分散式阻断服务(DDoS)攻击是一种恶意尝试,它利用大量的互联网流量使目标伺服器或其周围的基础设施不堪重负,从而阻断目标伺服器、服务或网路的正常流量。

DDoS攻击利用多个被破坏的电脑系统作为攻击流量的来源,从而达到攻击的有效性。被利用的机器可能包括电脑及其他网路资源,例如IoT 设备

从高层次来看,DDoS 攻击就像高速公路上的意外交通堵塞,阻止常规流量到达目的地。

DDoS 攻击流量类比

DDoS 攻击的工作原理

DDoS 攻击是利用连接到互联网的机器组成的网路进行的。

这些网路包含已被恶意软体感染的电脑和其他设备(例如IoT 设备),使它们可被攻击者远端控制。这些单独的设备被称为“机器人”(或“僵尸”),一组机器人则被称为僵尸网路(botnet)

一旦建立了僵尸网路,攻击者就能通过向每个机器人发送远端指令来发动攻击。

当受害者的伺服器或网路成为该僵尸网路的目标时,每个机器人都会向目标的IP 位址发送请求,从而可能导致该伺服器或网路不堪重负,导致对正常流量拒绝服务

由于每个傀儡程式都是一个合法的网际网路装置,将攻击流量与正常流量分离可能比较困难。

如何识别DDoS 攻击

DDoS 攻击最明显的症状是,网站或服务突然变慢或不可用。但由于多种原因(例如流量的合法激增)会导致类似的性能问题,通常需要进一步调查。流量分析工具可以帮助您发现DDoS 攻击的一些明显迹象:

  • 来自单个IP 地址或IP 范围的可疑流量
  • 大量流量来自拥有单一行为特征(例如设备类型、地理位置或Web 浏览器版本)的用户
  • 对单一页面或端点的请求出现无法解释的激增
  • 奇怪的流量模式,如在非正常时段激增,或不自然的模式(例如每10 分钟激增)

根据攻击类型,DDoS 攻击还有其他更具体的迹象。

DDoS 攻击的常见类型有哪些?

不同类型的DDoS 攻击瞄准网路连结的不同部分。为了解不同DDoS 攻击的工作原理,有必要了解网路连线的建立方法。

网际网路的网路连线由许多不同的元件或「层」组成。与从头开始建房子类似,此模型中的每一层都有不同的用途。

下图为OSI 模型,这是一个概念框架,描述分成7 个不同层级的网路连线。

OSI 模型7 层:应用程式、展示、工作阶段、传输、网路、资料连结、实体

尽管几乎所有DDoS 攻击都涉及到以流量来淹没目标装置或网路,但攻击可分为三个类别。攻击者可能使用一种或多种不同的攻击手段,或根据目标采取的应对措施来回圈使用攻击手段。

应用程式层攻击

攻击目的:

这些攻击有时被称为第7 层(指OSI 模型的第7 层)DDoS 攻击,目的是耗尽目标的资源来阻断服务。

攻击的目标是伺服器上回应HTTP请求而生成并交付网页的层。在用户端执行单一HTTP 请求仅消耗少量计算资源,但目标伺服器上做出回应需要消耗较多资源,因为伺服器往往要载入多个档并运行资料库查询才能创建一个页面。

第7 层攻击难以防御,因为恶意流量和合法流量可能很难区分开来。

应用程式层攻击范例:

HTTP 洪水DDoS 攻击:多个机器人向受害者发出HTTP GET 请求

HTTP 洪水攻击

此攻击类似于同时在多个不同的电脑上反覆按下网页浏览器中的重新整理,大量HTTP 要求淹没了伺服器,造成了阻断服务。

此类型的攻击范围有可能很简单,也可能很复杂。

较简单的做法可能是存取一个具有相同的攻击IP 位址范围、查阅者和使用者代理程式的URL。复杂的版本可能是使用大量攻击IP 位址,并使用随机查阅者和使用者代理程式,以随机URL 作为目标。

通讯协定攻击

攻击目的:

协定攻击,又称状态耗尽攻击,通过过度消耗伺服器资源和/或网路设备资源(如防火墙和负载平衡器)的资源来导致服务中断。

通讯协定攻击利用第3 层和第4 层通讯协定堆叠的弱点以使目标无法存取。

通讯协定攻击范例:

通讯协定DDoS 攻击范例:SYN 洪水:伪造的SYN 封包

SYN 洪水攻击

SYN 洪水攻击可比喻为工作人员在供应仓库中接收来自商店柜台的请求。

工作人员收到请求,获取物品,并等待确认后将物品带到柜台。工作人员收到大量取件要求但没有得到确认,直至其不堪重负而无法携带更多物品为止,请求开始得不到应答。

这一攻击利用TCP 握手(两台电脑建立网路连接的通信序列),向目标发送大量带有欺骗性源IP 位址的TCP “首次连接请求” SYN 资料包。

目标机器回应各个连线要求,然后等待交握最后一步,此步骤从来不会出现,这样便耗费了目标在此流程中的资源。

巨流量攻击

攻击目的:

此攻击类别消耗目标与较大网际网路之间的所有可用频宽,尝试造成壅塞。透过使用一种放大形式或建立大量流量的另一种方式(例如来自僵尸网路的要求) ,将大量资料传送至目标。

放大范例:

扩大DDoS 攻击范例:DNS 扩大:伪造的DNS 请求

DNS 放大

DNS 放大好比某个人打电话给餐厅并说,“我要每道菜都订一份,请回电并重复我整个订单”,而回拨电话号码实际上属于受害者。只需要很小的功夫,就导致一个长长的回应生成并发送给受害者。

通过向某个公共DNS伺服器发送带有欺骗性IP 位址(受害者的IP 位址)的请求,目标IP 位址将收到来自该伺服器的回应。

缓解DDoS 攻击是采取什么程序来处理的?

缓解DDoS 攻击的关键问题在于区分攻击流量和正常流量。

例如,若在推出产品时心急的客户大量涌入公司网站,那么截断所有流量就是错误的做法。若该公司的网站突然涌入来自不明攻击者的流量,则可能有必要努力缓解攻击。

难点在于将真实客户与攻击流量区分开来。

在现代网际网路,DNS 流量以许多形式出现。流量的各种设计范围从非伪装的单一来源攻击,到复杂的适应性多向量攻击。

多向量DDoS 攻击使用多个攻击路径来以不同方式淹没目标,从而潜在地分散对任何一个轨道的缓解。

多手段DDoS 攻击的一个实例:同时瞄准通讯协定堆叠的多个层,例如DNS 放大(以第3/4 层为目标)和H TTP 洪水攻击(以7 层为目标) 相结合。

缓解多向量DDoS 攻击需要采取各种策略以对抗不同轨道。

一般而言,攻击越复杂,区分攻击流量和正常流量就越难——攻击者的目的是尽可能融入其中,导致缓解效果尽可能差。

涉及任意减少或限制流量的缓解尝试可能会让良好流量跟着恶意流量一起被丢弃,而攻击可能会修改并适应,以规避反制措施。为了克服复杂的阻断尝试,分层的解决方案将可提供最大的效益。

黑洞路由

几乎所有网路管理员都可以使用的一个解决方案是建立一个黑洞路由,并将流量传送至该路由。从最简单的形式来看,在没有特定限制条件的情况下执行黑洞筛选时,合法和恶意网路流量均会被路由传送至无效路径(即黑洞),从而退出网路。

如果某个网际网路资产遇到DDoS 攻击,其网际网路服务提供者(ISP) 可能会将该网站的所有流量传送到黑洞来进行防御。这不是理想的解决方案,因为这实际上给了攻击者所想要的目的:使网络不可访问。

Rate Limiting

限制伺服器透过特定时间范围接收的要求数量,也是一种缓解阻断服务攻击的方式。

尽管限速可用于减慢Web Scraper 窃取内容并缓解暴力登入尝试,但其本身可能不足以有效应付复杂的DDoS 攻击。

尽管如此,限速是有效DDoS 防护策略的一个有用组成部分。

Web application firewall

Web 应用程序防火墙(WAF)是一种可以协助缓解第7 层DDoS 攻击的工具。透过在网际网路与来源伺服器之间安装WAF,WAF 可充当反向代理,保护目标伺服器免受来自特定类型的恶意流量的攻击。

透过基于一系列用于识别DDoS 工具的规则来筛选要求,可以阻止第7 层攻击。有效WAF 的一个核心价值是在回应攻击时快速实作自订规则的能力。了解火伞云的WAF

Anycast 网络扩散

此缓解方法使用Anycast 网络将整个分散式伺服器网路的攻击流量分散至由网路吸收的流量的点。

与沿着单独的较小通道输送奔流的河水类似,此方法可将分散式攻击流量的影响扩散至其易管理的点,扩散了所有破坏性功能。

Anycast 网路缓解DDoS 攻击的可靠性取决于攻击的大小以及网路的大小及效率。在火伞云执行的DDoS 防护中,一个重要部分是Anycast 分散式网路的使用。

相关新闻

微信