DDoS攻擊����,全稱為分布式拒絕服務(wù)攻擊(Distributed Denial of Service attack)�,是一種常見(jiàn)的網(wǎng)絡(luò)安全攻擊方式。攻擊者(黑客)操縱大量被控制的計(jì)算機(jī)(常稱為肉雞)���,或位于不同位置的多個(gè)攻擊者�����,在短時(shí)間內(nèi)通過(guò)將攻擊偽裝成大量的合法請(qǐng)求���,向服務(wù)器資源發(fā)動(dòng)的攻擊,惡意消耗服務(wù)器的網(wǎng)絡(luò)流量或硬件資源����,導(dǎo)致請(qǐng)求數(shù)量遠(yuǎn)遠(yuǎn)超過(guò)了服務(wù)器的處理能力,造成服務(wù)器運(yùn)行緩慢或者宕機(jī)����,無(wú)法再提供正常網(wǎng)站服務(wù)��。通常由僵尸網(wǎng)絡(luò)用于執(zhí)行此惡意任務(wù)�,由于攻擊的發(fā)出點(diǎn)是分布在不同地方的�,所以將這類攻擊稱為分布式拒絕服務(wù)攻擊。
DDoS攻擊的危害
DDoS攻擊可以造成服務(wù)器性能嚴(yán)重下降或者系統(tǒng)崩潰��,而對(duì)于政企客戶來(lái)說(shuō)����,可能會(huì)造成如下幾種危害。
業(yè)務(wù)受損
如游戲平臺(tái)�、在線教育、電商平臺(tái)��、金融行業(yè)��、直播平臺(tái)�、提供OA/ERP/CRM企業(yè)內(nèi)部服務(wù)等需要業(yè)務(wù)驅(qū)動(dòng)的網(wǎng)站��,若服務(wù)器因DDoS攻擊造成無(wú)法訪問(wèn)����,從而導(dǎo)致沒(méi)有訪問(wèn)流量�����、失去業(yè)務(wù)往來(lái)機(jī)會(huì)����,或者因網(wǎng)站無(wú)法訪問(wèn)導(dǎo)致內(nèi)部業(yè)務(wù)流程無(wú)法正常進(jìn)行�,也就沒(méi)了收入。
根據(jù)調(diào)查數(shù)據(jù)�,企業(yè)認(rèn)為失去業(yè)務(wù)機(jī)會(huì),即損失合同或運(yùn)營(yíng)終止是DDoS攻擊的最嚴(yán)重后果����。在遭遇過(guò)DDoS攻擊的企業(yè)中,26%將其視為DDoS攻擊最大的風(fēng)險(xiǎn)�����。其次則為信譽(yù)損失危害��。
信譽(yù)損失
業(yè)務(wù)網(wǎng)站��、服務(wù)器無(wú)法訪問(wèn)會(huì)造成用戶體驗(yàn)差��,用戶投訴等問(wèn)題�,從而導(dǎo)致讓潛在的用戶流失�,現(xiàn)有的客戶也可能會(huì)重新評(píng)估平臺(tái)安全性���,穩(wěn)定性���,會(huì)對(duì)企業(yè)的形象和聲譽(yù)造成不小的影響,更會(huì)影響到新的銷售機(jī)會(huì)�����。
根據(jù)對(duì)超過(guò)5,000家企業(yè)進(jìn)行調(diào)查�,我們發(fā)現(xiàn)有37%的DDoS攻擊會(huì)破壞企業(yè)的信譽(yù),造成深遠(yuǎn)的客戶信任危害���,三分之一的企業(yè)表示DDoS攻擊影響到自己的信用評(píng)級(jí)���,還有35%的企業(yè)表示攻擊導(dǎo)致自己所要繳納的保險(xiǎn)費(fèi)增加。
資料外泄
如今使用DDoS作為其他網(wǎng)絡(luò)犯罪活動(dòng)掩護(hù)的情況越來(lái)越多�����,當(dāng)網(wǎng)站被打到快癱瘓時(shí)��,維護(hù)人員的全部精力都在抗DDoS上面�,攻擊者竊取數(shù)據(jù)、感染病毒���、惡意欺騙等犯罪活動(dòng)更容易得手�����。
相關(guān)調(diào)查顯示�,每3個(gè)DDoS事件中就有1個(gè)與網(wǎng)絡(luò)入侵相結(jié)合��。入侵可能導(dǎo)致:22%的企業(yè)在發(fā)生DDoS時(shí)數(shù)據(jù)被盜���,31%的中小型企業(yè)丟失信息����。在攻擊者上傳惡意軟件時(shí)�,也會(huì)常常用 DDoS 攻擊來(lái)引起和轉(zhuǎn)移注意力,在特別敏感的金融行業(yè)中���,43% 的組織或企業(yè)在 DDoS 期間遭受惡意軟件攻擊�,而54%的組織和企業(yè)在4Gbps或更低的輕度DDoS期間受到惡意軟件攻擊�����。并且,每3個(gè)惡意軟件事件中就有2個(gè)數(shù)據(jù)被盜�。這些結(jié)果表明,越來(lái)越多的DDoS攻擊實(shí)際是對(duì)特定目的的針對(duì)性掩護(hù)行為���。
為什么會(huì)發(fā)生DDoS攻擊����?
攻擊者通常出于以下目的實(shí)施DDoS攻擊:
商業(yè)競(jìng)爭(zhēng):部分行業(yè)存在惡意競(jìng)爭(zhēng)(例如游戲行業(yè))����,競(jìng)爭(zhēng)對(duì)手通過(guò)DDoS攻擊破壞對(duì)手的在線服務(wù),導(dǎo)致對(duì)手的客戶大量流程��,以在商業(yè)競(jìng)爭(zhēng)中獲得優(yōu)勢(shì)�����。
敲詐勒索:攻擊者通過(guò)攻擊目標(biāo)網(wǎng)站���,對(duì)網(wǎng)站所有者進(jìn)行勒索��,要求支付贖金才會(huì)停止攻擊�����。
示威或政治動(dòng)機(jī):某些組織或個(gè)人通過(guò)DDoS攻擊進(jìn)行網(wǎng)絡(luò)抗議����,以吸引公眾注意或表達(dá)自己的政治主張等����。
DDoS攻擊的原理
在DDoS攻擊中,攻擊者通過(guò)控制大量的網(wǎng)絡(luò)設(shè)備(例如個(gè)人電腦�����、服務(wù)器��、物聯(lián)網(wǎng)設(shè)備)���,向攻擊目標(biāo)(例如網(wǎng)站�、Web服務(wù)器����、網(wǎng)絡(luò)設(shè)備等)發(fā)出海量的、但并不是出于正常業(yè)務(wù)需要的訪問(wèn)請(qǐng)求�,來(lái)耗盡目標(biāo)系統(tǒng)或網(wǎng)站的資源,讓用戶無(wú)法正常使用該系統(tǒng)或訪問(wèn)該網(wǎng)站,從而達(dá)到破壞網(wǎng)站或在線服務(wù)正常運(yùn)營(yíng)的目的��。
攻擊者可利用惡意軟件或攻擊目標(biāo)系統(tǒng)的漏洞等安全薄弱環(huán)節(jié)����,對(duì)攻擊目標(biāo)方接入互聯(lián)網(wǎng)的設(shè)備(即“傀儡機(jī)”)進(jìn)行控制。同時(shí)��,對(duì)被控制設(shè)備發(fā)送遠(yuǎn)程指令����,讓其對(duì)目標(biāo)網(wǎng)站或服務(wù)發(fā)起DDoS攻擊。被控制設(shè)備的訪問(wèn)流量通常難與正常的訪問(wèn)流量區(qū)分開(kāi)����。
如何識(shí)別DDoS攻擊?
受到DDoS攻擊時(shí)�,網(wǎng)站或服務(wù)的響應(yīng)速度會(huì)突然變慢或無(wú)法訪問(wèn)。有以下跡象時(shí)需警惕是否出現(xiàn)了DDoS攻擊:
網(wǎng)絡(luò)連接正常的情況下�,網(wǎng)站或在線服務(wù)突然無(wú)法訪問(wèn)或訪問(wèn)速度明顯變慢,服務(wù)器突然出現(xiàn)連接斷開(kāi)���、用戶掉線等情況���。
來(lái)自單個(gè)來(lái)源的IP地址或地址范圍的網(wǎng)絡(luò)流量激增���。
服務(wù)器CPU或內(nèi)存占用率出現(xiàn)不明原因的激增。
出現(xiàn)異常流量情況����,比如在非正常的時(shí)間段頻繁出現(xiàn)(例如每隔幾分鐘)流量峰值����。
DDoS 攻擊還有其他更具體的跡象,具體取決于攻擊的類型��,例如網(wǎng)絡(luò)層DDoS攻擊中特定類型的請(qǐng)求(SYN請(qǐng)求)會(huì)突然增多等���。
常見(jiàn)的DDoS攻擊類型
DDoS攻擊類型 | 具體的攻擊類型 | 危害及防護(hù)思路 |
應(yīng)用層攻擊 | CC攻擊
HTTP Get Flood攻擊
HTTP Post Flood攻擊 | 模擬正常的用戶請(qǐng)求,通過(guò)向目標(biāo)服務(wù)器或系統(tǒng)發(fā)送大量正常的HTTP請(qǐng)求,使Web應(yīng)用程序耗盡處理能力���,直接影響Web應(yīng)用的功能和性能��,例如Web響應(yīng)����、訪問(wèn)數(shù)據(jù)庫(kù)����、磁盤讀寫等���。
應(yīng)用層攻擊與正常的業(yè)務(wù)請(qǐng)求沒(méi)有明顯的區(qū)分,所以比較難以辨認(rèn)�。
因此需關(guān)注Web服務(wù)中一些資源消耗較大的任務(wù),比如Web應(yīng)用中的分頁(yè)和分表����、文件的上傳和下載、大文件或多個(gè)文件同時(shí)傳輸�����、后臺(tái)定時(shí)任務(wù)�、資源密集型API調(diào)用、實(shí)時(shí)圖形渲染或復(fù)雜的數(shù)據(jù)可視化等��?��?梢钥紤]對(duì)請(qǐng)求的頻率進(jìn)行限制����,防止過(guò)多請(qǐng)求達(dá)到應(yīng)用程序��,或?qū)?yīng)用程序的資源進(jìn)行管控,避免單一用戶或IP地址消耗過(guò)多資源���。 |
網(wǎng)絡(luò)層或協(xié)議攻擊 | SYN Flood攻擊
ACK Flood攻擊
Smurf DDoS攻擊 | 利用協(xié)議通信的惡意連接請(qǐng)求或偽造連接請(qǐng)求來(lái)耗盡網(wǎng)絡(luò)資源��。TCP通信過(guò)程通過(guò)三次握手建立連接�,其中包括發(fā)送SYN包和ACK包�����。攻擊者會(huì)發(fā)送大量SYN包用于建立TCP的初始連接���,但不完成后續(xù)的握手過(guò)程(即不響應(yīng)服務(wù)器發(fā)回的SYN-ACK包),導(dǎo)致服務(wù)器為了維護(hù)這個(gè)半連接狀態(tài)持續(xù)分配資源�,最終資源耗盡,達(dá)到拒絕服務(wù)的狀態(tài)���。
因此需要配置防火墻規(guī)則��、黑白名單功能來(lái)識(shí)別和阻止異?�;驉阂獾木W(wǎng)絡(luò)流量��。 |
容量耗盡型攻擊 | DNS Flood攻擊
UDP Flood攻擊
ICMP Flood攻擊 | 通過(guò)向攻擊目標(biāo)發(fā)送大量的數(shù)據(jù)包��,消耗目標(biāo)系統(tǒng)的可用帶寬來(lái)造成網(wǎng)絡(luò)擁塞��。
DNS Flood攻擊還可以利用偽造的IP地址向開(kāi)放式DNS服務(wù)器發(fā)出海量的域名查詢請(qǐng)求(虛假請(qǐng)求)�����,讓DNS服務(wù)器無(wú)法響應(yīng)正常的域名查詢請(qǐng)求�����。
因此可以考慮增加足夠的帶寬來(lái)確保受到攻擊時(shí)服務(wù)可用���,或使用CDN來(lái)分散流量���,可在一定程度上緩解攻擊流量帶來(lái)的影響。 |
如何防止DDoS攻擊���?
防止DDoS攻擊的關(guān)鍵是準(zhǔn)確區(qū)分攻擊流量與真實(shí)的用戶流量�,目前面對(duì)各種DDoS攻擊類型����,最常見(jiàn)的解決辦法有兩種:
1、如果攻擊流量不是很大��,那可以直接通過(guò)機(jī)房加大帶寬來(lái)硬抗,但如果是大流量攻擊這種辦法就不太行了���;
2����、遭到大流量攻擊就必須使用專業(yè)的DDoS服務(wù)對(duì)流量進(jìn)行清洗�,分離和攔截惡意流量來(lái)進(jìn)行防御了。企業(yè)可以通過(guò)配置服務(wù)器高防IP��,讓所有的訪問(wèn)先經(jīng)過(guò)高防IP�����,如果有DDOS/CC攻擊��,都會(huì)自動(dòng)識(shí)別清洗����,將正常流量轉(zhuǎn)發(fā)到源服務(wù)器��,保障服務(wù)器穩(wěn)定運(yùn)行�。
目前互聯(lián)網(wǎng)環(huán)境越來(lái)越復(fù)雜,網(wǎng)絡(luò)攻擊變得越來(lái)越頻繁���,對(duì)各大互聯(lián)網(wǎng)企業(yè)造成的影響和損失也越來(lái)越大���,為了保障服務(wù)器的穩(wěn)定運(yùn)行��,建議一定要提早選擇合適的高防產(chǎn)品�����,不要等到服務(wù)器崩潰再想辦法�,到時(shí)的損失就無(wú)法彌補(bǔ)了�����。
阿里云如何為您提供DDoS防護(hù)�?
阿里云為您提供DDoS防護(hù)解決方案,具體包括:
您可參考選型指引��,選擇合適的DDoS防護(hù)產(chǎn)品��。
該文章在 2024/4/22 12:10:54 編輯過(guò)
400 186 1886
