1.DDoS是什么��?
分布式拒絕服務攻擊(Distributed Denial of Service)簡稱DDoS�����,亦稱為阻斷攻擊或洪水攻擊��,是當前互聯網非常常見的一種攻擊形式���。DDoS攻擊通常通過來自大量受感染的計算機(即僵尸網絡)的流量����,對目標網站或整個網絡進行帶寬或資源消耗����,使目標無法處理大量數據包����,導致服務中斷或停止��。
相比其他網絡攻擊手段����,DDoS攻擊簡單粗暴�,攻擊響應速度快����,可以達到快速摧毀目標的目的���,另外DDoS的技術要求和攻擊的成本很低���,只需要購買部分服務器權限或控制一批肉雞即可����。DDoS雖說可以侵蝕帶寬或資源�����,導致目標服務中斷����,但DDoS很可能只是黑客手中的一枚核武器��,他們的目的或是敲詐勒索���、或是商業競爭��、或是其他惡意目的���。
近幾年��, DDoS攻擊從規模和頻率上都有不斷攀升的態勢��,由攻擊造成的網絡大面積癱瘓�����、各類服務不可用等�����,嚴重威脅企業正常生產秩序���,給企業造成運營癱瘓�����、失去業務機會等不可估量的經濟損害����。
DDoS攻擊示意圖
2.DDoS攻擊有哪些方式�����?
常見的DDoS攻擊方式有以下幾種:
(1) SYN Flood攻擊:利用TCP協議實現上的一個缺陷��,通過向網絡服務所在端口發送大量的偽造源地址的攻擊報文�, 使得被攻擊方資源耗盡 ���,從而阻止其他用戶進行訪問���;
(2)UDP Flood攻擊:UDP是網絡通信的標準協議�����,由于UDP數據包是無鏈接狀態的服務��,相對TCP而言�,存在更少的錯誤檢查和驗證�。攻擊者可以更小代價的利用UDP 協議特性攻擊目標主機���,使其無法響應正確請求����,甚至會導致線路擁塞��。
(3)ICMP Flood攻擊: 利用大的流量給服務器帶來較大的負載�,使目標網絡大面積癱瘓�����,無法正常服務��。
(4)UDP DNS Query Flood攻擊:攻擊者向攻擊目標服務器發送大量的域名解析請求��,發送的請求解析的域名是隨機生成或不存在的域名���。 解析過程給服務器帶來很大的負載���,每秒鐘域名解析請求超過一定的數星就會造成DNS服務器解析域名超時��。
(5)CC攻擊:攻擊者借助代理服務器生成指向受害主機的合法請求���,實現DDOS和偽裝����。CC攻擊是一種針對Http業務的攻擊手段����,該攻擊模式不需要太大的攻擊流量��,它是對服務端業務 處理瓶頸的精確打擊�����,攻擊目標包括:大量數據運算���、數據庫訪問����、大內存文件等����,攻擊者控制某些主機不停地發大量數據包給對方服務器造成服務器資源耗盡�,一直到宕機崩潰���。
3.目前DDoS攻擊發展趨勢�����?
如今DDoS攻擊格局正發生著巨大的變化�����,包括攻擊動機的不斷變化�����、攻擊的體量迅速增大���、攻擊的種類日漸繁雜等特點����。 DDoS領域目前有以下幾個趨勢:
(1)攻擊發起呈現全球化趨勢���;
(2)IoT設備被控制作為攻擊源��;
(3)應用層CC仍然是防護的難點����;
(4)有組織的黑客攻擊�。
4. 針對DDoS攻擊有什么防御手段�����?
針對不同的攻擊類型需要有不同的DDoS防御方法�。DDoS的防御系統其本質上是一個基于資源較量和規則過濾的智能化系統��,同時加強對系統的檢測���,主要的防御方法和策略包括:
(1)資源隔離:資源隔離可以看做是用戶服務的防護盾����,這套防御系統有著強大的數據和流量處理能力����,過濾異常的流量和請求�����。如:針對SynFlood��,防護盾會響應SynCookie或SynReset認證��,通過對數據源的認證����,過濾偽造源數據包或攻擊�����,保護服務端不受惡意連接的侵蝕�����。資源隔離系統主要針對ISO模型的第三層和第四層進行防護��。
(2)用戶規則:DDoS防護本質上是一場以用戶為主體依賴抗D防護系統與黑客進行較量的戰爭�����,在整個數據對抗的過程中服務提供者往往具有絕對的主動權��,用戶可以基于抗D系統特定的規則�,如:流量類型�、請求頻率�、數據包特征�、正常業務之間的延時間隔等�?�;谶@些規則用戶可以在滿足正常服務本身的前提下更好地對抗七層類的DDoS����,并減少服務端的資源開銷�。
(3)大數據智能分析:黑客為了構造大量的數據流�����,往往需要通過特定的工具來構造請求數據��,這些數據包不具有正常用戶的一些行為和特征��。為了對抗這種攻擊�����,可以基于對海量數據進行分析����,進而對合法用戶進行模型化�����,并利用這些指紋特征����,如:Http模型特征���、數據來源����、請求源等����,有效地對請求源進行白名單過濾����,從而實現對DDoS流量的精確清洗��。
(4)資源對抗:資源對抗也叫“死扛”�,即通過大量服務器和帶寬資源的堆砌達到從容應對DDoS流量的效果����。
5.建議:
如今的DDoS攻擊越來越普遍��,每天都有各式各樣的攻擊不斷在各處上演����,攻擊的流量也已經從G級別上升到T級別����,一頓飯的價格���,一支煙的時間��,就可以給企業造成難以估計的經濟損失和品牌受損�����。尤其是游戲類���,金融類��,電商類����,都屬于DDoS攻擊的重災區���,網易易盾安全首席架構師沈明星建議容易遭到攻擊的企業如此增加自身的實力:
(1)DDoS是資源的對抗����,因此要做系統的儲備���、系統的優化����。
(2)在設計應用時�,可以做有些動靜分離����,把一些靜態的資源分拆到CDN�����,動態的資源微服務化��,不要有很重的請求——特別耗資源的話��,會成為短板�����,黑客就會死揪這個短板�。
(3)可以考慮使用第三方平臺DDoS高防產品�����,尤其是在有人特意搞破壞的情況下���。哪怕平時不用����,也可以當做儲備�,遇到大流量攻擊時����,就可以甩到云端的清洗上去�,做到一個立體的多層次防護����。
