隨著網際網路與資訊科技的發展,所有人都在享受網際網路帶來的舒適和便利。如今,無論是個人社交行為,還是商業活動都早已離不開網際網路。
但是,網路空間在創造機遇的同時,也帶來了威脅。隨著企業價值、知名度的提高、官方網站、線上交易平臺、使用者登入頁面皆為攻擊者之首選目標,而最常見的攻擊手法就是 DDoS 。DDoS 攻擊讓許多廠商與企業感到束手無策的同時,還遭受了巨大的損失。而且通過這些年的發展,DDoS 攻擊手法還變得越來越多元且難以防範,它已經成為不同組織和個人的攻擊形式之一,用於網路中的勒索、報復,甚至網路戰爭。
本篇文章就帶大家認識一下常見的 DDoS 攻擊手法,以及遇到攻擊後要如何進行防禦應變。
什麼是 DDoS 攻擊?
DDoS 攻擊全名為 Distributed Denial-of-Service Attack,又稱為分散式拒絕服務攻擊,是舊時 DoS 攻擊(Denial-of-Service Attack,拒絕服務攻擊)的擴大版,其目的是以各種攻擊手法,讓網路系統的功能癱瘓或資源耗盡,迫使網頁或伺服器中斷服務,導致正常的使用者無法使用網頁功能和使用服務。
早期的電腦不如今日發達,只要攻擊方電腦效能高於被攻擊方,一對一的 DoS 攻擊很容易達到目的。現如今很多大型企業具備較強的服務提供能力,所以應付單個請求的攻擊已經不是問題。
既然一打一行不通了,那就群毆。攻擊者會組織很多同夥,同時提出服務請求,直到服務無法訪問,這也就是名稱中“分散式”的由來。但是,在現實中,一般的攻擊者無法組織各地夥伴協同“作戰”,所以會使用“殭屍網路”來控制眾多計算機進行攻擊。
殭屍網路感染了惡意軟體的計算機,以及其它可聯網資源,例如 IoT 裝置。這些殭屍主機接收攻擊者控制命令,從而構建出一隻數量龐大的殭屍主機(Bot)軍隊,同時間對同一目標發動特定型別攻擊,將被攻擊者的網路資源及系統資源耗盡,導致無法為真正的使用者提供服務。這也是名稱中“阻止服務”的由來。
因為殭屍主機的數量很大而且分佈廣泛,又都是合法的網路裝置,因此很難將攻擊流量與正常流量分開,其危害程度和防禦難度都很大。
上圖是每年雙十一淘寶伺服器癱瘓的新聞。眾多使用者使用服務造成的流量洪峰,某種角度來說等同於一次大型的 DDoS 攻擊。
如何識別 DDoS 攻擊
DDoS 攻擊最明顯的特徵就是站點或服務突然變慢或不可用。但是,實際業務中,由於多種原因(如業務流量的合理激增,例如遊戲檔案更新)也會造成類似的效能問題,因此通常需要進一步確認。以下是 DDoS 攻擊的一些明顯跡象:
-
來自單個 IP 地址或 IP 範圍的可疑訪問;
-
對單個頁面或介面的請求數量激增;
-
不尋常的流量模式,例如一天中在凌晨突然出現流量高峰,或某種不符合業務的流量高峰(例如,每 10 分鐘出現一次高峰)
DDoS 攻擊還有其它更具體的跡象,具體取決於攻擊的型別。
DDoS 的攻擊方式
頻寬消耗型攻擊
通過傳送大量無效、或惡意放大流量的資料請求,堵塞被攻擊的伺服器頻寬,使其達到飽和狀態,讓正常使用者無法進入,甚至造成網頁當機癱瘓,達到拒絕服務的目的。
像是常見的 UDP 洪水攻擊(即傳送使用者資料包協議的大包或小包)、ICMP 洪水攻擊(即傳送大量 ICMP 相關報文);生成超過 IP 協議中規定的最大的資料長度,導致系統當機的死亡之 Ping,皆屬於此類。
資源消耗型攻擊
有別於頻寬消耗型的 DDoS 攻擊,資源消耗型攻擊是讓被攻擊方的伺服器不斷進行反覆的無效運作,導致網頁資源被耗盡,無法再響應正常使用者的請求,從而達到拒絕服務的目的。
這種型別的典型 DDoS 攻擊手法,如 SYN 洪水攻擊。我們都知道建立 TCP 連線需要客戶端與伺服器進行三次互動,也就是常說的“三次握手”。而這個資訊通常被儲存在伺服器連線表結構中,但是表的大小有限,當超過儲存量時,伺服器就無法建立新的 TCP 連線。
而 SYN 洪水攻擊就表現為,對伺服器提出建立 TCP 握手請求後故意切斷網路,讓伺服器持續發出請求並等待回覆,從而導致伺服器資源不斷消耗。甚至更進一步,如果將 SYN 洪水攻擊中發起請求的 IP 來源,設定為被攻擊伺服器的 IP 地址,就會讓伺服器不斷的自我響應,直到資源耗盡,這就是常見的 LAND 攻擊手法。
除此之外,還有利用大量伺服器對被攻擊方提出模擬 HTTP 正常請求的 CC 攻擊、網路殭屍攻擊等等,都是以耗盡伺服器資源為目標的攻擊手段。
應用攻擊
近些年,Web 技術發展非常迅速,因此也誕生了應用攻擊。即攻擊者不斷地向 Web 伺服器惡意傳送大量 HTTP 請求,利用 Web 應用已經提供的一些介面,來對網站的後臺資料庫進行增、刪、改、查的操作。由於這種操作是由計算機來完成,計算機巨大的計算能力常常伴隨產生極恐怖的破壞力。一旦 Web 服務受到這種攻擊,就會對其承載的業務造成致命的影響。
DDoS 的防禦方式
DDoS 攻擊之所以難以防禦,是因為 DDoS 的攻擊會用看似正常的需求進行包裝,加上難以追蹤攻擊來源,也是 DDoS 處理起來棘手的原因。
不過我們仍然可以利用下面的 3 個處理方向,來加強系統的 DDoS 防禦:
- 加強防火牆的通行規則
通過設定高效能的防火牆,來限制異常 IP 發出的請求,降低大量無效資料佔用頻寬或損耗資源的可能性,加強篩選機制、阻斷 DDoS 攻擊的效果。
- 提升伺服器的效能、規格
提升伺服器的效能,當遭受 DDoS 攻擊時可爭取多一點的緩衝時間,在不讓服務癱瘓的狀況下,及時針對攻擊模式制定應對的 DDoS 防禦手段,將傷害減至最低。
- 使用具備 DDoS 防禦的系統
像是 DDoS 流量清洗機制,可以將流量匯入清洗系統中,把異常的流量來源過濾、剔除,又或是伺服器本身具備防禦一定數量的無效資料包,以及設定合理的同時連線數量等,讓 DDoS 攻擊無功而返。
- 尋找專業高防服務團隊
由於傳統裝置無法抵禦大流量的 DDoS 攻擊,通過配置雲端高防系統的方式也逐漸受到了客戶的青睞。又拍雲 DDoS 高防 IP 服務是針對網際網路業務在遭受大流量 DDoS 攻擊後業務癱瘓,而提供的高等級流量防護服務。直接將高防 IP 服務部署在源站伺服器前,幫助業務伺服器站抵禦來自內外部的流量攻擊。
客戶將業務接入高防 IP 後,源伺服器的所有公網流量將引流至高防機房,高防 IP 平臺的異常流量檢測系統會實時對流量進行智慧識別和分析,將攻擊流量引流至高防節點,隱藏源站,以確保使用者源站穩定可靠執行。
高防 IP 可以防禦的有包括但不限於以下型別:SYN Flood、UDP Flood、ICMP Flood、IGMP Flood、ACK Flood、Ping Sweep 等攻擊。
又拍雲高防 IP 服務提供線上 SaaS 的服務接入方式,異地多節點多線路防護,單點防禦 1T,全網總防禦能力近 3T,支援 BGP 、電信、聯通、移動等多條線路,可以有效防禦 SYN Flood、ACK Flood、UDP Flood、HTTP Flood、CC 攻擊等,為客戶提供穩定、安全的訪問體驗。