攻擊概述
分布式拒絕服務(wù)攻擊(Distributed denial of service attack ���,DDoS攻擊)是最常見也是危害極大的一種網(wǎng)絡(luò)攻擊方式��。(通過服務(wù)器技術(shù))處于不同位置的多個攻擊者同時向一個或數(shù)個目標(biāo)發(fā)動攻擊��,或者一個攻擊者控制了位于不同位置的多臺機(jī)器并利用這些機(jī)器對受害者同時實施攻擊�����。由于攻擊的發(fā)出點是分布在不同地方的���,這類攻擊稱為分布式拒絕服務(wù)攻擊,其中的攻擊者可以有多個����。
DDoS通過大規(guī)模互聯(lián)網(wǎng)流量淹沒目標(biāo)服務(wù)器或其周邊基礎(chǔ)設(shè)施����,以破壞目標(biāo)服務(wù)器、服務(wù)或網(wǎng)絡(luò)正常流量的惡意行為�。
DDoS 攻擊利用多臺受損計算機(jī)系統(tǒng)作為攻擊流量來源以達(dá)到攻擊效果。利用的機(jī)器可以包括計算機(jī)�,也可以包括其他聯(lián)網(wǎng)資源(如 IoT 設(shè)備)。
攻擊示例
據(jù)2022年8月20日新聞報道:谷歌發(fā)現(xiàn)了一次大規(guī)模的DDoS攻擊����,對方嘗試關(guān)閉其CloudArmor客戶服務(wù)���,峰值可達(dá)每秒4600萬個請求����,規(guī)模相當(dāng)于此前記錄的176.92%。這使它成為了歷史上最大的七層分布式拒絕服務(wù)攻擊�����。在高峰期間�����,這種攻擊可以在10秒內(nèi)實現(xiàn)Wikipedia的全天訪問量����。
攻擊原理
DDoS的攻擊策略側(cè)重于通過很多“僵尸主機(jī)”(被攻擊者入侵過或可間接利用的主機(jī))向受害主機(jī)發(fā)送大量看似合法的網(wǎng)絡(luò)包,從而造成網(wǎng)絡(luò)阻塞或服務(wù)器資源耗盡而導(dǎo)致拒絕服務(wù)����,分布式拒絕服務(wù)攻擊一旦被實施,攻擊網(wǎng)絡(luò)包就會猶如洪水般涌向受害主機(jī)���,從而把合法用戶的網(wǎng)絡(luò)包淹沒�,導(dǎo)致合法用戶無法正常訪問服務(wù)器的網(wǎng)絡(luò)資源。
也就是說攻擊者利用大量被入侵的網(wǎng)絡(luò)設(shè)備��,如 IOT 設(shè)備��、個人電腦���、服務(wù)器等����,向受害者服務(wù)器發(fā)送海量的網(wǎng)絡(luò)流量����,影響其正常服務(wù)。
DDoS攻擊流程
攻擊者進(jìn)行一次DDoS攻擊大概需要經(jīng)過了解攻擊目標(biāo)�、攻占傀儡機(jī)、實際攻擊三個主要步驟
如何識別 DDoS 攻擊
DDoS的表現(xiàn)形式主要有兩種
一種為流量攻擊���,主要是針對網(wǎng)絡(luò)帶寬的攻擊�����,即大量攻擊包導(dǎo)致網(wǎng)絡(luò)帶寬被阻塞����,合法網(wǎng)絡(luò)包被虛假的攻擊包淹沒而無法到達(dá)主機(jī);
另一種為資源耗盡攻擊�,主要是針對服務(wù)器主機(jī)的攻擊,即通過大量攻擊包導(dǎo)致主機(jī)的內(nèi)存被耗盡或CPU被內(nèi)核及應(yīng)用程序占完而造成無法提供網(wǎng)絡(luò)服務(wù)��。
防護(hù)思路
若要緩解 DDoS 攻擊���,關(guān)鍵在于區(qū)分攻擊流量與正常流量。
例如��,如果因發(fā)布某款產(chǎn)品導(dǎo)致公司網(wǎng)站涌現(xiàn)大批熱情客戶����,那么全面切斷流量是錯誤之舉。如果公司從已知惡意用戶處收到的流量突然激增��,或許需要努力緩解攻擊�����。
難點在于區(qū)分真實客戶流量與攻擊流量�����。
在現(xiàn)代互聯(lián)網(wǎng)中,DDoS 流量以多種形式出現(xiàn)�����。流量設(shè)計可能有所不同�,從非欺騙性單源攻擊到復(fù)雜的自適應(yīng)多方位攻擊無所不有。
多方位 DDoS 攻擊采用多種攻擊手段�,以期通過不同的方式擊垮目標(biāo),很可能分散各個層級的緩解工作注意力��。
同時針對協(xié)議堆棧的多個層級(如 DNS 放大(針對第 3/4 層)外加 HTTP 洪水(針對第 7 層))發(fā)動攻擊就是多方位 DDoS 攻擊的一個典型例子����。
為什么DDoS防護(hù)困難
在過去十幾年中,網(wǎng)絡(luò)基礎(chǔ)設(shè)施核心部件從未改變��,這使得一些已經(jīng)發(fā)現(xiàn)和被利用的漏洞以及一些成熟的攻擊工具生命周期很長��,即使放到今天也依然有效�����。另一方面���,互聯(lián)網(wǎng)七層模型應(yīng)用的迅猛發(fā)展����,使得 DDoS 的攻擊目標(biāo)多元化,從 web 到 DNS����,從三層網(wǎng)絡(luò)到七層應(yīng)用,從協(xié)議棧到應(yīng)用 App��,層出不窮的新產(chǎn)品也給了黑客更多的機(jī)會和突破點����。再者 DDoS 的防護(hù)是一個技術(shù)和成本不對等的工程�����,往往一個業(yè)務(wù)的 DDoS 防御系統(tǒng)建設(shè)成本要比業(yè)務(wù)本身的成本或收益更加龐大����,這使得很多創(chuàng)業(yè)公司或小型互聯(lián)網(wǎng)公司不愿意做更多的投入。
那么該如何預(yù)防Ddos攻擊��?
目前面對各種DDoS攻擊類型���,最常見的解決辦法有兩種:
1.如果攻擊流量不是很大�����,那可以直接通過機(jī)房加大帶寬來硬抗�����,但如果是大流量攻擊這種辦法就不太行了�����;
2.遭到大流量攻擊就必須通過像中云時代云安全這樣專業(yè)的網(wǎng)絡(luò)安全來進(jìn)行防御了�����。企業(yè)可以通過配置服務(wù)器高防IP�,讓所有的訪問先經(jīng)過高防IP,如果有DDOS/CC攻擊�����,都會自動識別清洗�,將正常流量轉(zhuǎn)發(fā)到源服務(wù)器,保障服務(wù)器穩(wěn)定運行���。以低成本為創(chuàng)業(yè)公司或小型互聯(lián)網(wǎng)公司提供最強(qiáng)大的防護(hù)手段
目前互聯(lián)網(wǎng)環(huán)境越來越復(fù)雜�����,網(wǎng)絡(luò)攻擊變得越來越頻繁��,對各大互聯(lián)網(wǎng)企業(yè)造成的影響和損失也越來越大����,為了保障服務(wù)器的穩(wěn)定運行,建議一定要提早選擇合適的高防產(chǎn)品��,不要等到服務(wù)器崩潰再想辦法����,到時的損失就無法彌補(bǔ)了。
該文章在 2024/2/7 22:41:04 編輯過
400 186 1886
