在網(wǎng)絡(luò)安全領(lǐng)域�,DDoS 攻擊一直是熱門話題,隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和網(wǎng)絡(luò)環(huán)境的復(fù)雜化演變����,DDoS 攻擊變得愈加頻繁、更具破壞性�����。根據(jù) 2023 年網(wǎng)絡(luò)安全態(tài)勢(shì)研判分析年度綜合報(bào)告��,全年全網(wǎng)網(wǎng)絡(luò)層的 DDoS 攻擊次數(shù)達(dá) 2.51 億次��!
DDoS攻擊��,即分布式拒絕服務(wù)攻擊(Distributed Denial of Service)��,是指攻擊者利用一臺(tái)或多臺(tái)不同位置的計(jì)算機(jī)對(duì)一個(gè)或多個(gè)目標(biāo)同時(shí)發(fā)動(dòng)攻擊����,消耗目標(biāo)服務(wù)器性能或網(wǎng)絡(luò)帶寬,使服務(wù)器運(yùn)行緩慢或者宕機(jī)��,從而造成服務(wù)器無(wú)法正常地提供服務(wù)的網(wǎng)絡(luò)攻擊類型��。
DDoS攻擊是一種常見(jiàn)的網(wǎng)絡(luò)攻擊類型����,也是當(dāng)前最主要的互聯(lián)網(wǎng)安全威脅之一。
DDOS攻擊技術(shù)
常見(jiàn)的流量直接攻擊(SYN�,ACK,ICMP�,udp flood),利用特定應(yīng)用或協(xié)議進(jìn)行反射性的流量攻擊����,基于應(yīng)用的CC,慢速HTTP等����。
ICMP Flood
攻擊者發(fā)送大量的ICMP Echo請(qǐng)求到目標(biāo)服務(wù)器,使服務(wù)器資源耗盡�,無(wú)法正常響應(yīng)其他網(wǎng)絡(luò)請(qǐng)求。
ICMP反射泛洪攻擊
指Smurf IP利用廣播地址發(fā)送ICMP包����,一旦廣播出去�,就會(huì)被廣播域內(nèi)的所有主機(jī)回應(yīng)���,當(dāng)然這些包都回應(yīng)給了偽裝的IP地址(指向目標(biāo)主機(jī))�����。偽裝IP地址可以是互聯(lián)網(wǎng)上的任何地址����,不一定在本地���。假如黑客不停地發(fā)送ICMP包����,就會(huì)造成拒絕服務(wù)�。
?UDP Flood?
攻擊者發(fā)送大量的UDP數(shù)據(jù)包到目標(biāo)服務(wù)器,使服務(wù)器無(wú)法處理這些大量的無(wú)效數(shù)據(jù)包����,從而導(dǎo)致服務(wù)癱瘓。這種攻擊利用UDP協(xié)議的特性,通過(guò)向目標(biāo)服務(wù)器發(fā)送大量UDP數(shù)據(jù)包���,使其資源耗盡?
SYN Flood
以多個(gè)隨機(jī)的源主機(jī)地址向目的主機(jī)發(fā)送syn包�����,而在收到目的主機(jī)的syn+ ack包后并不回應(yīng),目的主機(jī)為這些源主機(jī)建立大量的連接隊(duì)列���,由于沒(méi)有收到ack一直維護(hù)這些連接隊(duì)列��,造成資源的大量消耗而不能向正常的請(qǐng)求提供服務(wù)����。
NTP Flood
NTP攻擊是一種利用被攻擊的NTP服務(wù)器來(lái)攻擊目標(biāo)系統(tǒng)的DDoS攻擊方式�����。攻擊者發(fā)送大量的偽造的NTP查詢請(qǐng)求到NTP服務(wù)器���,服務(wù)器會(huì)向目標(biāo)系統(tǒng)發(fā)送大量的NTP響應(yīng)數(shù)據(jù)��,從而占用目標(biāo)系統(tǒng)的帶寬和系統(tǒng)資源���。
CC攻擊
CC攻擊�����,英文Challenge Collapsar�����,是分布式拒絕服務(wù)(DDoS)攻擊的一種類型����,其通過(guò)向一些目標(biāo)網(wǎng)絡(luò)服務(wù)器發(fā)送偽造的HTTP 請(qǐng)求���,這些請(qǐng)求往往需要復(fù)雜耗時(shí)的計(jì)算或數(shù)據(jù)庫(kù)操作����,以耗盡目標(biāo)網(wǎng)絡(luò)服務(wù)器的資源���,導(dǎo)致目標(biāo)服務(wù)器停止響應(yīng)請(qǐng)求����,造成用戶訪問(wèn)速度慢甚至無(wú)法訪問(wèn)��。
NTP(Network Time Protocol,網(wǎng)絡(luò)時(shí)間協(xié)議)Flood
NTP是標(biāo)準(zhǔn)的基于UDP協(xié)議傳輸?shù)木W(wǎng)絡(luò)時(shí)間同步協(xié)議���,由于UDP協(xié)議的無(wú)連接性����,方便偽造源地址����。攻擊者使用特殊的數(shù)據(jù)包,也就是IP地址指向作為反射器的服務(wù)器����,源IP地址被偽造成攻擊目標(biāo)的IP�,反射器接收到數(shù)據(jù)包時(shí)就被騙了,會(huì)將響應(yīng)數(shù)據(jù)發(fā)送給被攻擊目標(biāo)�,耗盡目標(biāo)網(wǎng)絡(luò)的帶寬資源。
一般的NTP服務(wù)器都有很大的帶寬�����,攻擊者可能只需要1Mbps的上傳帶寬欺騙NTP服務(wù)器��,就可給目標(biāo)服務(wù)器帶來(lái)幾百上千Mbps的攻擊流量�����。因此,“問(wèn)-答”方式的協(xié)議都可以被反射型攻擊利用����,將質(zhì)詢數(shù)據(jù)包的地址偽造為攻擊目標(biāo)地址,應(yīng)答的數(shù)據(jù)包就會(huì)都被發(fā)送至目標(biāo)��,一旦協(xié)議具有遞歸效果�����,流量就被顯著放大了�����,堪稱一種“借刀殺人”的流量型攻擊���。
DNS Query Flood
DNS作為互聯(lián)網(wǎng)的核心服務(wù)之一�,自然也是DDoS攻擊的一大主要目標(biāo)��。
DNS Query Flood采用的方法是操縱大量傀儡機(jī)器��,向目標(biāo)服務(wù)器發(fā)送大量的域名解析請(qǐng)求��。服務(wù)器在接收到域名解析請(qǐng)求時(shí),首先會(huì)在服務(wù)器上查找是否有對(duì)應(yīng)的緩存���,若查找不到且該域名無(wú)法直接解析時(shí)����,便向其上層DNS服務(wù)器遞歸查詢域名信息���。
通常����,攻擊者請(qǐng)求解析的域名是隨機(jī)生成或者是網(wǎng)絡(luò)上根本不存在的域名�����,由于在本地?zé)o法查到對(duì)應(yīng)的結(jié)果�,服務(wù)器必須使用遞歸查詢向上層域名服務(wù)器提交解析請(qǐng)求����,引起連鎖反應(yīng)。解析過(guò)程給服務(wù)器帶來(lái)很大的負(fù)載�����,每秒鐘域名解析請(qǐng)求超過(guò)一定的數(shù)量就會(huì)造成DNS服務(wù)器解析域名超時(shí)。
根據(jù)微軟的統(tǒng)計(jì)數(shù)據(jù)�����,一臺(tái)DNS服務(wù)器所能承受的動(dòng)態(tài)域名查詢的上限是每秒鐘9000個(gè)請(qǐng)求���。而一臺(tái)P3的PC機(jī)上可以輕易地構(gòu)造出每秒鐘幾萬(wàn)個(gè)域名解析請(qǐng)求�,足以使一臺(tái)硬件配置極高的DNS服務(wù)器癱瘓����,由此可見(jiàn)DNS服務(wù)器的脆弱性。
淚滴攻擊
攻擊者向目標(biāo)機(jī)器發(fā)送損壞的IP包���,諸如重疊的包或過(guò)大的包載荷����。借由這些手段�����,該攻擊可以通過(guò)TCP/IP協(xié)議棧中分片重組代碼的bug來(lái)使各種不同的操作系統(tǒng)癱瘓��。
Ping of Death
攻擊者利用單個(gè)包的長(zhǎng)度超過(guò)了IP規(guī)范所規(guī)定的包長(zhǎng)度的條件對(duì)目標(biāo)發(fā)起攻擊。
DDOS的防御
不同的企業(yè)可以根據(jù)實(shí)際情況采用不同的防御方式�,比較重要的一點(diǎn)就是要考慮預(yù)算問(wèn)題�����,在大部分時(shí)候���,你購(gòu)買的高防服務(wù)以及流量都排不上用場(chǎng)��。
常用的防御方式:本地設(shè)備清洗��,運(yùn)營(yíng)商清洗,云清洗�。
本地清洗設(shè)備
業(yè)內(nèi)習(xí)慣稱之為ADS設(shè)備,可以旁路或者串聯(lián)部署����,旁路部署時(shí)需要再發(fā)生攻擊時(shí)進(jìn)行流量牽引��?�?梢缘钟恍┬∫?guī)模的流量攻擊�,遇到大規(guī)模的攻擊就比較麻煩�。比較典型時(shí)設(shè)備時(shí)綠盟的黑洞。
本地清洗最大的問(wèn)題是當(dāng)DDoS攻擊流量超出企業(yè)出口帶寬時(shí)����,即使ADS設(shè)備處理性能夠,也無(wú)法解決這個(gè)問(wèn)題����。
典型的部署結(jié)構(gòu)圖如下所示,檢測(cè)設(shè)備對(duì)鏡像過(guò)來(lái)的流量進(jìn)行分析����,檢測(cè)到DDoS攻擊后通知清洗設(shè)備,清洗設(shè)備通過(guò)BGP或OSPF協(xié)議將發(fā)往被攻擊目標(biāo)主機(jī)的流量牽引到清洗設(shè)備�����,然后將清洗后的干凈流量通過(guò)策略路由或者M(jìn)PLS LSP等方式回注到網(wǎng)絡(luò)中�����;當(dāng)檢測(cè)設(shè)備檢測(cè)到DDoS攻擊停止后,會(huì)通知清洗設(shè)備停止流量牽引����。
?
運(yùn)營(yíng)商清理
當(dāng)本地流量清洗解決不了流量超過(guò)出口寬帶的問(wèn)題時(shí),往往需要借助運(yùn)營(yíng)商的能力�,緊急擴(kuò)容或者開(kāi)啟清洗服務(wù)。
云清洗
內(nèi)容分發(fā)系統(tǒng)(CDN)是指通過(guò)在網(wǎng)絡(luò)各處放置節(jié)點(diǎn)服務(wù)器�����,讓用戶能夠在離自己最近的地方訪問(wèn)服務(wù)��,以此來(lái)提高訪問(wèn)速度和服務(wù)質(zhì)量�����。CDN主要利用了四大關(guān)鍵技術(shù):內(nèi)容分發(fā)��,內(nèi)容路由��,內(nèi)存存儲(chǔ)����,內(nèi)容管理���。
CDN技術(shù)的初衷是為了提高互聯(lián)網(wǎng)用戶對(duì)靜態(tài)網(wǎng)站的訪問(wèn)速度�����,但是由于分布式�����,就近訪問(wèn)的特點(diǎn)�����,能對(duì)攻擊流量進(jìn)行稀釋���,因此一些傳統(tǒng)的CDN廠商除了提供云加速服務(wù)�,也開(kāi)始推出云清洗服務(wù)��。
云清洗需要注意下面的一些問(wèn)題
1)云清洗需要提前配置好相應(yīng)的記錄�����。
2)DNS修改記錄后�����,需要等待TTL超時(shí)才生效
3)直接對(duì)源IP的攻擊,無(wú)法使用云清洗防護(hù)�����。
其它方式
面臨DDOS攻擊時(shí)��,如果有多條線路����,可以通過(guò)負(fù)載均衡將受攻擊線路的訪問(wèn)需求轉(zhuǎn)移到其它互聯(lián)網(wǎng)線路。
報(bào)文過(guò)濾
一個(gè)IP訪問(wèn)速率限制
封IP
防御措辭
有效防御DDoS攻擊涉及多個(gè)方面的技術(shù)和策略�,以下是一些常用的防御措施:
1、使用高寬帶
網(wǎng)絡(luò)帶寬直接決定了網(wǎng)絡(luò)抵抗攻擊的能力���。高寬帶支持大量數(shù)據(jù)傳輸和高速互聯(lián)網(wǎng)連接����,能夠在能夠在有大量流量涌入網(wǎng)站時(shí)提供強(qiáng)大的流量吞吐����,減少網(wǎng)絡(luò)的擁堵。
2�����、采用安全防御產(chǎn)品
采用安全防御產(chǎn)品,提供DDoS防護(hù)�����,可有效防御畸形報(bào)文攻擊����、SYN Flood�、ACK Flood、UDP Flood����、ICMP Flood等網(wǎng)絡(luò)層攻擊以及SSL、DNS等應(yīng)用層攻擊����。
不僅如此,銳安盾還可提供 WAF��、Bot�、API安全防護(hù)服,節(jié)點(diǎn)識(shí)別并攔截 L3/L4/L7層各類攻擊請(qǐng)求����;支持將靜態(tài)資源緩存到邊緣節(jié)點(diǎn)��,達(dá)到加速效果�����,確保網(wǎng)站的安全與加速����。
3�、增強(qiáng)邊緣防御
部署在網(wǎng)絡(luò)邊緣的防火墻和入侵檢測(cè)系統(tǒng)(IDS)可以在一定程度上識(shí)別并過(guò)濾攻擊流量。防火墻可以配置規(guī)則來(lái)阻止未經(jīng)授權(quán)的訪問(wèn)�����,而IDS可以分析通過(guò)網(wǎng)絡(luò)傳遞的數(shù)據(jù)包以識(shí)別惡意活動(dòng)��。
4��、設(shè)計(jì)冗余和備份計(jì)劃
準(zhǔn)備好恢復(fù)計(jì)劃和業(yè)務(wù)連續(xù)性是對(duì)抗DDoS攻擊的關(guān)鍵�。確保關(guān)鍵數(shù)據(jù)和應(yīng)用程序有冗余備份,并分布在多個(gè)地理位置����,可以在攻擊影響到一處資源時(shí)快速恢復(fù)服務(wù)���。
閱讀原文:原文鏈接
該文章在 2025/5/14 9:50:45 編輯過(guò)
400 186 1886
