DDoS中文為“分布式拒絕服務(wù)”,就是利用大量合法的分布式服務(wù)器對目標(biāo)發(fā)送請求�,從而導(dǎo)致正常合法用戶無法獲得服務(wù)。通俗點講就是利用網(wǎng)絡(luò)節(jié)點資源如:服務(wù)器、個人PC��、手機��、智能設(shè)備��、打印機��、攝像頭等對目標(biāo)發(fā)起大量攻擊請求��,從而導(dǎo)致服務(wù)器擁塞而無法對外提供正常服務(wù)���。
不同于其他惡意篡改數(shù)據(jù)或劫持類攻擊�,DDoS簡單粗暴���,可以達(dá)到直接摧毀目標(biāo)的目的�。另外����,相對其他攻擊手段DDoS的技術(shù)要求和發(fā)動攻擊的成本很低,只需要購買部分服務(wù)器權(quán)限或控制一批肉雞即可�����,而且攻擊相應(yīng)速度很快,攻擊效果可觀��。另一方面���,DDoS具有攻擊易防守難的特征��,服務(wù)提供商為了保證正���?蛻舻男枨笮枰馁M大量的資源才能和攻擊發(fā)起方進行對抗。
為了了解不同的DDoS攻擊如何工作�,有必要知道如何建立網(wǎng)絡(luò)連接�;ヂ(lián)網(wǎng)上的網(wǎng)絡(luò)連接由許多不同的組件或“層”組成。就像從頭開始建造房屋一樣���,模型中的每個步驟都有不同的用途��,如下圖:
盡管幾乎所有的DDoS攻擊都涉及到目標(biāo)設(shè)備或網(wǎng)絡(luò)的流量�,但攻擊一般可以分為下面三類�。
應(yīng)用層攻擊
應(yīng)用層攻擊利用了網(wǎng)絡(luò)協(xié)議棧第6、7層中的弱點�����,針對特定的應(yīng)用而不是整個服務(wù)器進行攻擊��,他們常見的目標(biāo)端口和服務(wù)是DNS和HTTP服務(wù)����。有時也稱為第7層DDoS攻擊(相對于OSI模型的第7層),這些攻擊的目標(biāo)是耗盡目標(biāo)的資源�。攻擊針對的是服務(wù)器上生成網(wǎng)頁并響應(yīng)HTTP請求而進行傳遞的應(yīng)用層。單個HTTP請求在客戶端執(zhí)行的成本很低�����,而目標(biāo)服務(wù)器響應(yīng)的成本可能很高��,因為服務(wù)器通常必須加載多個文件并運行數(shù)據(jù)庫查詢才能創(chuàng)建網(wǎng)頁��。第7層攻擊很難防御�,因為流量很難標(biāo)記為惡意流量。
應(yīng)用層攻擊示例:HTTP Flood
這種攻擊類似于在許多不同的計算機上一次又一次地在瀏覽器中按下刷新導(dǎo)致大量HTTP請求泛濫到服務(wù)器上����,把服務(wù)器的資源耗盡,從而導(dǎo)致拒絕服務(wù)�����。
攻擊者通過代理或僵尸主機向目標(biāo)服務(wù)器發(fā)起大量的HTTP報文,請求涉及數(shù)據(jù)庫操作的URI(Universal Resource Identifier)或其它消耗系統(tǒng)資源的URI����,造成服務(wù)器資源耗盡,無法響應(yīng)正常請求����。
協(xié)議攻擊
協(xié)議攻擊是利用網(wǎng)絡(luò)協(xié)議工作機制的弱點進行攻擊的一種方式,協(xié)議攻擊(也稱為狀態(tài)耗盡攻擊)通過消耗Web應(yīng)用程序服務(wù)器或防火墻和負(fù)載平衡器之類的中間資源的所有可用狀態(tài)表容量���,導(dǎo)致服務(wù)中斷�����。協(xié)議攻擊利用協(xié)議棧的第3層和第4層中的弱點使目標(biāo)無法訪問�����。
協(xié)議攻擊示例:SYN Flood
該攻擊利用TCP協(xié)議缺陷����,通過向目標(biāo)發(fā)送大量帶有欺騙性源IP地址的TCP“初始連接請求” SYN數(shù)據(jù)包來進行TCP握手�。目標(biāo)計算機會響應(yīng)每個連接請求,然后等待握手的最后一步(此過程永遠(yuǎn)不會發(fā)生)�,從而耗盡了目標(biāo)服務(wù)器的資源�����。
攻擊者試圖耗盡目標(biāo)網(wǎng)絡(luò)/服務(wù)內(nèi)部的帶寬、目標(biāo)網(wǎng)絡(luò)/服務(wù)與互聯(lián)網(wǎng)之間的帶寬�����。也叫反射攻擊或者放大攻擊�,該類攻擊以UDP協(xié)議為主,一般請求回應(yīng)的流量遠(yuǎn)遠(yuǎn)大于請求本身流量的大小�。攻擊者通過流量被放大的特點以較小的流量帶寬就可以制造出大規(guī)模的流量源,從而對目標(biāo)發(fā)起攻擊�。耗盡可用帶寬來造成擁塞。
通常�,可以用于放大反射攻擊的服務(wù)包括DNS服務(wù)、NTP服務(wù)�、SSDP服務(wù)、Chargen服務(wù)��、Memcached等���。利用很少的帶寬即可發(fā)起流量巨大的DDoS攻擊�,通過流量放大可以將攻擊流量放大50~100倍�����,1Gbps攻擊流量經(jīng)過放大可以達(dá)到100Gbps甚至更多,可以輕易淹沒用戶側(cè)昂貴的公網(wǎng)接入鏈路帶寬���,最常見的attacks如下:
大流量攻擊示例:DNS放大攻擊
攻擊者利用開放式DNS解析器的功能,以便使大量的流量壓倒目標(biāo)服務(wù)器或網(wǎng)絡(luò)���。通過向具有欺騙性IP地址(目標(biāo)的真實IP地址)的開放DNS服務(wù)器發(fā)出請求�,目標(biāo)IP地址將收到來自DNS服務(wù)器的響應(yīng)���。攻擊者構(gòu)造請求��,以便DNS服務(wù)器以大量數(shù)據(jù)響應(yīng)目標(biāo)��。耗盡可用帶寬來造成擁塞����。
緩解DDoS攻擊的關(guān)鍵問題是區(qū)分攻擊和正常流量。例如�,如果某個公司新產(chǎn)品發(fā)布的網(wǎng)站充斥著熱切的客戶,那么切斷所有流量就是一個錯誤����。如果該公司的突然流量來自已知的不良行為者�,則可能有必要采取措施緩解攻擊。困難在于它難以區(qū)分真正的客戶和攻擊流量���。
在現(xiàn)代互聯(lián)網(wǎng)中����,DDoS流量以多種形式出現(xiàn)�����。流量在設(shè)計上可能有所不同�����,從未經(jīng)欺騙的單源攻擊到復(fù)雜的自適應(yīng)multi-vectorattacks.(混合矢量攻擊或叫混合DDoS攻擊)��;旌螪DoS攻擊使用多種攻擊途徑��,以不同的方式壓倒目標(biāo)�����,從而可能分散任何一條軌道上的緩解努力��。這種攻擊同時針對協(xié)議棧的多層�����,例如DNS放大(目標(biāo)層3/4)與HTTP Flood(目標(biāo)層7)耦合��。常見的緩解DDoS攻擊的方法有下面幾種:
黑洞路由
幾乎所有網(wǎng)絡(luò)管理員都可以使用的解決方案是創(chuàng)建黑洞路由��,并將流量匯入該路由�。以最簡單的形式,當(dāng)在沒有特定限制條件的情況下實施黑洞過濾時���,合法和惡意網(wǎng)絡(luò)流量都會路由到空路由或黑洞���,并從網(wǎng)絡(luò)中丟棄��。
黑洞路由最大的好處是充分利用了路由器的包轉(zhuǎn)發(fā)能力�����,對系統(tǒng)負(fù)載影響非常小��。
限速
限制服務(wù)器在特定時間范圍內(nèi)接受的請求數(shù)量也是減輕DDoS攻擊的一種方法�����。雖然速率限制有助于減緩Web爬蟲竊取內(nèi)容的速度并減輕暴力登錄嘗試��,但僅靠速率限制可能不足以有效地處理復(fù)雜的DDoS攻擊。但是���,速率限制是有效的DDoS緩解策略中有用的組成部分�����。
Web應(yīng)用防火墻
Web應(yīng)用程序防火墻(WAF)是一種工具�����,可以幫助緩解第7層DDoS攻擊���。通過將WAF放在Internet和原始服務(wù)器之間����,WAF可以充當(dāng)反向代理��,從而保護目標(biāo)服務(wù)器免受某些類型的惡意流量的侵害��。通過基于用于識別DDoS工具的一系列規(guī)則過濾請求��,可以阻止第7層攻擊��。有效的WAF的一個關(guān)鍵價值是能夠快速實施自定義規(guī)則以應(yīng)對攻擊�。
Anycast網(wǎng)絡(luò)擴散
Anycast技術(shù)是一種網(wǎng)絡(luò)尋址和路由方法。在Anycast尋址過程中. 流量會被導(dǎo)向網(wǎng)絡(luò)撲結(jié)構(gòu)上最近的節(jié)點, 在這個過程中, 攻擊者并不能對攻擊流量進行操控,因此攻擊流量將會被分散并稀釋到最近的節(jié)點上��,每一個節(jié)點上的資源消耗都會減少�����。這種緩解方法使用Anycast網(wǎng)絡(luò)將攻擊流量分散到分布式服務(wù)器網(wǎng)絡(luò)中�,直至網(wǎng)絡(luò)吸收流量。就像將一條湍急的河流沿著單獨的較小河道引導(dǎo)一樣���,這種方法將分布式攻擊流量的影響分散到可以控制的程度���,從而分散了任何破壞性能力���。
面對DDoS攻擊威脅,早期的用戶通常在本地網(wǎng)絡(luò)邊界處部署一些抗DDoS攻擊的硬件設(shè)備����,對進入本地網(wǎng)絡(luò)的流量進行實時檢測,一旦發(fā)現(xiàn)帶有攻擊特征流量則進行阻斷或者丟棄���,這樣做的確可以起到一定程度的DDoS緩解作用��。但ROI低�,TCO高��,對耗盡網(wǎng)絡(luò)帶寬的DDoS攻擊無能為力�����。如今云計算越來越成為主流���,目前主流的DDoS攻擊流量緩解服務(wù)有以下幾種方式:
1.由DDoS設(shè)備廠商提供云清洗+本地清洗服務(wù)。
DDoS設(shè)備廠商利用自身技術(shù)和設(shè)備優(yōu)勢,在某些網(wǎng)絡(luò)區(qū)域建設(shè)流量清洗云節(jié)點��,為本區(qū)域內(nèi)的用戶提供流量清洗服務(wù)����。
2.由CDN服務(wù)提供商提供流量清洗服務(wù)。
CDN主要用于網(wǎng)絡(luò)加速�,提高用戶訪問網(wǎng)站的響應(yīng)速度,CDN類似于給被保護目標(biāo)增加了一個大規(guī)模分布式緩存層���,對于防御各種資源消耗型流量型網(wǎng)絡(luò)攻擊有很好的效果���。單獨一個用戶的硬件資源和帶寬有限,很快就會被DDoS攻擊消耗掉��,但高防CDN加速的資源要比單獨一個用戶多得多����,有能力應(yīng)對一定程度的DDoS攻擊,因此免費CDN服務(wù)商在CDN基礎(chǔ)服務(wù)外通常都會提供DDoS防護增值服務(wù)�。CDN服務(wù)商可以通過DNS重定向方式或者BGP方式牽引攻擊流量,通過DNS智能調(diào)度攻擊流量��,將攻擊流量化整為零并分散到各個CDN節(jié)點上進行處理�,減少單一節(jié)點資源不足被攻擊流量打垮的風(fēng)險�����;通過高防CDN加速防御DDoS攻擊���,需要隱藏好源站IP,如果攻擊者獲取到源站IP就可以無視CDN的存在而直接針對源IP發(fā)起DDoS透傳攻擊��,為了更有效的防御此類攻擊��,可以在源站IP前再增加一層保護�,例如WAF等設(shè)備。
3.由公有云服務(wù)商提供DDoS防護云服務(wù)�����。
公有云服務(wù)商一般提供免費的基礎(chǔ)防護和需要付費的高級防護�。免費的基礎(chǔ)防護不承諾防護的效果。如果攻擊的強度過大�����,影響到了云平臺本身��,則存在屏蔽公網(wǎng) IP 的可能或者直接丟入黑洞���。
4.由運營商提供流量清洗服務(wù)�����。
運營商是骨干網(wǎng)��、城域網(wǎng)���、接入網(wǎng)的擁有者和運營者,負(fù)責(zé)除了專線網(wǎng)絡(luò)以外所有流量的互聯(lián)和轉(zhuǎn)發(fā)�����,所有流量在進入用戶本地網(wǎng)絡(luò)前和離開用戶本地網(wǎng)絡(luò)后��,都要經(jīng)過運營商網(wǎng)絡(luò)的轉(zhuǎn)發(fā)�,簡單地講,運營商可以看見所有進出網(wǎng)絡(luò)的流量��,因此在大流量攻擊檢測和防御方面具有天然的先發(fā)優(yōu)勢��,結(jié)合運營商的其它網(wǎng)絡(luò)安全專業(yè)服務(wù)(態(tài)勢感知服務(wù)����、威脅情報服務(wù)等)���,能夠起到更好的預(yù)警、檢測與防御效果����。
現(xiàn)代化DDoS攻擊手段不斷翻新,一般要綜合采用不同的技術(shù)和服務(wù)來進行DDos防護��。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
