了解 DDoS 攻击:WordPress 管理员指南

已发表: 2019-10-10

分布式拒绝服务 (DDoS) 是一种拒绝服务 (DoS) 攻击,其中攻击来自多个主机而不是一个主机,因此很难阻止它们。 与任何 DoS 攻击一样,目标是通过以某种方式使目标超载使其不可用。

通常,DDoS 攻击需要多台计算机或机器人。 在攻击过程中,每台计算机都会恶意发送请求以使目标过载。 典型的目标是 Web 服务器和网站,包括 WordPress 网站。 因此,用户无法访问网站或服务。 发生这种情况是因为服务器被迫使用其资源来专门处理这些请求。

对于 WordPress 管理员来说,了解 DDoS 攻击并做好准备非常重要。 它们可以随时发生。 在本文中,我们将深入探讨 DDoS,并为您提供一些提示,以帮助保护您的 WordPress 网站。

DDoS 是一种旨在破坏而不是黑客攻击的攻击

重要的是要了解 DDoS 攻击不是传统意义上的恶意 WordPress 黑客攻击。 黑客攻击意味着未经授权的用户可以访问他们不应该拥有的服务器或网站。

传统黑客攻击的一个例子是攻击者利用代码中的漏洞,或者当他们使用数据包嗅探器窃取 WordPress 密码时。 一旦黑客获得了凭据,他们就可以窃取数据或控制网站。

DDoS 有不同的用途,不需要特权访问。 DDoS 只是旨在破坏目标的正常操作。 对于传统的黑客攻击,攻击者可能希望暂时不被注意。 使用 DDoS,如果攻击者成功,您几乎会立即知道。

不同类型的分布式拒绝服务攻击

DDoS 不仅仅是一种单一类型的攻击。 有几种不同的变体,它们在引擎盖下的工作方式都略有不同。 在 DDoS 类别下,可以将攻击分为几个子类别。 下面列出的是最常见的。

容量 DDoS 攻击

容量 DDoS 攻击在技术上很简单:攻击者向目标发出大量请求以使带宽容量过载。 这些攻击不直接针对 WordPress。 相反,它们以底层操作系统和 Web 服务器为目标。 尽管如此,这些攻击与 WordPress 网站非常相关。 如果攻击者得逞,您的 WordPress 网站将不会在攻击期间向合法访问者提供页面。

属于此类别的特定 DDoS 攻击包括:

  • NTP放大
  • UDP 泛洪

应用层 DDoS 攻击

应用层 DDoS 攻击集中在第 7 层,即应用层。 这意味着他们专注于您的 Apache 或 NGINX Web 服务器以及您的 WordPress 网站。 当涉及到相对于所花费的带宽造成的损害时,第 7 层攻击会物超所值

为了理解为什么会这样,让我们​​来看一个针对 WordPress REST API 的 DDoS 攻击示例。 攻击从 HTTP 请求开始,例如来自其中一台主机的 HTTP GET 或 HTTP POST。 此 HTTP 请求在主机上使用相对少量的资源。 但是,在目标服务器上,它可能会触发多个操作。 例如,服务器必须检查凭据、从数据库中读取并返回网页。

在这种情况下,我们在攻击者使用的带宽和服务器消耗的资源之间存在很大差异。 这种差异通常在攻击期间被利用。 属于此类别的特定 DDoS 攻击包括:

  • HTTP 泛滥
  • 慢帖子攻击

基于协议的 DDoS 攻击

基于协议的 DDoS 攻击遵循与其他 DDoS 攻击相同的耗尽资源模型。 但是,通常它们专注于网络和传输层,而不是服务或应用程序。

这些攻击试图通过针对防火墙或服务器上运行的底层 TCP\IP 堆栈等设备来拒绝服务。 他们利用服务器的网络堆栈如何处理网络数据包或 TCP 通信如何工作的漏洞。 基于协议的 DDoS 攻击示例包括:

  • 同步洪水
  • 死亡之平

多向量 DDoS 攻击

正如您所料,攻击者不会将自己限制在一种类型的攻击中。 DDoS 攻击采用多向量方法变得越来越普遍。 多向量 DDoS 攻击正是您所期望的:使用多种技术使目标脱机的 DDoS 攻击。

了解 DDoS 中的反射和放大

DDoS 攻击中经常出现的两个术语是反射和放大。 这两种技术都是攻击者用来使 DDoS 攻击更有效的技术。

反射是一种技术,攻击者将带有欺骗性 IP 地址的请求发送到第3方服务器。 欺骗的 IP 地址是目标的地址。 在这些类型的攻击中,攻击者通常使用各种 UDP 协议。 下面是它的工作原理:

  1. 攻击者发送一个带有欺骗 IP 地址的 UDP 请求,比如你的 WordPress 站点的 IP 到大量称为反射器的服务器。
  2. 反射器同时接收请求并回复您的 WordPress 站点的 IP。
  3. 反射器响应会淹没您的 WordPress 站点,可能会使其超载并使其不可用。

放大的工作原理类似于反射。 虽然它需要更少的带宽和资源,因为发送到反射器的请求远小于反射器发送到目标的响应。 它的工作方式类似于我们在应用层分布式拒绝服务攻击中看到的情况。

僵尸网络在 DDoS 攻击中的作用

有没有想过攻击者从哪里获得资源来协调攻击?

答案是僵尸网络。 僵尸网络是已被恶意软件入侵的网络或设备。 这可以是 PC、服务器、网络或智能设备。 该恶意软件使攻击者能够远程控制每个受感染的主机。

当用于 DDoS 时,僵尸网络对给定的目标主机或主机组执行协调的拒绝服务攻击。 简而言之:僵尸网络使攻击者能够利用受感染计算机上的资源进行攻击。 例如,2018 年超过 20,000 个 WordPress 站点被用于对其他 WordPress 站点进行 DDoS 攻击时就是这种情况(阅读更多)。

分布式拒绝服务攻击背后的动机

“人们为什么要进行 DDoS 攻击?” 在这一点上是一个很好的问题。 我们已经回顾了为什么恶意黑客过去会针对您的 WordPress 网站,但只有其中一点真正适用于 DDoS:hactivism。 如果有人不同意您的观点,他们可能希望让您的声音保持沉默。 DDoS 提供了这样做的方法。

纵观 hactivisim,州级网络战或具有商业动机的工业攻击也可能是 DDoS 的驱动因素。 也很常见的是恶作剧的攻击者、玩得开心的青少年并使用 DDoS 制造一些混乱。

当然,最大的动力之一是金钱。 攻击者可能会要求赎金以停止攻击您的 WordPress 网站。 如果您的网站出现故障,它们可能会在商业上受益。 更进一步,已经出现了 DDoS 出租服务!

分布式拒绝服务的真实示例

分布式拒绝服务攻击有多严重? 让我们来看看过去几年的一些著名的 DDoS 攻击。

GitHub(两次!): GitHub 在 1015 年遭受了大规模的拒绝服务攻击。这些攻击似乎针对平台上的两个反审查项目。 这些攻击影响了 GitHub 的性能和可用性数天。

然后在 2018 年,GitHub 再次成为 DDoS 攻击的目标。 这次攻击者使用了基于 memcache 的攻击。 他们利用放大和反射方法。 尽管攻击规模很大,但攻击者仅将 GitHub 关闭了大约 10 分钟。

爱沙尼亚: 2007 年 4 月标志着已知的第一次针对整个国家的网络攻击。 爱沙尼亚政府决定将青铜士兵雕像从塔林市中心搬到一处军事墓地后不久,就发生了骚乱和抢劫。 与此同时,攻击者发起了一系列持续数周的分布式拒绝服务攻击。 它们影响了该国的网上银行、媒体和政府服务。

Dyn DNS: 2016 年 10 月 21 日,Dyn 遭受了大规模的 DDoS 攻击。 由于受到攻击,Dyn DNS 服务无法解析用户查询。 结果,包括 Airbnb、Amazon.com、CNN、Twitter、HBO 和 VISA 在内的数千个高流量网站无法使用。 这次攻击是通过大量物联网设备进行协调的,包括网络摄像头和婴儿监视器。

WordPress 防御 DDoS 攻击的技巧

作为个人 WordPress 管理员,您没有资源和基础设施来抵御 DDoS 攻击。 尽管许多 WordPress 网络主机都提供了某种 DDoS 攻击缓解措施。 因此,在为您的 WordPress 网站选择托管服务提供商时询问一下。 您还可以使用WordPress/Web 应用程序防火墙 (WAF) 和内容交付网络 (CDN) 。 我们已将 WAF 和 CDN 结合到一个条目中,因为有像 Sucuri 这样的提供商,它们在一个解决方案中同时提供它们。

当您使用 WAF 或 CDN 时,流量首先由服务路由和过滤,然后再访问您的网站。 这种设置可以在传球时阻止许多攻击,同时限制其他人的伤害。 一些 CDN 提供了能够检测和响应 DDoS 攻击的优势。 由于它们可以从云中的规模经济中受益,CDN 和在线 WAF 可以减轻攻击。 他们将它们重定向到具有足够带宽和正确工具来处理它们的网络。

阻止黑客和 DDoS 攻击

但是,正如 WordPress BruteForce 僵尸网络所见,您可以在 WordPress 网站上实施几种安全最佳实践,这样它就不会引起攻击者的注意,也不会引起 DDoS 攻击:

  • 让您的 WordPress 网站保持更新:让您的 WordPress 核心、插件、主题和您使用的所有其他软件保持最新状态可以降低已知漏洞被用于攻击您的风险。 保持您的网站更新还可以减少它成为僵尸网络一部分的机会。
  • 使用扫描程序检查漏洞:一些 DoS 攻击利用了 Slowloris 等问题。 漏洞扫描程序可以检测到这个和其他安全漏洞。 因此,当您经常扫描您的网站和 Web 服务器时,您会发现 DDoS 攻击可能利用的漏洞。 您可以使用多种扫描仪。 我们对 WordPress 管理员使用非侵入式 WPScan 安全扫描程序。
  • 查看日志以提高安全性并识别问题: WordPress 审核日志和其他日志可以帮助及早识别恶意行为。 通过日志,您可以识别可能由 DDoS 攻击引起的问题,例如特定的 HTTP 错误代码。 日志还允许您深入分析和分析攻击的来源。 WordPress 管理员可以使用多个日志文件来更好地管理和保护他们的网站。
  • 强化用户身份验证:这可能是最后的最佳实践,但它与所有其他实践一样重要。 实施强 WordPress 密码策略以确保您的网站用户使用强密码。 最重要的是,安装一个双因素身份验证插件并实施策略以强制进行两因素身份验证。