络似乎仍与Akamai 主要网络:
2如果404边缘服务器能够到达源服务器,则返回状态码,但源服务器本身以404状态码响应。如果源服务器无法访问或不响应请求,502 Bad Gateway通常504 Gateway Timeout会分别返回状态码。
3如果应用程序的所有页面都被 CDN 缓存,DDoS 攻击仍可能对应用程序的可用性产生影响,但影响仅限于基础设施问题,例如,在僵尸网络节点解决受害者自己的姓名,或 OCSP 服务器性能(如果机器人构建在无头浏览器实例之上,等等)。