DDoS攻擊全稱——分布式拒絕服務攻擊慢宗,是網(wǎng)絡攻擊中非常常見的攻擊方式。在進行攻擊的時候奔穿,這種方式可以對不同地點的大量計算機進行攻擊镜沽,進行攻擊的時候主要是對攻擊的目標發(fā)送超過其處理能力的數(shù)據(jù)包,使攻擊目標出現(xiàn)癱瘓的情況贱田,不能提供正常的服務缅茉。
DDoS常見攻擊方式
常見的DDoS攻擊一般有三種方式,攻擊網(wǎng)絡帶寬資源男摧、攻擊系統(tǒng)資源和攻擊應用資源蔬墩。具體細分攻擊方式詳見下面三張圖。
DDoS攻擊原理
DDoS攻擊有許多不同的攻擊方式耗拓,而不同的攻擊方式原理也不盡相同拇颅。下面列出常見DDoS攻擊方式的原理。
ICMP Flood:通過對目標系統(tǒng)發(fā)送海量數(shù)據(jù)包帆离,就可以令目標主機癱瘓,如果大量發(fā)送就成了洪水攻擊结澄。
UDP Flood:攻擊者通常發(fā)送大量偽造源IP地址的小UDP包哥谷,100kbps的就能 將線路上的骨干設備例如防火墻打癱,造成整個網(wǎng)段的癱瘓麻献。
ACK Flood:?目前ACKFlood并沒有成為攻擊的主流们妥,而通常是與其他攻擊方式組合在一起使用。
NTP Flood:攻擊者使用特殊的數(shù)據(jù)包勉吻,也就是IP地址指向作為反射器的服務器监婶,源IP地址被偽造成攻擊目標的IP,這樣一來可能只需要1Mbps的上傳帶寬欺騙NTP服務器,就可給目標服務器帶來幾百上千Mbps的攻擊流量惑惶。
SYN Flood:一種利用TCP協(xié)議缺陷煮盼,發(fā)送大量偽造的TCP連接請求,從而使得被攻擊方資源耗盡的攻擊方式带污。
CC 攻擊:由于CC攻擊成本低僵控、威力大據(jù)調(diào)查目前80%的DDoS攻擊都是CC攻擊。CC攻擊是借助代理服務器生成指向目標系統(tǒng)的合法請求鱼冀,實現(xiàn)偽裝和DDoS报破。這種攻擊技術性含量高,見不到真實源IP千绪,見不到特別大的異常流量充易,但服務器就是無法進行正常連接。
DNS Query Flood:DNSQueryFlood采用的方法是操縱大量傀儡機器荸型,向目標服務器發(fā)送大量的域名解析請求盹靴。解析過程給服務器帶來很大的負載,每秒鐘域名解析請求超過一定的數(shù)量就會造成DNS服務器解析域名超時帆疟。
DDoS攻擊現(xiàn)在趨勢
第一鹉究,攻擊類型更加多樣與復雜。容量耗盡型攻擊:例如TCP耗盡踪宠,應用層攻擊自赔,以及結合多種策略與手段的多向量攻擊,這些攻擊現(xiàn)在往往針對的是服務器或網(wǎng)站的薄弱環(huán)節(jié)柳琢,例如針對下載绍妨、表單等區(qū)域,攻擊流量與用戶流量混雜在一起柬脸,因此企業(yè)也更難區(qū)分并緩解惡意流量他去。僅在國內(nèi)的攻擊,上T的峰值已不罕見倒堕。這意味著攻擊者采取更少次數(shù)灾测,但更復雜更智能的攻擊就可以給企業(yè)帶來重創(chuàng)。
第二垦巴,在近幾年的報告中可以看出媳搪,新型的攻擊手法如放大反射攻擊開始逐漸活躍。反射放大攻擊是一種具有巨大攻擊力的DDoS攻擊方式骤宣。攻擊者只需要付出少量的代價秦爆,即可對需要攻擊的目標產(chǎn)生巨大的流量,對網(wǎng)絡帶寬資源(網(wǎng)絡層)憔披、連接資源(傳輸層) 和計算機資源(應用層)造成巨大的壓力等限。
2016年美國Dyn公司的DNS服務器遭受DDoS攻擊爸吮,導致美國大范圍斷網(wǎng)。事后的攻擊流量分析顯示望门,DNS反射放大攻擊與SYN洪水攻擊是作為本次造成美國斷網(wǎng)的拒絕服務攻擊的主力形娇。由于反射放大攻擊危害大,成本低怒允,溯源難埂软,被黑色產(chǎn)業(yè)從業(yè)者所喜愛。
除此之外還有攻擊系統(tǒng)資源和攻擊應用資源的攻擊方式∪沂拢現(xiàn)在越來越多的攻擊者勘畔,喜歡發(fā)起混合攻擊,上下開工丽惶,打得受害企業(yè)措手不及炫七,這樣使傳統(tǒng)的抗DDoS攻擊思想開始變得越來越無用。
如何正確防御DDoS攻擊钾唬?
傳統(tǒng)的防御思想都是單一的万哪,如增加帶寬,買ADS設備抡秆,買DDoS防火墻奕巍,用云端和本地代替等等。有一些方法確實可以緩解儒士,但是對企業(yè)來說的止,在攻擊越來越復雜的當下做好全面防護難度很大。
這時候着撩,企業(yè)往往需要第三方的抗DDoS服務商來提供安全支持诅福。作為企業(yè)在選購抗DDoS業(yè)務時,必須要考察以下幾點:
1.有多少節(jié)點拖叙?
2.機房最大能抗多少流量峰值氓润?
3.機房數(shù)量以及穩(wěn)定性?
4.支持測試么薯鳍?
5.價格是否合適咖气?
6.是否可以實時展示,并有效通知挖滤?
7.遭受攻擊或者不穩(wěn)定影響業(yè)務時崩溪,是否可以支持排查問題?
安全服務商該如何選擇壶辜?
目前最市場占有率較大的幾個網(wǎng)絡安全服務商有阿里云悯舟、騰訊云担租、知道創(chuàng)宇等砸民。下面簡單羅列出各自DDoS防御服務特點,大家可以根據(jù)自身業(yè)務需求選擇。
阿里云:基本上可以防護各種DDoS攻擊岭参,并可以根據(jù)用戶的流量大小自動調(diào)整防御策略,支持BGP和CDN兩種引流,并在防御應用層DDOS上有很大優(yōu)勢椎侠,最大防護能力達到T級伐憾。
騰訊云:騰訊基于自身能力在游戲和社交產(chǎn)品的防御上獨具優(yōu)勢,采用BGP防護帶寬秒际,單IP對接多線路悬赏,線路可靠且覆蓋面廣。
知道創(chuàng)宇:同樣能對互聯(lián)網(wǎng)上各種類型的DDoS攻擊進行防護娄徊,并且有海外CN2專線闽颇,對海外業(yè)務友好,延時很低寄锐。他們的產(chǎn)品在防CC攻擊上有明顯優(yōu)勢兵多,最大防護達4T。有免費試用和低價的抗D套餐橄仆,中小企業(yè)也可以選擇剩膘。
綠盟云:背靠綠盟多年硬件防護能力,基于CPE設備/軟件結合云端服務的混合抗D方案盆顾,綠盟當前在大客戶有廣泛的ADS及抗D模塊設備如WAF的部署怠褐,可以很容易感知業(yè)務異常,方便和云端聯(lián)動和協(xié)作椎扬。
