什么是DDoS �����?
DDoS全稱Distributed Denial of Service����,中文意思為“分布式拒絕服務”,俗稱洪水攻擊�,就是利用大量合法的分布式服務器對目標發(fā)送請求,從而導致正常合法用戶無法獲得服務��。
服務:系統(tǒng)提供的�,用戶在對其使用中會受益的功能
拒絕服務:任何對服務的干涉如果使其可用性降低或者失去可用性均稱為拒絕服務
拒絕服務攻擊:是指攻擊者通過某種手段,有意地造成計算機或網(wǎng)絡不能正常運轉從而不能向合法用戶提供所需要的服務或者使得服務質(zhì)量降低
分布式拒絕服務攻擊:處于不同位置的多個攻擊者同時向一個或者數(shù)個目標發(fā)起攻擊��,或者一個或多個攻擊者控制了位于不同位置的多臺機器并利用這些機器對受害者同時實施攻擊,由于攻擊的發(fā)出點是分布在不同地方的��,這類攻擊稱為分布式拒絕服務攻擊
通俗點講就是利用網(wǎng)絡節(jié)點資源如:IDC服務器����、個人PC、手機�、智能設備、打印機�����、攝像頭等對目標發(fā)起大量攻擊請求��,從而導致網(wǎng)絡資源浪費���、鏈路帶寬堵塞、服務器資源耗盡而業(yè)務中斷��,使得無法對外提供正常服務���,只能宣布game over
DDoS攻擊分為3層:攻擊者���、主控端、代理端,三者在攻擊中扮演著不同的角色:
攻擊者:攻擊者所用的計算機是攻擊主控臺��,可以是網(wǎng)絡上的任何一臺主機��,甚至可以是一個活動的便攜機�。攻擊者操縱整個攻擊過程,它向主控端發(fā)送攻擊命令���。
主控端:主控端是攻擊者非法侵入并控制的一些主機�����,這些主機還分別控制大量的代理主機��。主控端主機的上面安裝了特定的程序�,因此它們可以接受攻擊者發(fā)來的特殊指令��,并且可以把這些命令發(fā)送到代理主機上����。
代理端:代理端同樣也是攻擊者侵入并控制的一批主機,它們上面運行攻擊器程序�,接受和運行主控端發(fā)來的命令。代理端主機是攻擊的執(zhí)行者����,真正向受害者主機發(fā)送攻擊��。
攻擊者發(fā)起DDoS攻擊:
第一步:尋找在Internet上有漏洞的主機���,進入系統(tǒng)后在其上面安裝后門程序,攻擊者入侵的主機越多����,他的攻擊隊伍就越壯大。
第二步:在入侵主機上安裝攻擊程序����,其中一部分主機充當攻擊的主控端,一部分主機充當攻擊的代理端�����。
第三步:各部分主機各司其職�,在攻擊者的調(diào)遣下對攻擊對象發(fā)起攻擊�。由于攻擊者在幕后操縱,所以在攻擊時不會受到監(jiān)控系統(tǒng)的跟蹤����,身份不容易被發(fā)現(xiàn)���。
DDoS攻擊現(xiàn)象?
被DDoS攻擊時的現(xiàn)象為:
網(wǎng)絡中充斥著大量的無用的數(shù)據(jù)包
制造高流量無用數(shù)據(jù)�����,造成網(wǎng)絡擁塞����,使受害主機無法正常和外界通訊
利用受害主機提供的服務或傳輸協(xié)議上的缺陷,反復高速的發(fā)出特定的服務請求�,使受害主機無法及時處理所有正常請求
嚴重時會造成系統(tǒng)死機
由于拒絕服務攻擊有的利用了網(wǎng)絡協(xié)議的漏洞,有的則搶占網(wǎng)絡或者設備有限的處理能力��,使得對拒絕服務攻擊的防治成為了一個令管理員非常頭痛的問題���。尤其是目前在大多數(shù)的網(wǎng)絡環(huán)境骨干線路上普遍使用的防火墻�����、負載均衡等設備��,在發(fā)生DDoS攻擊的時候往往成為整個網(wǎng)絡的瓶頸�,造成全網(wǎng)的癱瘓���。
DDoS的攻擊方式
一種服務需要面向大眾就需要提供用戶訪問接口�,這些接口恰恰就給了黑客有可乘之機,如:可以利用TCP/IP協(xié)議握手缺陷消耗服務端的鏈接資源�����,可以利用UDP協(xié)議無狀態(tài)的機制偽造大量的UDP數(shù)據(jù)包阻塞通信信道……可以說���,互聯(lián)網(wǎng)的世界自誕生之日起就不缺乏被DDoS利用的攻擊點�,從TCP/IP協(xié)議機制到CC�����、DNS��、NTP反射類攻擊�,更有甚者利用各種應用漏洞發(fā)起更高級更精確的攻擊。
從DDoS的危害性和攻擊行為來看���,我們可以將DDoS攻擊方式分為以下幾類:
a)資源消耗類攻擊
資源消耗類是比較典型的DDoS攻擊,最具代表性的包括:Syn Flood�、Ack Flood、UDP Flood�。這類攻擊的目標很簡單�����,就是通過大量請求消耗正常的帶寬和協(xié)議棧處理資源的能力�,從而達到服務端無法正常工作的目的�。
防御方法:針對消耗性Flood攻擊,如SYN Flood���、ACK Flood�、UDP Flood�,最有效并可靠的防御方法是:
源認證和資源隔離,即:在客戶端和服務端建立回話時對請求的源進行必要的認證����,并將認證結果形成可靠的白名單或黑名單,進而保證服務端處理業(yè)務的有效性�����。若黑客肉雞足夠多并偽造數(shù)據(jù)包的真實性較高時�,只能通過提升服務端的處理速度和流量吞吐量來達到較好的對抗效果。
b)服務消耗性攻擊
相比資源消耗類攻擊���,服務消耗類攻擊不需要太大的流量�,它主要是針對服務的特點進行精確定點打擊,如web的CC����,數(shù)據(jù)服務的檢索,文件服務的下載等����。這類攻擊往往不是為了擁塞流量通道或協(xié)議處理通道,它們是讓服務端始終處理高消耗型的業(yè)務的忙碌狀態(tài)����,進而無法對正常業(yè)務進行響應,詳細示意圖如下:
攻擊目標包括:大量數(shù)據(jù)運算��、數(shù)據(jù)庫訪問���、大內(nèi)存文件等����。
攻擊特征包括:
只構造請求���,不關心請求結果�,即發(fā)送完請求后立即關閉會話;
持續(xù)請求同一操作�;
qps高��;
防御方法:針對CC的攻擊的防御需要結合具體業(yè)務的特征�,針對具體的業(yè)務建立一系列防御模型,如:連接特征模型�����,客戶端行為模型�,業(yè)務訪問特征模型等,接收請求端統(tǒng)計客戶信息并根據(jù)模型特征進行一系列處理��,包括:列入黑名單�����,限制訪問速率��,隨機丟棄請求等��。
c)反射類攻擊
反射攻擊也叫放大攻擊�����,該類攻擊以UDP協(xié)議為主,常見的攻擊類型包括:NTP��,DNS等�。一般請求回應的流量遠遠大于請求本身流量的大小。攻擊者通過流量被放大的特點以較小的流量帶寬就可以制造出大規(guī)模的流量源�����,從而對目標發(fā)起攻擊�。反射類攻擊嚴格意義上來說不算是攻擊的一種,它只是利用某些服務的業(yè)務特征來實現(xiàn)用更小的代價發(fā)動Flood攻擊����,詳細示意圖如下:
防御方法:針對反射攻擊比較有效的防御手段有:訪問請求限速、反射流限速��、請求行為分析等���,這些防御手段沒法完全過濾攻擊流���,只能達到抑制攻擊的效果。
d)混合型攻擊
混合型攻擊是結合上述幾種攻擊類型����,并在攻擊過程中進行探測選擇最佳的攻擊方式�������;旌闲凸敉殡S這資源消耗和服務消耗兩種攻擊類型特征。
DDoS攻擊危害
按照攻擊對象的不同�����,將對攻擊原理和攻擊危害的分析分成 3 類��,分別是攻擊網(wǎng)絡帶寬資源�、系統(tǒng)以及應用。
DDoS防護手段
DDoS的防護系統(tǒng)本質(zhì)上是一個基于資源較量和規(guī)則過濾的智能化系統(tǒng)����,主要的防御手段和策略包括:
a)資源隔離
資源隔離可以看作是用戶服務的一堵防護盾,這套防護系統(tǒng)擁有無比強大的數(shù)據(jù)和流量處理能力���,為用戶過濾異常的流量和請求�����。如:針對Syn Flood�,防護盾會響應Syn Cookie或Syn Reset認證,通過對數(shù)據(jù)源的認證��,過濾偽造源數(shù)據(jù)包或發(fā)功攻擊的攻擊�,保護服務端不受惡意連接的侵蝕。資源隔離系統(tǒng)主要針對ISO模型的第三層和第四層進行防護�����。資源隔離示意圖如下:
b)用戶規(guī)則
從服務的角度來說DDoS防護本質(zhì)上是一場以用戶為主體依賴抗D防護系統(tǒng)與黑客進行較量的戰(zhàn)爭��,在整個數(shù)據(jù)對抗的過程中服務提供者往往具有絕對的主動權�����,用戶可以基于抗D系統(tǒng)特定的規(guī)則��,如:流量類型�����、請求頻率��、數(shù)據(jù)包特征���、正常業(yè)務之間的延時間隔等������;谶@些規(guī)則用戶可以在滿足正常服務本身的前提下更好地對抗七層類的DDoS,并減少服務端的資源開銷�����。詳細示意圖如下:
c)大數(shù)據(jù)智能分析
黑客為了構造大量的數(shù)據(jù)流�,往往需要通過特定的工具來構造請求數(shù)據(jù)�����,這些數(shù)據(jù)包不具有正常用戶的一些行為和特征���。為了對抗這種攻擊��,可以基于對海量數(shù)據(jù)進行分析����,進而對合法用戶進行模型化�,并利用這些指紋特征,如:Http模型特征��、數(shù)據(jù)來源、請求源等���,有效地對請求源進行白名單過濾����,從而實現(xiàn)對DDoS流量的精確清洗��。
d)資源對抗
資源對抗也叫“死扛”�,即通過大量服務器和帶寬資源的堆砌達到從容應對DDoS流量的效果
從 tcp/udp 協(xié)議棧原理介紹 DDoS 防護原理:
DDoS防護困難
一方面,在過去十幾年中�����,網(wǎng)絡基礎設施核心部件從未改變��,這使得一些已經(jīng)發(fā)現(xiàn)和被利用的漏洞以及一些成成熟的攻擊工具生命周期很長����,即使放到今天也依然有效。另一方面����,互聯(lián)網(wǎng)七層模型應用的迅猛發(fā)展,使得DDoS的攻擊目標多元化���,從web到DNS����,從三層網(wǎng)絡到七層應用,從協(xié)議棧到應用App����,層出不窮的新產(chǎn)品也給了黑客更多的機會和突破點。再者DDoS的防護是一個技術和成本不對等的工程����,往往一個業(yè)務的DDoS防御系統(tǒng)建設成本要比業(yè)務本身的成本或收益更加龐大,這使得很多創(chuàng)業(yè)公司或小型互聯(lián)網(wǎng)公司不愿意做更多的投入�����。
黑客為什么選擇DDoS�����?
不同于其他惡意篡改數(shù)據(jù)或劫持類攻擊��,DDoS簡單粗暴�,可以達到直接摧毀目標的目的����。另外�,相對其他攻擊手段DDoS的技術要求和發(fā)動攻擊的成本很低���,只需要購買部分服務器權限或控制一批肉雞即可���,而且攻擊相應速度很快,攻擊效果可視���。另一方面�,DDoS具有攻擊易防守難的特征�,服務提供商為了保證正常客戶的需求需要耗費大量的資源才能和攻擊發(fā)起方進行對抗���。這些特點使得DDoS成為黑客們手中的一把很好使的利劍���,而且所向霹靂。
從另一個方面看���,DDoS雖然可以侵蝕帶寬或資源����,迫使服務中斷,但這遠遠不是黑客的正真目的�����。所謂沒有買賣就沒有殺害�����,DDoS只是黑客手中的一枚核武器���,他們的目的要么是敲詐勒索�����、要么是商業(yè)競爭����、要么是要表達政治立場�。在這種黑色利益的驅(qū)使下���,越來越多的人參與到這個行業(yè)并對攻擊手段進行改進升級�����,致使DDoS在互聯(lián)網(wǎng)行業(yè)愈演愈烈���,并成為全球范圍內(nèi)無法攻克的一個頑疾��。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡舉報APP下載
