了解 DDoS 攻擊:WordPress 管理員指南

已發表: 2019-10-10

分佈式拒絕服務 (DDoS) 是一種拒絕服務 (DoS) 攻擊,其中攻擊來自多個主機而不是一個主機,因此很難阻止它們。 與任何 DoS 攻擊一樣,目標是通過以某種方式使目標超載使其不可用。

通常,DDoS 攻擊需要多台計算機或機器人。 在攻擊過程中,每台計算機都會惡意發送請求以使目標過載。 典型的目標是 Web 服務器和網站,包括 WordPress 網站。 因此,用戶無法訪問網站或服務。 發生這種情況是因為服務器被迫使用其資源來專門處理這些請求。

對於 WordPress 管理員來說,了解 DDoS 攻擊並做好準備非常重要。 它們可以隨時發生。 在本文中,我們將深入探討 DDoS,並為您提供一些提示,以幫助保護您的 WordPress 網站。

DDoS 是一種旨在破壞而不是黑客攻擊的攻擊

重要的是要了解 DDoS 攻擊不是傳統意義上的惡意 WordPress 黑客攻擊。 黑客攻擊意味著未經授權的用戶可以訪問他們不應該擁有的服務器或網站。

傳統黑客攻擊的一個例子是攻擊者利用代碼中的漏洞,或者當他們使用數據包嗅探器竊取 WordPress 密碼時。 一旦黑客獲得了憑據,他們就可以竊取數據或控製網站。

DDoS 有不同的用途,不需要特權訪問。 DDoS 只是旨在破壞目標的正常操作。 對於傳統的黑客攻擊,攻擊者可能希望暫時不被注意。 使用 DDoS,如果攻擊者成功,您幾乎會立即知道。

不同類型的分佈式拒絕服務攻擊

DDoS 不僅僅是一種單一類型的攻擊。 有幾種不同的變體,它們在引擎蓋下的工作方式都略有不同。 在 DDoS 類別下,可以將攻擊分為幾個子類別。 下面列出的是最常見的。

容量 DDoS 攻擊

容量 DDoS 攻擊在技術上很簡單:攻擊者向目標發出大量請求以使帶寬容量過載。 這些攻擊不直接針對 WordPress。 相反,它們以底層操作系統和 Web 服務器為目標。 儘管如此,這些攻擊與 WordPress 網站非常相關。 如果攻擊者得逞,您的 WordPress 網站將不會在攻擊期間向合法訪問者提供頁面。

屬於此類別的特定 DDoS 攻擊包括:

  • NTP放大
  • UDP 泛洪

應用層 DDoS 攻擊

應用層 DDoS 攻擊集中在第 7 層,即應用層。 這意味著他們專注於您的 Apache 或 NGINX Web 服務器以及您的 WordPress 網站。 當涉及到相對於所花費的帶寬造成的損害時,第 7 層攻擊會物超所值

為了理解為什麼會這樣,讓我們來看一個針對 WordPress REST API 的 DDoS 攻擊示例。 攻擊從 HTTP 請求開始,例如來自其中一台主機的 HTTP GET 或 HTTP POST。 此 HTTP 請求在主機上使用相對少量的資源。 但是,在目標服務器上,它可能會觸發多個操作。 例如,服務器必須檢查憑據、從數據庫中讀取並返回網頁。

在這種情況下,我們在攻擊者使用的帶寬和服務器消耗的資源之間存在很大差異。 這種差異通常在攻擊期間被利用。 屬於此類別的特定 DDoS 攻擊包括:

  • HTTP 氾濫
  • 慢帖子攻擊

基於協議的 DDoS 攻擊

基於協議的 DDoS 攻擊遵循與其他 DDoS 攻擊相同的耗盡資源模型。 但是,通常它們專注於網絡和傳輸層,而不是服務或應用程序。

這些攻擊試圖通過針對防火牆或服務器上運行的底層 TCP\IP 堆棧等設備來拒絕服務。 他們利用服務器的網絡堆棧如何處理網絡數據包或 TCP 通信如何工作的漏洞。 基於協議的 DDoS 攻擊示例包括:

  • 同步洪水
  • 死亡之平

多向量 DDoS 攻擊

正如您所料,攻擊者不會將自己限制在一種類型的攻擊中。 DDoS 攻擊採用多向量方法變得越來越普遍。 多向量 DDoS 攻擊正是您所期望的:使用多種技術使目標脫機的 DDoS 攻擊。

了解 DDoS 中的反射和放大

DDoS 攻擊中經常出現的兩個術語是反射和放大。 這兩種技術都是攻擊者用來使 DDoS 攻擊更有效的技術。

反射是一種技術,攻擊者將帶有欺騙性 IP 地址的請求發送到第3方服務器。 欺騙的 IP 地址是目標的地址。 在這些類型的攻擊中,攻擊者通常使用各種 UDP 協議。 下面是它的工作原理:

  1. 攻擊者發送一個帶有欺騙 IP 地址的 UDP 請求,比如你的 WordPress 站點的 IP 到大量稱為反射器的服務器。
  2. 反射器同時接收請求並回复您的 WordPress 站點的 IP。
  3. 反射器響應會淹沒您的 WordPress 站點,可能會使其超載並使其不可用。

放大的工作原理類似於反射。 雖然它需要更少的帶寬和資源,因為發送到反射器的請求遠小於反射器發送到目標的響應。 它的工作方式類似於我們在應用層分佈式拒絕服務攻擊中看到的情況。

殭屍網絡在 DDoS 攻擊中的作用

有沒有想過攻擊者從哪裡獲得資源來協調攻擊?

答案是殭屍網絡。 殭屍網絡是已被惡意軟件入侵的網絡或設備。 這可以是 PC、服務器、網絡或智能設備。 該惡意軟件使攻擊者能夠遠程控制每個受感染的主機。

當用於 DDoS 時,殭屍網絡對給定的目標主機或主機組執行協調的拒絕服務攻擊。 簡而言之:殭屍網絡使攻擊者能夠利用受感染計算機上的資源進行攻擊。 例如,2018 年超過 20,000 個 WordPress 站點被用於對其他 WordPress 站點進行 DDoS 攻擊時就是這種情況(閱讀更多)。

分佈式拒絕服務攻擊背後的動機

“人們為什麼要進行 DDoS 攻擊?” 在這一點上是一個很好的問題。 我們已經回顧了為什麼惡意黑客過去會針對您的 WordPress 網站,但只有其中一點真正適用於 DDoS:hactivism。 如果有人不同意您的觀點,他們可能希望讓您的聲音保持沉默。 DDoS 提供了這樣做的方法。

縱觀 hactivisim,州級網絡戰或具有商業動機的工業攻擊也可能是 DDoS 的驅動因素。 也很常見的是惡作劇的攻擊者、玩得開心的青少年並使用 DDoS 製造一些混亂。

當然,最大的動力之一是金錢。 攻擊者可能會要求贖金以停止攻擊您的 WordPress 網站。 如果您的網站出現故障,它們可能會在商業上受益。 更進一步,已經出現了 DDoS 出租服務!

分佈式拒絕服務的真實示例

分佈式拒絕服務攻擊有多嚴重? 讓我們來看看過去幾年的一些著名的 DDoS 攻擊。

GitHub(兩次!): GitHub 在 1015 年遭受了大規模的拒絕服務攻擊。這些攻擊似乎針對平台上的兩個反審查項目。 這些攻擊影響了 GitHub 的性能和可用性數天。

然後在 2018 年,GitHub 再次成為 DDoS 攻擊的目標。 這次攻擊者使用了基於 memcache 的攻擊。 他們利用放大和反射方法。 儘管攻擊規模很大,但攻擊者僅將 GitHub 關閉了大約 10 分鐘。

愛沙尼亞: 2007 年 4 月標誌著已知的第一次針對整個國家的網絡攻擊。 愛沙尼亞政府決定將青銅士兵雕像從塔林市中心搬到一處軍事墓地後不久,就發生了騷亂和搶劫。 與此同時,攻擊者發起了一系列持續數週的分佈式拒絕服務攻擊。 它們影響了該國的網上銀行、媒體和政府服務。

Dyn DNS: 2016 年 10 月 21 日,Dyn 遭受了大規模的 DDoS 攻擊。 由於受到攻擊,Dyn DNS 服務無法解析用戶查詢。 結果,包括 Airbnb、Amazon.com、CNN、Twitter、HBO 和 VISA 在內的數千個高流量網站無法使用。 這次攻擊是通過大量物聯網設備進行協調的,包括網絡攝像頭和嬰兒監視器。

WordPress 防禦 DDoS 攻擊的技巧

作為個人 WordPress 管理員,您沒有資源和基礎設施來抵禦 DDoS 攻擊。 儘管許多 WordPress 網絡主機都提供了某種 DDoS 攻擊緩解措施。 因此,在為您的 WordPress 網站選擇託管服務提供商時詢問一下。 您還可以使用WordPress/Web 應用程序防火牆 (WAF) 和內容交付網絡 (CDN) 。 我們已將 WAF 和 CDN 結合到一個條目中,因為有像 Sucuri 這樣的提供商,它們在一個解決方案中同時提供它們。

當您使用 WAF 或 CDN 時,流量首先由服務路由和過濾,然後再訪問您的網站。 這種設置可以在傳球時阻止許多攻擊,同時限制其他人的傷害。 一些 CDN 提供了能夠檢測和響應 DDoS 攻擊的優勢。 由於它們可以從雲中的規模經濟中受益,CDN 和在線 WAF 可以減輕攻擊。 他們將它們重定向到具有足夠帶寬和正確工具來處理它們的網絡。

阻止黑客和 DDoS 攻擊

但是,正如 WordPress BruteForce 殭屍網絡所見,您可以在 WordPress 網站上實施幾種安全最佳實踐,這樣它就不會引起攻擊者的注意,也不會引起 DDoS 攻擊:

  • 讓您的 WordPress 網站保持更新:讓您的 WordPress 核心、插件、主題和您使用的所有其他軟件保持最新狀態可以降低已知漏洞被用於攻擊您的風險。 保持您的網站更新還可以減少它成為殭屍網絡一部分的機會。
  • 使用掃描程序檢查漏洞:一些 DoS 攻擊利用了 Slowloris 等問題。 漏洞掃描程序可以檢測到這個和其他安全漏洞。 因此,當您經常掃描您的網站和 Web 服務器時,您會發現 DDoS 攻擊可能利用的漏洞。 您可以使用多種掃描儀。 我們對 WordPress 管理員使用非侵入式 WPScan 安全掃描程序。
  • 查看日誌以提高安全性並識別問題: WordPress 審核日誌和其他日誌可以幫助及早識別惡意行為。 通過日誌,您可以識別可能由 DDoS 攻擊引起的問題,例如特定的 HTTP 錯誤代碼。 日誌還允許您深入分析和分析攻擊的來源。 WordPress 管理員可以使用多個日誌文件來更好地管理和保護他們的網站。
  • 強化用戶身份驗證:這可能是最後的最佳實踐,但它與所有其他實踐一樣重要。 實施強 WordPress 密碼策略以確保您的網站用戶使用強密碼。 最重要的是,安裝一個雙因素身份驗證插件並實施策略以強制進行兩因素身份驗證。