要知道如何防御DDoS攻擊,需要先了解DDoS攻擊。
DDoS攻擊的定義
DDoS攻擊全稱——分布式拒絕服務攻擊,是網絡攻擊中常見的攻擊方式。在進行攻擊的時候,這種方式可以對不同地點的大量計算機進行攻擊,進行攻擊的時候主要是對攻擊的目標發送超過其處理能力的數據包,使攻擊目標出現癱瘓的情況,不能提供正常的服務。
如下圖所示,攻擊者批量入侵電腦(不只是電腦會被入侵,路由器、手機,甚至是攝像頭等物聯網設備也可能會被入侵)并控制,這樣的電腦被稱為“肉雞”(下圖中紅色部分)。然后統一控制向目標發起攻擊,使目標癱瘓。
DDoS攻擊示意圖(圖源:ruggedtooling.com)
DDoS常見攻擊方式
常見的DDoS攻擊一般有三種方式,攻擊網絡帶寬資源、攻擊系統資源和攻擊應用資源。具體細分攻擊方式詳見下面三張圖。
網絡帶寬資源的攻擊方式
系統資源的攻擊方式
應用資源的攻擊方式
DDoS攻擊原理
上面可以看到,DDoS攻擊有許多不同的攻擊方式,而不同的攻擊方式原理也不盡相同。下面列出常見DDoS攻擊方式的原理。
ICMP Flood:通過對目標系統發送海量數據包,就可以令目標主機癱瘓,如果大量發送就成了洪水攻擊。
UDP Flood:攻擊者通常發送大量偽造源IP地址的小UDP包,100k bps的就能將線路上的骨干設備例如防火墻打癱,造成整個網段的癱瘓。
ACK Flood: 目前ACK Flood并沒有成為攻擊的主流,而通常是與其他攻擊方式組合在一起使用。
NTP Flood:攻擊者使用特殊的數據包,也就是IP地址指向作為反射器的服務器,源IP地址被偽造成攻擊目標的IP,這樣一來可能只需要1Mbps的上傳帶寬欺騙NTP服務器,就可給目標服務器帶來幾百上千Mbps的攻擊流量。
SYN Flood:一種利用TCP協議缺陷,發送大量偽造的TCP連接請求,從而使得被攻擊方資源耗盡的攻擊方式。
CC 攻擊:由于CC攻擊成本低、威力大據調查目前80%的DDoS攻擊都是CC攻擊。CC攻擊是借助代理服務器生成指向目標系統的合法請求,實現偽裝和DDoS。這種攻擊技術性含量高,見不到真實源IP,見不到特別大的異常流量,但服務器就是無法進行正常連接。
DNS Query Flood:DNS Query Flood采用的方法是操縱大量傀儡機器,向目標服務器發送大量的域名解析請求。解析過程給服務器帶來很大的負載,每秒鐘域名解析請求超過一定的數量就會造成DNS服務器解析域名超時。
DDoS攻擊現目前趨勢
第一,攻擊類型更加多樣與復雜。
容量耗盡型攻擊:例如TCP耗盡,應用層攻擊,以及結合多種策略與手段的多向量攻擊,這些攻擊現在往往針對的是服務器或網站的薄弱環節,例如針對下載、表單等區域,攻擊流量與用戶流量混雜在一起,因此企業也更難區分并緩解惡意流量。僅在國內的攻擊,上T的峰值已不罕見。這意味著攻擊者采取更少次數,但更復雜更智能的攻擊就可以給企業帶來重創。
第二,在近幾年的報告中可以看出,新型的攻擊手法如放大反射攻擊開始逐漸活躍。
反射放大攻擊是一種具有巨大攻擊力的DDoS攻擊方式。攻擊者只需要付出少量的代價, 即可對需要攻擊的目標產生巨大的流量,對網絡帶寬資源(網絡層)、連接資源(傳輸層) 和計算機資源(應用層)造成巨大的壓力。
TCP/IP分層示意圖
2016年美國Dyn公司的DNS服務器遭受DDoS攻擊,導致美國大范圍斷網。事后的攻擊流量分析顯示,DNS反射放大攻擊與SYN洪水攻擊是作為本次造成美國斷網的拒絕服務攻擊的主力。由于反射放大攻擊危害大,成本低,溯源難,被黑色產業從業者所喜愛。
除此之外還有攻擊系統資源和攻擊應用資源的攻擊方式。現在越來越多的攻擊者,喜歡發起混合攻擊,上下開工,打得受害企業措手不及,這樣使傳統的抗DDoS攻擊思想開始變得越來越無用。
如何正確防御DDoS攻擊?
傳統的防御思想都是單一的,如增加帶寬,買ADS設備,買DDoS防火墻,用云端和本地代替等等。有一些方法確實可以緩解,但是對企業來說,在攻擊越來越復雜的當下做好全面防護難度很大。
緩解方式
這時候,企業往往需要第三方的抗DDoS服務商來提供安全支持。作為企業在選購抗DDoS業務時,必須要考察以下幾點:
- 有多少節點?
- 機房最大能抗多少流量峰值?
- 機房數量以及穩定性?
- 支持測試么?
- 價格是否合適?
- 是否可以實時展示,并有效通知?
- 遭受攻擊或者不穩定影響業務時,是否可以支持排查問題?
DDoS防御需要選擇專業安全服務商
知道創宇已為超過90萬的網站提供了安全支持,過程中累計了海量的DDoS防御經驗。在超4T防護能力的加持下,還配合有7*24小時的專家服務,海外CN2專線,以及全業務支持等能力,可以根據不同業務的特點,以不同的安全策略,努力幫助企業用戶做到不再懼怕DDoS攻擊。
