DDoS 攻擊是通過連接互聯(lián)網(wǎng)的計算機網(wǎng)絡(luò)進行的。這些網(wǎng)絡(luò)由計算機和其他設(shè)備(例如 IoT 設(shè)備)組成,它們感染了惡意軟件,從而被攻擊者遠(yuǎn)程控制。這些個體設(shè)備稱為機器人(或僵尸),一組機器人則稱為僵尸網(wǎng)絡(luò)。一旦建立了僵尸網(wǎng)絡(luò),攻擊者就可通過向每個機器人發(fā)送遠(yuǎn)程指令來發(fā)動攻擊。當(dāng)僵尸網(wǎng)絡(luò)將受害者的服務(wù)器或網(wǎng)絡(luò)作為目標(biāo)時,每個機器人會將請求發(fā)送到目標(biāo)的 IP 地址,這可能導(dǎo)致服務(wù)器或網(wǎng)絡(luò)不堪重負(fù),從而造成對正常流量的拒絕服務(wù)。由于每個機器人都是合法的互聯(lián)網(wǎng)設(shè)備,因而可能很難區(qū)分攻擊流量與正常流量。
如何防護 DDoS 攻擊?
若要緩解 DDoS 攻擊,關(guān)鍵在于區(qū)分攻擊流量與正常流量。例如,如果因發(fā)布某款產(chǎn)品導(dǎo)致公司網(wǎng)站涌現(xiàn)大批熱情客戶,那么全面切斷流量是錯誤之舉。如果公司從已知惡意用戶處收到的流量突然激增,或許需要努力緩解攻擊。難點在于區(qū)分真實客戶流量與攻擊流量。在現(xiàn)代互聯(lián)網(wǎng)中,DDoS 流量以多種形式出現(xiàn)。流量設(shè)計可能有所不同,從非欺騙性單源攻擊到復(fù)雜的自適應(yīng)多方位攻擊無所不有。多方位 DDoS 攻擊采用多種攻擊手段,以期通過不同的方式擊垮目標(biāo),很可能分散各個層級的緩解工作注意力。
同時針對協(xié)議堆棧的多個層級(如 DNS 放大(針對第 3/4 層)外加 HTTP 洪水(針對第 7 層))發(fā)動攻擊就是多方位 DDoS 攻擊的一個典型例子。為防護多方位 DDoS 攻擊,需要部署多項不同策略,從而緩解不同層級的攻擊。一般而言,攻擊越復(fù)雜,越難以區(qū)分攻擊流量與正常流量 —— 攻擊者的目標(biāo)是盡可能混入正常流量,從而盡量減弱緩解成效。如果緩解措施不加選擇地丟棄或限制流量,很可能將正常流量與攻擊流量一起丟棄,同時攻擊還可能進行修改調(diào)整以規(guī)避緩解措施。為克服復(fù)雜的破壞手段,采用分層解決方案效果最理想。
黑洞路由
有一種解決方案幾乎適用于所有網(wǎng)絡(luò)管理員:創(chuàng)建黑洞路由,并將流量匯入該路由。在最簡單的形式下,當(dāng)在沒有特定限制條件的情況下實施黑洞過濾時,合法網(wǎng)絡(luò)流量和惡意網(wǎng)絡(luò)流量都將路由到空路由或黑洞,并從網(wǎng)絡(luò)中丟棄。如果互聯(lián)網(wǎng)設(shè)備遭受 DDoS 攻擊,則該設(shè)備的互聯(lián)網(wǎng)服務(wù)提供商(ISP)可能會將站點的所有流量發(fā)送到黑洞中作為防御。這不是理想的解決方案,因為它相當(dāng)于讓攻擊者達(dá)成預(yù)期的目標(biāo):使網(wǎng)絡(luò)無法訪問。
速率限制
限制服務(wù)器在某個時間段接收的請求數(shù)量也是防護拒絕服務(wù)攻擊的一種方法。雖然速率限制對于減緩 Web 爬蟲竊取內(nèi)容及防護暴力破解攻擊很有幫助,但僅靠速率限制可能不足以有效應(yīng)對復(fù)雜的 DDoS 攻擊。然而,在高效 DDoS 防護策略中,速率限制不失為一種有效手段。
Web 應(yīng)用程序防火墻
Web 應(yīng)用程序防火墻(WAF) 是一種有效工具,有助于緩解第 7 層 DDoS 攻擊。在互聯(lián)網(wǎng)和源站之間部署 WAF 后,WAF 可以充當(dāng)反向代理,保護目標(biāo)服務(wù)器,防止其遭受特定類型的惡意流量入侵。通過基于一系列用于識別 DDoS 工具的規(guī)則過濾請求,可以阻止第 7 層攻擊。 有效 WAF 的一個關(guān)鍵價值是能夠快速實施自定義規(guī)則以響應(yīng)攻擊。
Anycast 網(wǎng)絡(luò)擴散
此類緩解方法使用 Anycast 網(wǎng)絡(luò),將攻擊流量分散至分布式服務(wù)器網(wǎng)絡(luò),直到網(wǎng)絡(luò)吸收流量為止。這種方法就好比將湍急的河流引入若干獨立的小水渠,將分布式攻擊流量的影響分散到可以管理的程度,從而分散破壞力。Anycast 網(wǎng)絡(luò)在緩解 DDoS 攻擊方面的可靠性取決于攻擊規(guī)模及網(wǎng)絡(luò)規(guī)模和效率。采用 Anycast 分布式網(wǎng)絡(luò)是實施 DDoS防護策略的一個重要組成部分。
文章鏈接: http://www.qzkangyuan.com/2267.html
文章標(biāo)題:DDoS 攻擊的工作原理以及如何防護 DDoS 攻擊?
文章版權(quán):夢飛科技所發(fā)布的內(nèi)容,部分為原創(chuàng)文章,轉(zhuǎn)載請注明來源,網(wǎng)絡(luò)轉(zhuǎn)載文章如有侵權(quán)請聯(lián)系我們!
