單一的DDoS攻擊通常采用一對一的方式,利用網絡協議和操作系統的一些缺陷,采用欺騙和偽裝策略進行網絡攻擊,使網站服務器泛濫大量需要回復的信息,消耗網絡帶寬或系統資源,導致網絡或系統不堪重負,停止提供正常的網絡服務。DDoS中文的意思是“分布式拒絕服務”,即利用大量合法的分布式服務器向目標發送請求,導致正常合法的用戶無法獲得服務。
一、DDoS攻擊模式:一個服務需要為公眾提供用戶訪問接口,而這些接口恰恰給了黑客可乘之機,比如:利用TCP/IP協議握手缺陷消耗服務器的鏈路資源,利用UDP協議無狀態機制偽造大量UDP數據包阻斷通信通道...可以說,互聯網世界從誕生之初就不缺少DDoS使用的攻擊點,從TCP/IP協議機制到CC、DNS、DNS。根據DDoS的危害性和攻擊行為,我們可以將DDoS攻擊方法分為以下幾類:
1.服務消費攻擊:與資源消費攻擊相比,服務消費攻擊不需要太多流量,主要針對服務的特性,如web的CC、數據服務的檢索、文件服務的下載等。這種攻擊往往不是針對流量通道或者協議處理通道的擁塞,而是針對服務器總是處理高消耗服務,進而無法響應正常服務的繁忙狀態。
2.混合攻擊:混合攻擊是上述攻擊類型的組合,在攻擊過程中檢測并選擇最佳的攻擊模式。混合攻擊往往伴隨著資源消耗和服務消耗的特點。
3.資源消耗攻擊:資源消耗攻擊是典型的DDoS攻擊,最具代表性的有Syn Flood、Ack Flood和UDP Flood。這種攻擊的目標很簡單,就是通過大量的請求消耗正常的帶寬和協議棧處理資源的能力,從而達到服務器無法正常工作的目的。
4.反射攻擊:反射攻擊也叫放大攻擊,主要基于UDP協議。一般來說,請求響應的流量遠大于請求本身的流量。攻擊者可以通過流量放大的特性,以較小的流量帶寬創建大規模的流量源,從而對目標發起攻擊。反射攻擊并不是嚴格意義上的一種攻擊,它只是利用一些服務的業務特性,以較低的成本發起Flood攻擊。
二、DDoS保護手段:DDoS保護系統本質上是基于資源爭奪和規則過濾的智能系統。主要防御手段和策略包括:
1.用戶規則:從服務角度來看,DDoS防護本質上是一場以用戶為主體,依靠反d防護體系與黑客競爭的戰爭。在整個數據對抗過程中,服務提供商往往擁有絕對的主動權,用戶可以基于anti-d系統的特定規則,如流量類型、請求頻率、數據包特征、正常服務之間的延遲間隔等。基于這些規則,用戶可以在滿足正常服務本身的前提下,更好地對抗七層DDoS,降低服務器的資源開銷。
2.資源對抗:資源對抗也叫“死扛”,即通過堆疊大量服務器和帶寬資源來達到從容應對DDoS流量的效果。
3.資源隔離:資源隔離可以看作是用戶服務的保護盾。這個防護系統擁有無比強大的數據和流量處理能力,為用戶過濾異常流量和請求。比如對于Syn Flood,屏蔽會響應Syn Cookie或Syn Reset認證,通過對數據源的認證,過濾虛假源數據包或電源攻擊的攻擊,保護服務器不被惡意連接。資源隔離系統主要保護ISO模型的第三層和第四層。
4.大數據智能分析:黑客為了構造大量的數據流,往往需要通過特定的工具構造請求數據,而這些數據包不具備正常用戶的一些行為和特征。為了抵御這種攻擊,我們可以基于海量數據分析對合法用戶進行建模,并利用這些指紋特征,如Http模型特征、數據源、請求源等。有效過濾請求源白名單,從而實現對DDoS流量的精準清理。
三、黑客為什么選擇DDoS:與其他惡意數據篡改或劫持攻擊不同,DDoS簡單粗暴,可以直接摧毀目標。另外,與其他攻擊方式相比,DDoS的技術要求和攻擊成本較低,只需要購買一些服務器權限或者控制一批肉雞。而且對應的攻擊速度快,攻擊效果可見。另一方面,DDoS具有易攻難守的特點,服務提供商需要花費大量資源對抗攻擊發起者,才能滿足正常客戶的需求。這些特點使得DDoS成為黑客手中一把非常好的劍。另一方面,雖然DDoS可以侵蝕帶寬或資源,迫使服務中斷,但這遠不是黑客的真正目的。所謂不買不賣不殺,DDoS只是黑客手中的核武器,其目的不是敲詐勒索,就是商業競爭,或者是政治立場。在這種黑利益的驅使下,越來越多的人參與到這個行業中,并對攻擊手段進行改進和升級,使得DDoS在互聯網行業中愈演愈烈,成為一種全世界都無法戰勝的頑疾。
四、DDoS防護難點:一方面,近十年來,網絡基礎設施的核心組件從未改變,使得一些被發現和利用的漏洞以及一些成熟的攻擊工具存在較長的生命周期,即使在今天仍然有效。另一方面,隨著七層模型在互聯網上應用的快速發展,分布式拒絕服務攻擊的目標也變得多樣化。從web到DNS,從三層網絡到七層應用,從協議棧到應用app,層出不窮的新產品也給了黑客更多的機會和突破點。再者,DDoS防護是一個技術和成本不對等的項目,一個企業的DDoS防御系統的建設成本往往大于企業本身的成本或收益,這使得很多創業公司或小型互聯網公司不愿意進行更多的投資。有不懂的請咨詢夢飛云idc了解。
