單一的DDoS攻擊通常采用一對(duì)一的方式,利用網(wǎng)絡(luò)協(xié)議和操作系統(tǒng)的一些缺陷,采用欺騙和偽裝策略進(jìn)行網(wǎng)絡(luò)攻擊,使網(wǎng)站服務(wù)器泛濫大量需要回復(fù)的信息,消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源,導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不堪重負(fù),停止提供正常的網(wǎng)絡(luò)服務(wù)。DDoS中文的意思是“分布式拒絕服務(wù)”,即利用大量合法的分布式服務(wù)器向目標(biāo)發(fā)送請(qǐng)求,導(dǎo)致正常合法的用戶無(wú)法獲得服務(wù)。
一、DDoS攻擊模式:一個(gè)服務(wù)需要為公眾提供用戶訪問(wèn)接口,而這些接口恰恰給了黑客可乘之機(jī),比如:利用TCP/IP協(xié)議握手缺陷消耗服務(wù)器的鏈路資源,利用UDP協(xié)議無(wú)狀態(tài)機(jī)制偽造大量UDP數(shù)據(jù)包阻斷通信通道...可以說(shuō),互聯(lián)網(wǎng)世界從誕生之初就不缺少DDoS使用的攻擊點(diǎn),從TCP/IP協(xié)議機(jī)制到CC、DNS、DNS。根據(jù)DDoS的危害性和攻擊行為,我們可以將DDoS攻擊方法分為以下幾類:
1.服務(wù)消費(fèi)攻擊:與資源消費(fèi)攻擊相比,服務(wù)消費(fèi)攻擊不需要太多流量,主要針對(duì)服務(wù)的特性,如web的CC、數(shù)據(jù)服務(wù)的檢索、文件服務(wù)的下載等。這種攻擊往往不是針對(duì)流量通道或者協(xié)議處理通道的擁塞,而是針對(duì)服務(wù)器總是處理高消耗服務(wù),進(jìn)而無(wú)法響應(yīng)正常服務(wù)的繁忙狀態(tài)。
2.混合攻擊:混合攻擊是上述攻擊類型的組合,在攻擊過(guò)程中檢測(cè)并選擇最佳的攻擊模式。混合攻擊往往伴隨著資源消耗和服務(wù)消耗的特點(diǎn)。
3.資源消耗攻擊:資源消耗攻擊是典型的DDoS攻擊,最具代表性的有Syn Flood、Ack Flood和UDP Flood。這種攻擊的目標(biāo)很簡(jiǎn)單,就是通過(guò)大量的請(qǐng)求消耗正常的帶寬和協(xié)議棧處理資源的能力,從而達(dá)到服務(wù)器無(wú)法正常工作的目的。
4.反射攻擊:反射攻擊也叫放大攻擊,主要基于UDP協(xié)議。一般來(lái)說(shuō),請(qǐng)求響應(yīng)的流量遠(yuǎn)大于請(qǐng)求本身的流量。攻擊者可以通過(guò)流量放大的特性,以較小的流量帶寬創(chuàng)建大規(guī)模的流量源,從而對(duì)目標(biāo)發(fā)起攻擊。反射攻擊并不是嚴(yán)格意義上的一種攻擊,它只是利用一些服務(wù)的業(yè)務(wù)特性,以較低的成本發(fā)起Flood攻擊。
二、DDoS保護(hù)手段:DDoS保護(hù)系統(tǒng)本質(zhì)上是基于資源爭(zhēng)奪和規(guī)則過(guò)濾的智能系統(tǒng)。主要防御手段和策略包括:
1.用戶規(guī)則:從服務(wù)角度來(lái)看,DDoS防護(hù)本質(zhì)上是一場(chǎng)以用戶為主體,依靠反d防護(hù)體系與黑客競(jìng)爭(zhēng)的戰(zhàn)爭(zhēng)。在整個(gè)數(shù)據(jù)對(duì)抗過(guò)程中,服務(wù)提供商往往擁有絕對(duì)的主動(dòng)權(quán),用戶可以基于anti-d系統(tǒng)的特定規(guī)則,如流量類型、請(qǐng)求頻率、數(shù)據(jù)包特征、正常服務(wù)之間的延遲間隔等。基于這些規(guī)則,用戶可以在滿足正常服務(wù)本身的前提下,更好地對(duì)抗七層DDoS,降低服務(wù)器的資源開(kāi)銷。
2.資源對(duì)抗:資源對(duì)抗也叫“死扛”,即通過(guò)堆疊大量服務(wù)器和帶寬資源來(lái)達(dá)到從容應(yīng)對(duì)DDoS流量的效果。
3.資源隔離:資源隔離可以看作是用戶服務(wù)的保護(hù)盾。這個(gè)防護(hù)系統(tǒng)擁有無(wú)比強(qiáng)大的數(shù)據(jù)和流量處理能力,為用戶過(guò)濾異常流量和請(qǐng)求。比如對(duì)于Syn Flood,屏蔽會(huì)響應(yīng)Syn Cookie或Syn Reset認(rèn)證,通過(guò)對(duì)數(shù)據(jù)源的認(rèn)證,過(guò)濾虛假源數(shù)據(jù)包或電源攻擊的攻擊,保護(hù)服務(wù)器不被惡意連接。資源隔離系統(tǒng)主要保護(hù)ISO模型的第三層和第四層。
4.大數(shù)據(jù)智能分析:黑客為了構(gòu)造大量的數(shù)據(jù)流,往往需要通過(guò)特定的工具構(gòu)造請(qǐng)求數(shù)據(jù),而這些數(shù)據(jù)包不具備正常用戶的一些行為和特征。為了抵御這種攻擊,我們可以基于海量數(shù)據(jù)分析對(duì)合法用戶進(jìn)行建模,并利用這些指紋特征,如Http模型特征、數(shù)據(jù)源、請(qǐng)求源等。有效過(guò)濾請(qǐng)求源白名單,從而實(shí)現(xiàn)對(duì)DDoS流量的精準(zhǔn)清理。
三、黑客為什么選擇DDoS:與其他惡意數(shù)據(jù)篡改或劫持攻擊不同,DDoS簡(jiǎn)單粗暴,可以直接摧毀目標(biāo)。另外,與其他攻擊方式相比,DDoS的技術(shù)要求和攻擊成本較低,只需要購(gòu)買一些服務(wù)器權(quán)限或者控制一批肉雞。而且對(duì)應(yīng)的攻擊速度快,攻擊效果可見(jiàn)。另一方面,DDoS具有易攻難守的特點(diǎn),服務(wù)提供商需要花費(fèi)大量資源對(duì)抗攻擊發(fā)起者,才能滿足正常客戶的需求。這些特點(diǎn)使得DDoS成為黑客手中一把非常好的劍。另一方面,雖然DDoS可以侵蝕帶寬或資源,迫使服務(wù)中斷,但這遠(yuǎn)不是黑客的真正目的。所謂不買不賣不殺,DDoS只是黑客手中的核武器,其目的不是敲詐勒索,就是商業(yè)競(jìng)爭(zhēng),或者是政治立場(chǎng)。在這種黑利益的驅(qū)使下,越來(lái)越多的人參與到這個(gè)行業(yè)中,并對(duì)攻擊手段進(jìn)行改進(jìn)和升級(jí),使得DDoS在互聯(lián)網(wǎng)行業(yè)中愈演愈烈,成為一種全世界都無(wú)法戰(zhàn)勝的頑疾。
四、DDoS防護(hù)難點(diǎn):一方面,近十年來(lái),網(wǎng)絡(luò)基礎(chǔ)設(shè)施的核心組件從未改變,使得一些被發(fā)現(xiàn)和利用的漏洞以及一些成熟的攻擊工具存在較長(zhǎng)的生命周期,即使在今天仍然有效。另一方面,隨著七層模型在互聯(lián)網(wǎng)上應(yīng)用的快速發(fā)展,分布式拒絕服務(wù)攻擊的目標(biāo)也變得多樣化。從web到DNS,從三層網(wǎng)絡(luò)到七層應(yīng)用,從協(xié)議棧到應(yīng)用app,層出不窮的新產(chǎn)品也給了黑客更多的機(jī)會(huì)和突破點(diǎn)。再者,DDoS防護(hù)是一個(gè)技術(shù)和成本不對(duì)等的項(xiàng)目,一個(gè)企業(yè)的DDoS防御系統(tǒng)的建設(shè)成本往往大于企業(yè)本身的成本或收益,這使得很多創(chuàng)業(yè)公司或小型互聯(lián)網(wǎng)公司不愿意進(jìn)行更多的投資。有不懂的請(qǐng)咨詢夢(mèng)飛云idc了解。
