在網(wǎng)絡(luò)安全領(lǐng)域�,DDoS 攻擊一直是熱門話題,隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和網(wǎng)絡(luò)環(huán)境的復(fù)雜化演變���,DDoS 攻擊變得愈加頻繁�、更具破壞性����。根據(jù) 2023 年網(wǎng)絡(luò)安全態(tài)勢研判分析年度綜合報告,全年全網(wǎng)網(wǎng)絡(luò)層的 DDoS 攻擊次數(shù)達(dá) 2.51 億次�!
DDoS攻擊,即分布式拒絕服務(wù)攻擊(Distributed Denial of Service)����,是指攻擊者利用一臺或多臺不同位置的計算機對一個或多個目標(biāo)同時發(fā)動攻擊�����,消耗目標(biāo)服務(wù)器性能或網(wǎng)絡(luò)帶寬����,使服務(wù)器運行緩慢或者宕機�����,從而造成服務(wù)器無法正常地提供服務(wù)的網(wǎng)絡(luò)攻擊類型��。
DDoS攻擊是一種常見的網(wǎng)絡(luò)攻擊類型��,也是當(dāng)前最主要的互聯(lián)網(wǎng)安全威脅之一�����。
DDOS攻擊技術(shù)
常見的流量直接攻擊(SYN��,ACK����,ICMP���,udp flood),利用特定應(yīng)用或協(xié)議進(jìn)行反射性的流量攻擊�,基于應(yīng)用的CC,慢速HTTP等����。
ICMP Flood
攻擊者發(fā)送大量的ICMP Echo請求到目標(biāo)服務(wù)器,使服務(wù)器資源耗盡�,無法正常響應(yīng)其他網(wǎng)絡(luò)請求。
ICMP反射泛洪攻擊
指Smurf IP利用廣播地址發(fā)送ICMP包���,一旦廣播出去�����,就會被廣播域內(nèi)的所有主機回應(yīng),當(dāng)然這些包都回應(yīng)給了偽裝的IP地址(指向目標(biāo)主機)�。偽裝IP地址可以是互聯(lián)網(wǎng)上的任何地址,不一定在本地����。假如黑客不停地發(fā)送ICMP包,就會造成拒絕服務(wù)����。
?UDP Flood?
攻擊者發(fā)送大量的UDP數(shù)據(jù)包到目標(biāo)服務(wù)器�����,使服務(wù)器無法處理這些大量的無效數(shù)據(jù)包����,從而導(dǎo)致服務(wù)癱瘓��。這種攻擊利用UDP協(xié)議的特性�����,通過向目標(biāo)服務(wù)器發(fā)送大量UDP數(shù)據(jù)包��,使其資源耗盡?
SYN Flood
以多個隨機的源主機地址向目的主機發(fā)送syn包�,而在收到目的主機的syn+ ack包后并不回應(yīng),目的主機為這些源主機建立大量的連接隊列���,由于沒有收到ack一直維護這些連接隊列����,造成資源的大量消耗而不能向正常的請求提供服務(wù)���。
NTP Flood
NTP攻擊是一種利用被攻擊的NTP服務(wù)器來攻擊目標(biāo)系統(tǒng)的DDoS攻擊方式�����。攻擊者發(fā)送大量的偽造的NTP查詢請求到NTP服務(wù)器���,服務(wù)器會向目標(biāo)系統(tǒng)發(fā)送大量的NTP響應(yīng)數(shù)據(jù)���,從而占用目標(biāo)系統(tǒng)的帶寬和系統(tǒng)資源。
CC攻擊
CC攻擊���,英文Challenge Collapsar����,是分布式拒絕服務(wù)(DDoS)攻擊的一種類型�,其通過向一些目標(biāo)網(wǎng)絡(luò)服務(wù)器發(fā)送偽造的HTTP 請求,這些請求往往需要復(fù)雜耗時的計算或數(shù)據(jù)庫操作����,以耗盡目標(biāo)網(wǎng)絡(luò)服務(wù)器的資源�����,導(dǎo)致目標(biāo)服務(wù)器停止響應(yīng)請求,造成用戶訪問速度慢甚至無法訪問���。
NTP(Network Time Protocol����,網(wǎng)絡(luò)時間協(xié)議)Flood
NTP是標(biāo)準(zhǔn)的基于UDP協(xié)議傳輸?shù)木W(wǎng)絡(luò)時間同步協(xié)議��,由于UDP協(xié)議的無連接性���,方便偽造源地址��。攻擊者使用特殊的數(shù)據(jù)包��,也就是IP地址指向作為反射器的服務(wù)器���,源IP地址被偽造成攻擊目標(biāo)的IP,反射器接收到數(shù)據(jù)包時就被騙了����,會將響應(yīng)數(shù)據(jù)發(fā)送給被攻擊目標(biāo),耗盡目標(biāo)網(wǎng)絡(luò)的帶寬資源�。
一般的NTP服務(wù)器都有很大的帶寬,攻擊者可能只需要1Mbps的上傳帶寬欺騙NTP服務(wù)器��,就可給目標(biāo)服務(wù)器帶來幾百上千Mbps的攻擊流量。因此�,“問-答”方式的協(xié)議都可以被反射型攻擊利用,將質(zhì)詢數(shù)據(jù)包的地址偽造為攻擊目標(biāo)地址�,應(yīng)答的數(shù)據(jù)包就會都被發(fā)送至目標(biāo),一旦協(xié)議具有遞歸效果��,流量就被顯著放大了�,堪稱一種“借刀殺人”的流量型攻擊。
DNS Query Flood
DNS作為互聯(lián)網(wǎng)的核心服務(wù)之一����,自然也是DDoS攻擊的一大主要目標(biāo)。
DNS Query Flood采用的方法是操縱大量傀儡機器����,向目標(biāo)服務(wù)器發(fā)送大量的域名解析請求。服務(wù)器在接收到域名解析請求時����,首先會在服務(wù)器上查找是否有對應(yīng)的緩存,若查找不到且該域名無法直接解析時����,便向其上層DNS服務(wù)器遞歸查詢域名信息。
通常,攻擊者請求解析的域名是隨機生成或者是網(wǎng)絡(luò)上根本不存在的域名����,由于在本地?zé)o法查到對應(yīng)的結(jié)果���,服務(wù)器必須使用遞歸查詢向上層域名服務(wù)器提交解析請求����,引起連鎖反應(yīng)����。解析過程給服務(wù)器帶來很大的負(fù)載,每秒鐘域名解析請求超過一定的數(shù)量就會造成DNS服務(wù)器解析域名超時��。
根據(jù)微軟的統(tǒng)計數(shù)據(jù)����,一臺DNS服務(wù)器所能承受的動態(tài)域名查詢的上限是每秒鐘9000個請求。而一臺P3的PC機上可以輕易地構(gòu)造出每秒鐘幾萬個域名解析請求��,足以使一臺硬件配置極高的DNS服務(wù)器癱瘓�����,由此可見DNS服務(wù)器的脆弱性。
淚滴攻擊
攻擊者向目標(biāo)機器發(fā)送損壞的IP包��,諸如重疊的包或過大的包載荷�����。借由這些手段����,該攻擊可以通過TCP/IP協(xié)議棧中分片重組代碼的bug來使各種不同的操作系統(tǒng)癱瘓。
Ping of Death
攻擊者利用單個包的長度超過了IP規(guī)范所規(guī)定的包長度的條件對目標(biāo)發(fā)起攻擊����。
DDOS的防御
不同的企業(yè)可以根據(jù)實際情況采用不同的防御方式,比較重要的一點就是要考慮預(yù)算問題��,在大部分時候���,你購買的高防服務(wù)以及流量都排不上用場���。
常用的防御方式:本地設(shè)備清洗,運營商清洗���,云清洗�。
本地清洗設(shè)備
業(yè)內(nèi)習(xí)慣稱之為ADS設(shè)備,可以旁路或者串聯(lián)部署���,旁路部署時需要再發(fā)生攻擊時進(jìn)行流量牽引���?����?梢缘钟恍┬∫?guī)模的流量攻擊�,遇到大規(guī)模的攻擊就比較麻煩。比較典型時設(shè)備時綠盟的黑洞�。
本地清洗最大的問題是當(dāng)DDoS攻擊流量超出企業(yè)出口帶寬時,即使ADS設(shè)備處理性能夠���,也無法解決這個問題���。
典型的部署結(jié)構(gòu)圖如下所示,檢測設(shè)備對鏡像過來的流量進(jìn)行分析�����,檢測到DDoS攻擊后通知清洗設(shè)備���,清洗設(shè)備通過BGP或OSPF協(xié)議將發(fā)往被攻擊目標(biāo)主機的流量牽引到清洗設(shè)備�����,然后將清洗后的干凈流量通過策略路由或者M(jìn)PLS LSP等方式回注到網(wǎng)絡(luò)中����;當(dāng)檢測設(shè)備檢測到DDoS攻擊停止后,會通知清洗設(shè)備停止流量牽引���。
?
運營商清理
當(dāng)本地流量清洗解決不了流量超過出口寬帶的問題時�����,往往需要借助運營商的能力�����,緊急擴容或者開啟清洗服務(wù)����。
云清洗
內(nèi)容分發(fā)系統(tǒng)(CDN)是指通過在網(wǎng)絡(luò)各處放置節(jié)點服務(wù)器���,讓用戶能夠在離自己最近的地方訪問服務(wù)�����,以此來提高訪問速度和服務(wù)質(zhì)量�����。CDN主要利用了四大關(guān)鍵技術(shù):內(nèi)容分發(fā)�,內(nèi)容路由,內(nèi)存存儲�,內(nèi)容管理。
CDN技術(shù)的初衷是為了提高互聯(lián)網(wǎng)用戶對靜態(tài)網(wǎng)站的訪問速度,但是由于分布式��,就近訪問的特點����,能對攻擊流量進(jìn)行稀釋���,因此一些傳統(tǒng)的CDN廠商除了提供云加速服務(wù)����,也開始推出云清洗服務(wù)���。
云清洗需要注意下面的一些問題
1)云清洗需要提前配置好相應(yīng)的記錄��。
2)DNS修改記錄后����,需要等待TTL超時才生效
3)直接對源IP的攻擊,無法使用云清洗防護����。
其它方式
面臨DDOS攻擊時,如果有多條線路��,可以通過負(fù)載均衡將受攻擊線路的訪問需求轉(zhuǎn)移到其它互聯(lián)網(wǎng)線路�����。
報文過濾
一個IP訪問速率限制
封IP
防御措辭
有效防御DDoS攻擊涉及多個方面的技術(shù)和策略�,以下是一些常用的防御措施:
1、使用高寬帶
網(wǎng)絡(luò)帶寬直接決定了網(wǎng)絡(luò)抵抗攻擊的能力�����。高寬帶支持大量數(shù)據(jù)傳輸和高速互聯(lián)網(wǎng)連接��,能夠在能夠在有大量流量涌入網(wǎng)站時提供強大的流量吞吐����,減少網(wǎng)絡(luò)的擁堵��。
2�����、采用安全防御產(chǎn)品
采用安全防御產(chǎn)品�,提供DDoS防護����,可有效防御畸形報文攻擊、SYN Flood��、ACK Flood����、UDP Flood�、ICMP Flood等網(wǎng)絡(luò)層攻擊以及SSL、DNS等應(yīng)用層攻擊�����。
不僅如此����,銳安盾還可提供 WAF���、Bot、API安全防護服���,節(jié)點識別并攔截 L3/L4/L7層各類攻擊請求�����;支持將靜態(tài)資源緩存到邊緣節(jié)點����,達(dá)到加速效果����,確保網(wǎng)站的安全與加速。
3����、增強邊緣防御
部署在網(wǎng)絡(luò)邊緣的防火墻和入侵檢測系統(tǒng)(IDS)可以在一定程度上識別并過濾攻擊流量。防火墻可以配置規(guī)則來阻止未經(jīng)授權(quán)的訪問��,而IDS可以分析通過網(wǎng)絡(luò)傳遞的數(shù)據(jù)包以識別惡意活動�。
4、設(shè)計冗余和備份計劃
準(zhǔn)備好恢復(fù)計劃和業(yè)務(wù)連續(xù)性是對抗DDoS攻擊的關(guān)鍵。確保關(guān)鍵數(shù)據(jù)和應(yīng)用程序有冗余備份�,并分布在多個地理位置,可以在攻擊影響到一處資源時快速恢復(fù)服務(wù)�����。
閱讀原文:原文鏈接
該文章在 2025/5/14 9:50:45 編輯過
400 186 1886
