DDoS攻擊是一種常見(jiàn)的網(wǎng)絡(luò)攻擊方式挣柬,它采用分布潮酒、協(xié)作的大規(guī)模攻擊方式直接或間接的通過(guò)互聯(lián)網(wǎng)上其他受控制的計(jì)算機(jī)攻擊目標(biāo)系統(tǒng)或者網(wǎng)絡(luò)資源,具有極高的隱蔽性和極強(qiáng)的破壞性凛忿。據(jù)相關(guān)數(shù)據(jù)顯示澈灼,我國(guó)2021年上半年境內(nèi)目標(biāo)遭受峰值流量超過(guò)500Gbps的大流量攻擊事件的主要攻擊方式為 TCPSYN Flood竞川、UDP Flood店溢、NTP Amplification、DNS Amplification委乌、 TCP ACK Flood 和 SSDP Amplification床牧,這6種攻擊的事件占比達(dá)到96.1%,數(shù)據(jù)顯示攻擊時(shí)長(zhǎng)不超過(guò)30分鐘的攻擊事件占比高達(dá)96%遭贸,此類(lèi)攻擊比例進(jìn)一步上升戈咳,表明攻擊者越來(lái)越傾向利用大流量攻擊,瞬間打癱攻擊目標(biāo)壕吹,為什么DDoS攻擊一直難以預(yù)防著蛙?因?yàn)镈DoS攻擊有以下幾個(gè)特點(diǎn):
DDoS 攻擊是通過(guò)聯(lián)合或控制分布在不同地點(diǎn)的若干臺(tái)攻擊機(jī)向受害主機(jī)發(fā)起的協(xié)同攻擊。分布式的特點(diǎn)不僅增加了攻擊強(qiáng)度耳贬,更加大了抵御攻擊的難度踏堡。2、易實(shí)施在現(xiàn)實(shí)網(wǎng)絡(luò)中咒劲,充斥著大量的DDoS攻擊工具顷蟆,它們大多方便快捷,易于利用腐魂。即使是手段不甚高明的攻擊者帐偎,也可以直接從網(wǎng)絡(luò)上下載工具組織攻擊。3蛔屹、欺騙性偽造源IP地址可以達(dá)到隱蔽攻擊源的目的削樊,而普通的攻擊源定位技術(shù)難以對(duì)這種攻擊實(shí)現(xiàn)追蹤。準(zhǔn)確定位攻擊源兔毒,是識(shí)別偽造源IP的重點(diǎn)嫉父,當(dāng)前的大部分IP定位技術(shù)大多都只能定位到攻擊網(wǎng)絡(luò)邊界路由器或代理主機(jī)沛硅。4、隱蔽性對(duì)于一些特殊的攻擊包绕辖,它們的源地址和目標(biāo)地址都是合法的摇肌。例如在HTTPFlood攻擊中,就可以利用真實(shí)的IP地址發(fā)動(dòng)DDoS攻擊仪际。這種貌似合法的攻擊包沒(méi)有明顯的特征围小,因而難以被預(yù)防系統(tǒng)識(shí)別,使得攻擊更隱蔽树碱,更難追蹤肯适,所以怎樣識(shí)別惡意IP,甚至是動(dòng)態(tài)惡意IP至關(guān)重要成榜。5框舔、破壞性DDoS 攻擊借助大量的傀儡主機(jī)向目標(biāo)主機(jī)同時(shí)發(fā)起攻擊,攻擊流經(jīng)過(guò)多方匯集后可能變得非常龐大赎婚。另外刘绣,加上它兼具分布性,隱蔽性及欺騙性等特點(diǎn)挣输,使其不僅能避過(guò)常規(guī)的防御系統(tǒng)纬凤,甚至還會(huì)造成嚴(yán)重的經(jīng)濟(jì)損失。
新技術(shù)的不斷催生撩嚼,導(dǎo)致DDoS攻擊結(jié)合新技術(shù)演變出多種類(lèi)型停士,攻擊者不再滿足于單一類(lèi)的攻擊,而是使用多種攻擊相結(jié)合的方法完丽。如DDoS結(jié)合CC的復(fù)合型攻擊恋技,這類(lèi)混合攻擊破壞性更大,同時(shí)更加難以防御逻族。對(duì)于缺乏防御的主機(jī)蜻底,網(wǎng)絡(luò)層攻擊帶來(lái)的效果仍然十分顯著,通過(guò)感染大量的物聯(lián)網(wǎng)設(shè)備甚至可以發(fā)起流量高達(dá)1TB每秒的攻擊瓷耙。DDoS攻擊已成為一種頻繁發(fā)生的網(wǎng)絡(luò)常態(tài)攻擊朱躺,同各大網(wǎng)絡(luò)安全廠商開(kāi)啟了一場(chǎng)永不落幕的網(wǎng)絡(luò)安全攻防之戰(zhàn)。
