什么是 DDoS 攻击?
DDoS 就是分布式拒绝服务攻击,这种网络攻击形式尝试用恶意流量淹没网站或网络资源,从而导致网站或网络资源无法正常运行。
在分布式拒绝服务 (DDoS) 攻击中,攻击者发出海量实际上并不需要的互联网流量,耗尽目标的资源,造成正常流量无法到达预定目的地。
概括来说,DDoS 或 DoS 攻击就如同成百上千个虚假拼车请求所导致的意外交通堵塞。这些请求在拼车服务看来似乎合法,因此服务会调度驾驶员接人,从而不可避免地使城市街道拥堵。这会导致正常的合法流量无法到达目的地。
DDoS 和 DoS 攻击都会造成类似流量堵塞的效果
在 DDoS 攻击中,攻击者利用大量遭遇入侵的机器和接入互联网的设备向目标发送大量流量。这些设备有物联网 (IoT) 设备、智能手机、个人电脑和网络服务器等等。
针对一家公司的网站、Web 应用程序、API、网络或数据中心基础架构的发起的 DDoS 攻击会造成停机,导致合法用户无法购买产品、使用服务、获取信息或者进行其他正常访问。
DDoS 攻击的工作原理是什么?
DDoS 攻击利用接入互联网上的设备构成的彼此连接的网络,切断用户与服务器或网络资源(比如用户经常访问的网站或者应用程序)的联系。
为了发动 DDoS 攻击,攻击者会使用恶意软件或利用安全漏洞,恶意感染机器和设备,并获得其控制权。每台电脑或者受到感染的设备都称之为“爬虫程序”或“僵尸”,它们能够进一步传播恶意软件并参与 DDoS 攻击。这些爬虫程序共同构成了称为“僵尸网络”的僵尸军团,利用数量优势扩大攻击规模。此外,人们往往不会注意到物联网设备受感染,这很像是僵尸恐怖片里经常会有的那只麻烦的僵尸,主角们根本不知道它已经被感染了,而在物联网设备中,这会造成合法的设备所有者成为次要受害者或不知情的参与者,而受害企业仍然难以分辨攻击者的身份。
一旦攻击者建好僵尸网络,就能向每个爬虫程序发送远程指令,向目标系统发起 DDoS 攻击。在僵尸网络攻击某个网络或服务器时,攻击者会指示僵尸向受害者的 IP 地址发送请求。我们每个人都有着各自独特的指纹,而设备也有类似的特征,每台设备都有一个唯一的地址,可以用来在互联网或本地网络上识别它们。流量过大会造成拒绝服务,使正常流量无法访问网站、Web 应用、API 或网络。
有时,僵尸网络及其中的爬虫程序会通过“雇佣攻击”服务的形式出租给其他有意发起攻击的人。这让那些没有接受过训练、缺乏经验的恶意攻击者也能轻松自行发动 DDoS 攻击。
DDoS 攻击的类型
DDoS 攻击分为许多不同类型,攻击者经常混合使用多种攻击来给目标造成严重破坏。三种关键类型是容积攻击、协议攻击和应用层攻击。所有攻击的目的都是为了严重拖慢合法流量的速度,或者阻止合法流量到达其预定目的地。例如,这可能意味着用户无法正常访问网站、购买产品或服务、观看视频,或者无法在社交媒体上进行互动。此外,DDoS 会造成资源不可用或性能下降,导致业务陷入停滞。它可能导致员工无法访问电子邮件或 Web 应用,或让他们无法照常处理工作。
为了进一步探究 DDoS 攻击的工作原理,我们来具体分析一下攻击者可能采取的不同攻击途径。开放系统互连 (OSI) 模型是各种网络标准的分层式框架,包含七个不同层次。OSI 模型的每一层都有独特的用途,就像一栋办公楼中每个楼层都有不同的业务功能。攻击者根据他们想要破坏的网络或面向互联网的资产类型,针对不同的层次发起攻击。
什么是容积 DDoS 攻击?
容积型 DDoS 攻击的目的是用海量流量充塞网络,耗尽预期受害方资源的带宽。海量攻击流量阻断了合法用户对应用程序或服务的访问,造成流量无法正常流入或流出。根据目标的不同,阻止合法流量可能意味着银行客户无法按时支付账单、电商购物者无法完成在线交易、医院患者无法查看其病历,公民无法查看自己在政府机构处的纳税记录。无论受到攻击的是什么企业,只要人们无法使用他们期望通过网络使用的服务,就会产生负面影响。
容积攻击使用的攻击途径是由一种恶意软件感染的众多系统和设备组成的僵尸网络。在攻击者的控制下,爬虫程序发出恶意流量,耗尽所有可用带宽,造成攻击目标与互联网之间的连接拥塞。
不可预见的僵尸流量造成的冲击可能大大减慢或阻止对于 Web 资源或面向互联网的服务的访问。由于爬虫程序会取代合法设备,以放大带宽密集型 DDoS 攻击,但用户往往毫不知情,因此受害企业很难发现恶意流量。
恶意攻击者使用的容积 DDoS 攻击媒介分为很多种。许多攻击者都利用反射和放大攻击技术来造成目标网络或服务不堪重负。
什么是 UDP 泛洪 DDoS 攻击?
UDP 泛洪攻击经常被选择用于带宽较大的 DDoS 攻击。攻击者会试图用包含无状态 UDP 协议的 IP 数据包充塞目标主机上的端口。随后,受害主机寻找与 UDP 数据包相关的应用程序,如果没有找到,就向发送者回发一条“目标不可达”消息。攻击者经常通过冒用 IP 地址来隐藏自己的身份,一旦目标主机被攻击流量淹没,系统就会失去响应,造成合法用户无法正常使用。
什么是域名系统 (DNS) 反射/放大 DDoS 攻击?
域名系统或 DNS 反射攻击是一种常见的攻击媒介,网络犯罪分子或黑客通过伪装其目标的 IP 地址,向开放的 DNS 服务器发送大量请求。作为回应,这些 DNS 服务器通过伪造的 IP 地址响应恶意请求,大量的 DNS 答复形成洪流,从而构成预定目标的攻击。很快,通过 DNS 答复产生的大量流量就会造成受害企业的服务不堪重负、无法使用,并造成合法流量无法到达其预定目的地。
什么是 ICMP 泛洪 DDoS 攻击?
互联网控制消息协议 (ICMP) 主要用于错误信息传递,通常不会在系统之间交换数据。ICMP 数据包可能与传输控制协议 (TCP) 数据包一同传输,让应用程序和计算设备在连接到服务器时可以通过网络交换信息。ICMP 泛洪攻击是一种第 3 层基础架构 DDoS 攻击方法,它使用 ICMP 消息来造成目标网络带宽超载。
什么是协议 DDoS 攻击?
协议攻击通过尝试利用协议通信的恶意连接请求来消耗并耗尽各种网络基础架构资源(如服务器或防火墙)的计算容量。同步 (SYN) 泛洪攻击和 Smurf DDoS 是基于协议的 DDoS 攻击的两种常见类型。协议攻击可以用每秒数据包数量 (pps) 和每秒比特数 (bps) 来衡量。
什么是 SYN 泛洪 DDoS 攻击?
人们连接到互联网应用的主要方式之一是通过传输控制协议 (TCP)。这种连接需要从 TCP 服务(如 Web 服务器)进行三方握手,涉及到从用户连接到服务器的位置发送 SYN(同步)数据包,然后服务器返回一个 SYN-ACK(同步确认)数据包,最终通过最后的 ACK(确认)通信作为应答,以此完成 TCP 握手。
在 SYN 泛洪攻击中,恶意客户端发送大量 SYN 数据包(通常在握手的第一部分),但永远不会发送确认以完成握手。这使得服务器一直等待对于这些半开放的 TCP 连接的响应,而这些连接最终会耗尽容量,造成服务器无法接受跟踪连接状态的新连接。
SYN 泛洪攻击就好像一所大型高中里,整个毕业班的一场可怕恶作剧 - 所有学生在同一时间段内打电话给同一家披萨店,每个人都要订个披萨。在送餐员备货时,她会发现收到了太多的披萨订单,外卖车根本装不下,而且订单上也没有地址,所以所有送餐都会停止。
什么是 Smurf DDoS 攻击?
这种 DDoS 攻击的名称来源是:众多规模较小的攻击者凭借纯粹的数量优势来压倒更大规模的对手,就像童话故事里的蓝精灵 (Smurf) 一样。
在 Smurf 分布式拒绝服务攻击中,攻击者使用某个 IP 广播地址,向计算机网络广播大量带有目标仿冒源 IP 的互联网控制消息协议 (ICMP) 数据包。默认情况下,网络上的大多数设备将通过向该源 IP 地址发送回复的方式来做出响应。根据网络上机器数量的不同,受害计算机的速度可能会因为流量泛洪而被严重拖慢。
什么是应用层泛洪 DDoS 攻击?
示例:HTTP 泛洪攻击
应用层攻击是通过向应用程序发送大量恶意请求实现的,以每秒请求数 (RPS) 来衡量。这类攻击也称为第 7 层 DDoS 攻击,针对并破坏特定的网络应用程序,而不是整个网络。虽然这类 DDoS 攻击难以预防和抵御,但发动起来却相对比较容易。
打个比方来说,惊吓一群马并让它们到处乱跑容易,但要再次将它们控制起来几乎很难实现。应用层攻击就是这样:容易实施,但难以减缓或阻止,而且特定于某个目标。
如何抵御 DDoS 攻击
借助强大的 DDoS 抵御策略和行动手册,企业可以抵御 DDoS 攻击并降低其造成的破坏程度。各种云端解决方案提供的大容量、高性能和始终开启的 DDoS 防护措施可以防止恶意流量经由 Web API 通信进入网站或造成干扰。基于云的净化服务可以快速抵御针对非 Web 资产(如网络基础架构)发起的大规模攻击。
DDoS 防护
在动态多变的攻击环境中,通过采取深度防御方法的抵御方案提供商所提供的 DDoS 保护服务可以为企业和最终用户保驾护航。DDoS 抵御服务将会尽快检测到并阻止 DDoS 攻击,理想情况下,这应该在攻击流量到达抵御提供商净化中心后的当下或几秒钟内完成。由于攻击媒介不断变化、攻击规模不断扩大,为了实现理想 DDoS 防护效果,供应商必须不断投资加强防御能力。为了跟上规模庞大、复杂度高的攻击的步调,必需具备正确的技术来检测恶意流量,也要着手实施强有力的防御性对策,以便快速抵御攻击。
DDoS 抵御提供商可以过滤掉恶意流量,防止其到达作为攻击目标的资产。攻击流量会被 DDoS 净化服务、基于云的 DNS 服务或基于 CDN 的 Web 保护服务所拦截。基于云的抵御机制会移除攻击流量,使其无法到达目标。
什么是 DDoS 云净化?
DDoS 净化可以让您的在线服务或业务保持正常运转,即使在攻击期间也不例外。与基于 CDN 的抵御措施不同,DDoS 净化服务可以保护数据中心的所有端口、协议和应用程序,包括基于 Web 和 IP 的服务。
企业以两种方式之一引导其网络流量:通过边界网关协议 (BGP) 的路由通告更改或 DNS 重定向(A 记录或 CNAME)到抵御提供商的净化基础架构。净化服务会对流量进行监测和检查,从而发现恶意活动,一旦发现 DDoS 攻击,则实施抵御措施。通常情况下,这类服务的提供商都支持按需和不间断的配置,具体选择哪种配置取决于企业偏好的安全态势,不过就目前而言,比以往更多的企业正在改为采用不间断部署模式,以获得更快的防御响应。
什么是基于 CDN 的 DDoS 防御?
配置得当的高级内容交付网络 (CDN) 有助于抵御 DDoS 攻击。在网站保护服务提供商使用其 CDN 专门加速使用 HTTP 和 HTTPS 协议的流量时,所有针对该 URL 发动的 DDoS 攻击流量都会在网络边缘被丢弃。
这意味着第 3 层和第 4 层 DDoS 攻击会立即得到抵御,因为这种类型的流量并非以 Web 端口 80 和 443 为目标。该网络采用云端代理的形式,布设在客户的 IT 基础架构前方,将来自最终用户的流量传送到网站和应用程序。由于这些解决方案采用内嵌运作模式,面向 Web 的资产将会始终受到保护,不需要人工干预,也不会受到网络层 DDoS 攻击。
对于应用层防御,企业应考虑部署一种 Web 应用程序防火墙,以对抗高级攻击,包括某些类型的 DDoS 攻击,比如旨在破坏 OSI 模型第 7 层应用程序处理的 http 请求、HTTP GET 和 HTTP POST 泛洪。
DDoS 抵御服务有什么优势?
通过部署针对 DDoS 的网络安全防控措施,企业就能减小自身的攻击面,同时缩短业务停运时间并降低中断风险。这种类型的防御可以有效阻止攻击,同时让合法访问者能正常在线访问您的企业。DDoS 防护可以防止恶意流量到达目标,限制攻击的影响,同时允许正常流量通过,保持业务正常运转。
版权声明:本文仅代表作者观点,不代表其他人或机构立场。本文系作者授权DNS大全网发表,未经许可,不得转载。