分散式拒絕服務或DDoS攻擊是一種網路攻擊,它使連線到Internet的計算機或網路資源暫時無法訪問其預期使用者。攻擊者的目標是透過消耗您的Internet頻寬和/或將系統速度降低到無法訪問的程度來中斷業務。
在DDoS攻擊中, 犯罪者使用一個或多個Internet連線來利用軟體漏洞或使用虛假請求充斥目標。這會導致該站點不可用,並阻止它響應合法使用者的請求。
為什麼選擇DDoS?
攻擊者可能會使用DDoS攻擊敲詐勒索或者作為付費駭客行動主義者,甚至出售DDoS作為服務!有的人則將其作為政治抗議活動,例如在自由主義網站上對DreamHost 託管服務提供商的攻擊。而有時,DDoS攻擊是為了隱藏其他惡意活動而起到分散注意力的作用。
DDoS有多常見?
有一件事是肯定的,那就是網路犯罪正在上升,而DDoS攻擊就是最常見的。當前有一半佔比的公司是DDoS攻擊的受害者,受創後業務停滯不前。例如線上零售商、實時服務公司以及具有大量Web服務元件或依賴於內部網路服務的銀行等組織都是常見目標。2017年,DDoS攻擊增加了91%,並且在範圍,頻率和複雜性方面繼續增長,使得它們越來越難以抵擋,2018年依舊沒有削弱。
三種類型的DDoS攻擊
除了造成如此大的破壞外,面臨的最大挑戰之一就是DDoS攻擊變得多樣化和細緻入微。有許多型別需要應對,目前可分為三大類:
容量攻擊
容量或網路攻擊是讓目標站點的頻寬飽和,使其無法訪問。容量攻擊的示例包括DNS和NTP放大、UDP泛洪、ICMP泛洪和其他欺騙分組泛洪。
(擴充套件DNS攻擊是體積DDoS攻擊的一個示例)
使用DNS作為示例容量攻擊,攻擊者使用目標的IP地址作為源IP將DNS請求傳送到多個公共DNS伺服器。然後,所有DNS伺服器都響應目標,從而壓倒它。這是因為UDP不驗證源IP地址。因此,很容易偽造IP地址以包括任何任意IP地址作為源。
協議攻擊
協議攻擊是消耗伺服器資源或中間通訊裝置資源,例如防火牆和負載平衡器。協議攻擊包括Ping of Death,Smurf DDoS,SYN泛洪和分段資料包攻擊等攻擊。
(SYN Flood是基於協議的DDoS攻擊的一個示例)
最常用的攻擊方法是基於協議的DDoS攻擊SYN 泛洪。此攻擊透過向目標傳送大量具有欺騙源IP地址的TCP“初始連線請求”SYN資料包來利用TCP握手。目標機器響應每個連線請求,然後等待握手中的最後一步“傳送ACK”,然而這永遠不會發生。所以當此等待消耗足夠的伺服器資源時,它會使系統無法響應合法流量。
應用層攻擊
應用程式級攻擊是利用應用程式中的漏洞。此類攻擊的目標不是追求整個伺服器,而是針對具有已知弱點的應用程式。應用層攻擊的示例包括低速和慢速攻擊,如 Slowloris 和RUDY、GET / POST洪水、針對Apache、Windows或OpenBSD漏洞的攻擊等等。
駭客認為許多應用層攻擊是“低速和慢速”攻擊。低速和慢速攻擊依賴於可以針對應用程式或伺服器資源的少量緩慢或不常見的流量。與更傳統的暴力攻擊不同,低速和慢速攻擊需要的頻寬非常少,並且難以緩解,因為它們會產生看似合法的流量,因此很難與正常流量區分開來。因為它們不需要很多資源來啟動,所以可以使用一臺計算機成功啟動低速和慢速攻擊。
(RUDY代表“aRe yoU Dead Yet?”是應用程式型別DDoS攻擊的一個例子)
應用層攻擊的一個例子是RUDY,它是RU Dead的縮寫。這是一個DoS(拒絕服務)工具,用於透過將長表單欄位定向到目標伺服器來執行“低速和慢速”攻擊。RUDY攻擊開啟與HTTP伺服器的併發POST HTTP連線,並延遲將POST請求的主體傳送到伺服器資源已飽和的程度。此攻擊以非常慢的速率傳送大量小資料包以保持連線開啟並且伺服器忙碌。因此名稱“low and slow”。
如何防範DDoS攻擊?
保護您的企業免受安全威脅是保護您業務的關鍵部分。在DDoS攻擊期間,您需要能夠識別受到攻擊的內容,以及緩解攻擊確保業務正常進行。為了保護您的組織免受一系列DDoS攻擊,您需要具備攻擊檢測,識別和緩解的服務。
