要知道如何防御DDoS攻擊,需要先了解DDoS攻擊。
DDoS攻擊的定義
DDoS攻擊全稱——分布式拒絕服務(wù)攻擊,是網(wǎng)絡(luò)攻擊中常見的攻擊方式。在進(jìn)行攻擊的時(shí)候,這種方式可以對不同地點(diǎn)的大量計(jì)算機(jī)進(jìn)行攻擊,進(jìn)行攻擊的時(shí)候主要是對攻擊的目標(biāo)發(fā)送超過其處理能力的數(shù)據(jù)包,使攻擊目標(biāo)出現(xiàn)癱瘓的情況,不能提供正常的服務(wù)。
如下圖所示,攻擊者批量入侵電腦(不只是電腦會被入侵,路由器、手機(jī),甚至是攝像頭等物聯(lián)網(wǎng)設(shè)備也可能會被入侵)并控制,這樣的電腦被稱為“肉雞”(下圖中紅色部分)。然后統(tǒng)一控制向目標(biāo)發(fā)起攻擊,使目標(biāo)癱瘓。
DDoS攻擊示意圖(圖源:ruggedtooling.com)
DDoS常見攻擊方式
常見的DDoS攻擊一般有三種方式,攻擊網(wǎng)絡(luò)帶寬資源、攻擊系統(tǒng)資源和攻擊應(yīng)用資源。具體細(xì)分攻擊方式詳見下面三張圖。
網(wǎng)絡(luò)帶寬資源的攻擊方式
系統(tǒng)資源的攻擊方式
應(yīng)用資源的攻擊方式
DDoS攻擊原理
上面可以看到,DDoS攻擊有許多不同的攻擊方式,而不同的攻擊方式原理也不盡相同。下面列出常見DDoS攻擊方式的原理。
ICMP Flood:通過對目標(biāo)系統(tǒng)發(fā)送海量數(shù)據(jù)包,就可以令目標(biāo)主機(jī)癱瘓,如果大量發(fā)送就成了洪水攻擊。
UDP Flood:攻擊者通常發(fā)送大量偽造源IP地址的小UDP包,100k bps的就能將線路上的骨干設(shè)備例如防火墻打癱,造成整個(gè)網(wǎng)段的癱瘓。
ACK Flood: 目前ACK Flood并沒有成為攻擊的主流,而通常是與其他攻擊方式組合在一起使用。
NTP Flood:攻擊者使用特殊的數(shù)據(jù)包,也就是IP地址指向作為反射器的服務(wù)器,源IP地址被偽造成攻擊目標(biāo)的IP,這樣一來可能只需要1Mbps的上傳帶寬欺騙NTP服務(wù)器,就可給目標(biāo)服務(wù)器帶來幾百上千Mbps的攻擊流量。
SYN Flood:一種利用TCP協(xié)議缺陷,發(fā)送大量偽造的TCP連接請求,從而使得被攻擊方資源耗盡的攻擊方式。
CC 攻擊:由于CC攻擊成本低、威力大據(jù)調(diào)查目前80%的DDoS攻擊都是CC攻擊。CC攻擊是借助代理服務(wù)器生成指向目標(biāo)系統(tǒng)的合法請求,實(shí)現(xiàn)偽裝和DDoS。這種攻擊技術(shù)性含量高,見不到真實(shí)源IP,見不到特別大的異常流量,但服務(wù)器就是無法進(jìn)行正常連接。
DNS Query Flood:DNS Query Flood采用的方法是操縱大量傀儡機(jī)器,向目標(biāo)服務(wù)器發(fā)送大量的域名解析請求。解析過程給服務(wù)器帶來很大的負(fù)載,每秒鐘域名解析請求超過一定的數(shù)量就會造成DNS服務(wù)器解析域名超時(shí)。
DDoS攻擊現(xiàn)目前趨勢
第一,攻擊類型更加多樣與復(fù)雜。
容量耗盡型攻擊:例如TCP耗盡,應(yīng)用層攻擊,以及結(jié)合多種策略與手段的多向量攻擊,這些攻擊現(xiàn)在往往針對的是服務(wù)器或網(wǎng)站的薄弱環(huán)節(jié),例如針對下載、表單等區(qū)域,攻擊流量與用戶流量混雜在一起,因此企業(yè)也更難區(qū)分并緩解惡意流量。僅在國內(nèi)的攻擊,上T的峰值已不罕見。這意味著攻擊者采取更少次數(shù),但更復(fù)雜更智能的攻擊就可以給企業(yè)帶來重創(chuàng)。
第二,在近幾年的報(bào)告中可以看出,新型的攻擊手法如放大反射攻擊開始逐漸活躍。
反射放大攻擊是一種具有巨大攻擊力的DDoS攻擊方式。攻擊者只需要付出少量的代價(jià), 即可對需要攻擊的目標(biāo)產(chǎn)生巨大的流量,對網(wǎng)絡(luò)帶寬資源(網(wǎng)絡(luò)層)、連接資源(傳輸層) 和計(jì)算機(jī)資源(應(yīng)用層)造成巨大的壓力。
TCP/IP分層示意圖
2016年美國Dyn公司的DNS服務(wù)器遭受DDoS攻擊,導(dǎo)致美國大范圍斷網(wǎng)。事后的攻擊流量分析顯示,DNS反射放大攻擊與SYN洪水攻擊是作為本次造成美國斷網(wǎng)的拒絕服務(wù)攻擊的主力。由于反射放大攻擊危害大,成本低,溯源難,被黑色產(chǎn)業(yè)從業(yè)者所喜愛。
除此之外還有攻擊系統(tǒng)資源和攻擊應(yīng)用資源的攻擊方式。現(xiàn)在越來越多的攻擊者,喜歡發(fā)起混合攻擊,上下開工,打得受害企業(yè)措手不及,這樣使傳統(tǒng)的抗DDoS攻擊思想開始變得越來越無用。
如何正確防御DDoS攻擊?
傳統(tǒng)的防御思想都是單一的,如增加帶寬,買ADS設(shè)備,買DDoS防火墻,用云端和本地代替等等。有一些方法確實(shí)可以緩解,但是對企業(yè)來說,在攻擊越來越復(fù)雜的當(dāng)下做好全面防護(hù)難度很大。
緩解方式
這時(shí)候,企業(yè)往往需要第三方的抗DDoS服務(wù)商來提供安全支持。作為企業(yè)在選購抗DDoS業(yè)務(wù)時(shí),必須要考察以下幾點(diǎn):
- 有多少節(jié)點(diǎn)?
- 機(jī)房最大能抗多少流量峰值?
- 機(jī)房數(shù)量以及穩(wěn)定性?
- 支持測試么?
- 價(jià)格是否合適?
- 是否可以實(shí)時(shí)展示,并有效通知?
- 遭受攻擊或者不穩(wěn)定影響業(yè)務(wù)時(shí),是否可以支持排查問題?
DDoS防御需要選擇專業(yè)安全服務(wù)商
知道創(chuàng)宇已為超過90萬的網(wǎng)站提供了安全支持,過程中累計(jì)了海量的DDoS防御經(jīng)驗(yàn)。在超4T防護(hù)能力的加持下,還配合有7*24小時(shí)的專家服務(wù),海外CN2專線,以及全業(yè)務(wù)支持等能力,可以根據(jù)不同業(yè)務(wù)的特點(diǎn),以不同的安全策略,努力幫助企業(yè)用戶做到不再懼怕DDoS攻擊。
