在互聯(lián)網(wǎng)迅猛發(fā)展的今天,因為攻擊成本低�、效果明顯,DDoS攻擊仍是目前互聯(lián)網(wǎng)用戶面臨的較常見����、影響較嚴重的網(wǎng)絡(luò)安全威脅之一。但是DDoS從何而來�,這就要從另一個D說起...
拒絕服務(wù)攻擊——DoS
分布式拒絕服務(wù)(Distributed Denial of Service,DDoS)攻擊,其實是一種基于傳統(tǒng)的
DoS 攻擊的攻擊方式����。DoS 最初是一種網(wǎng)絡(luò)測試工具,而不是一種網(wǎng)絡(luò)攻擊方式����。它可以用來測試網(wǎng)絡(luò)設(shè)備的運行能力、網(wǎng)絡(luò)的最大帶寬��、服務(wù)器的最大負載能力等���,我們使用計算機接觸最頻繁的也是DoS�����。隨后 DoS 技術(shù)被黑客利用成為一種網(wǎng)絡(luò)攻擊�����。
拒絕服務(wù)(Denial ofService.DoS)攻擊���,是指一個或多個攻擊源在一段時間內(nèi)利用系統(tǒng)或協(xié)議的漏洞或缺陷��,采取偽裝或欺騙的方式來消耗系統(tǒng)有限的不可恢復的資源��,從而使合法用戶的服務(wù)性能降低或遭到拒絕����。
DoS 攻擊簡單有效���,能夠迅速產(chǎn)生效果。常見的 DoS 攻擊方法有 SYN Flood��、UDP Flood��、ICMP Flood�����、Ping of Death、Teardropt 等��。網(wǎng)絡(luò)帶寬問題是 DoS 攻擊面臨的難題之一�����,單一的 DoS 攻擊一般采用一對一的方式����,當攻擊目標的內(nèi)存小,CPU處理能力弱或網(wǎng)絡(luò)帶寬等各項性能指標不高時�����,攻擊效果非常明顯���。隨著計算機與網(wǎng)絡(luò)技術(shù)的發(fā)展���,計算機的處理能力大幅度增強,內(nèi)存大大增長��,同時也出現(xiàn)了千兆級的網(wǎng)絡(luò),這意味著攻擊目標的“消化能力”加強了�����,例如攻擊者每秒鐘向受害者發(fā)送 2000 個攻擊包,而主機與網(wǎng)絡(luò)帶寬的處理能力在每秒鐘 10000個攻擊包以上����,這樣的 DoS 攻擊就不會產(chǎn)生明顯的效果。黑客為了克服這個缺點��,分布式拒絕服務(wù)(DDoS)攻擊應運而生����。
分布式拒絕服務(wù)攻擊——DDoS
分布式拒絕服務(wù)(Distributed Denial of Service,DDoS)攻擊,它采用分布的方式聯(lián)合或控制網(wǎng)絡(luò)上能發(fā)動 DoS 攻擊的若干主機在某一特定時間發(fā)動攻擊����,產(chǎn)生數(shù)以百萬計的數(shù)據(jù)分組流入攻擊目標,致使受害主機或網(wǎng)絡(luò)極度擁塞�,從而造成目標系統(tǒng)的癱瘓。DDoS 攻擊是在傳統(tǒng)的 DoS攻擊基礎(chǔ)上形成的一種攻擊方式�����。雖然二者使用的攻擊方法形同�����,但DDoS 攻擊的攻擊源有多個�,其目的是攻陷互聯(lián)網(wǎng)上的多個計算機系統(tǒng)。
DDoS 攻擊已經(jīng)由最初的若干個獨立安全事件演變發(fā)展為可以在短時間內(nèi)影響全球的主要安全隱患��,引起全世界的關(guān)注�����。
DDoS 攻擊原理及過程
DDoS 攻擊是一種特殊的 DoS 攻擊���,它采用分布��、協(xié)作的大規(guī)模攻擊方式直接或間接的通過互聯(lián)網(wǎng)上其他受控制的計算機攻擊目標系統(tǒng)或者網(wǎng)絡(luò)資源的可用性�,具有極高的隱蔽性和極強的破壞性相當于DoS的升級版�����。在發(fā)動 DDoS 攻擊的時候���,攻擊者可以通過多種方法達到拒絕服務(wù)攻擊的目的�����,這些方法包括:消耗有限的服務(wù)資源���,更改或破壞關(guān)鍵信息的設(shè)置��,物理破壞服務(wù)設(shè)備等����。
一個基本的 DDoS 攻擊體系包括黑客主機(Attacker)��、控制服務(wù)器(Handler)�、攻擊執(zhí)行器(Agent)、和受害主機(Victim)四部分���。在整個攻擊體系中最重要的是控制和攻擊傀儡機���,它們分別起控制攻擊和實際發(fā)起攻擊的作用。
通常黑客在發(fā)起 DDoS 攻擊時,首先是在網(wǎng)絡(luò)上尋找有漏洞的主機并試圖入侵����,如果入侵成功就在其上安裝木馬程序或后門:然后在各入侵主機上安裝攻擊軟件,包括攻擊服務(wù)器和攻擊執(zhí)行器兩種攻擊軟件;最后黑客從控制臺向各控制服務(wù)器發(fā)出對某一特定目標的攻擊命令�,制造數(shù)以百萬計的數(shù)據(jù)分組流入受害主機,致使目標主機極度擁塞����,從而造成目標主機的癱瘓��。
據(jù)CNCERT 監(jiān)測發(fā)現(xiàn),我國2021年上半年境內(nèi)目標遭受峰值流量超過 Gbps的大流量攻擊事件的主要攻擊方式為 TCPSYN Flood���、UDP Flood��、NTP Amplification�、DNS Amplification����、 TCP ACK Flood 和 SSDP Amplification,這6種攻擊的事件占比達到96.1%;攻擊目標主要位于浙江省�����、山東省�、江蘇省、廣東省�����、北京市�����、福建省、上海市等地區(qū)���,這7個地區(qū)的事件占比達到81.7%;1月份是上半年攻擊最高峰��,攻擊較為活躍;數(shù)據(jù)顯示攻擊時長不超過 30分鐘的攻擊事件占比高達 96.6%����,此類攻擊比例進一步上升�,表明攻擊者越來越傾向利用大流量攻擊,瞬間打癱攻擊目標����,以便對外提供更多服務(wù)并非法獲利。DDoS難以預防主要體現(xiàn)在以下幾點:
(1)分布式
DDoS 攻擊是通過聯(lián)合或控制分布在不同地點的若干臺攻擊機向受害主機發(fā)起的協(xié)同攻擊�����。分布式的特點不僅增加了攻擊強度��,更加大了抵御攻擊的難度��。
(2)易實施
在現(xiàn)實網(wǎng)絡(luò)中��,充斥著大量的 DDoS 攻擊工具,它們大多方便快捷�,易于利用。
即使是手段不甚高明的攻擊者��,也可以直接從網(wǎng)絡(luò)上下載工具組織攻擊���。
(3)欺騙性
偽造源IP地址可以達到隱蔽攻擊源的目的,而普通的攻擊源定位技術(shù)難以對這種攻擊實現(xiàn)追蹤�����。準確定位攻擊源��,是識別偽造源IP的重點����,當前的大部分IP定位技術(shù)大多都只能定位到攻擊網(wǎng)絡(luò)邊界路由器或代理主機。
(4)隱蔽性
對于一些特殊的攻擊包��,它們的源地址和目標地址都是合法的�����。例如在 HTTPFlood 攻擊中�����,就可以利用真實的 IP 地址發(fā)動 DDoS 攻擊。這種貌似合法的攻擊包沒有明顯的特征����,因而難以被預防系統(tǒng)識別,使得攻擊更隱蔽�,更難追蹤,所以怎樣識別惡意IP����,甚至是動態(tài)惡意IP至關(guān)重要。
(5)破壞性
DDoS 攻擊借助大量的傀儡主機向目標主機同時發(fā)起攻擊�,攻擊流經(jīng)過多方匯集后可能變得非常龐大。另外����,加上它兼具分布性,隱蔽性及欺騙性等特點�����,使其不僅能避過常規(guī)的防御系統(tǒng)����,甚至還會造成嚴重的經(jīng)濟損失�。
新技術(shù)的不斷催生���,導致 DDoS 攻擊結(jié)合新技術(shù)演變出多種類型�,攻擊者不再滿足于單一類的攻擊���,而是使用多種攻擊相結(jié)合的方法����。如 DDoS 結(jié)合 IoT 的攻擊���,通過感染大量的物聯(lián)網(wǎng)設(shè)備發(fā)起流量高達 1TB 每秒的攻擊。圖片顯示了 2017 年到 2019 年間最頻繁的三種DDoS 攻擊:應用層攻擊的占比也在不斷地增長����,其中 SSDP 反射攻擊和 DNS 反射攻擊分別在 2018 年和2019 年達到第一。
而且網(wǎng)絡(luò)層的攻擊依然活躍���,對于缺乏防御的主機�,網(wǎng)絡(luò)層攻擊帶來的效果仍然十分顯著�。這類混合攻擊破壞性更大,同時更加難以防御�。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
