首頁>科技>

作者丨小蔚

上網的時候,我們總能或多或少地聽到一些新聞,某某網站又遭遇DDoS攻擊了,十幾二十個小時,網站都沒辦法開啟。似乎每一次DDoS的出現,都有大新聞。

2018年發生了有史以來最大的DDoS攻擊事件,駭客此次攻擊目標,是數百萬程式設計師使用的線上程式碼管理服務平臺——Github,峰值高達1.35TB/S。受到攻擊後,伺服器斷斷續續,無法訪問,好在20分鐘內防禦措施才成功緩解。

兩年後幾乎同一時間,DDoS攻擊規模再創新高,亞馬遜在AWS Shield服務中,成功攔截了2.3Tbps的DDoS攻擊!

亞馬遜和Github算是比較幸運的,很多網站被DDoS攻擊後,都免不了癱瘓的命運。

2002年,雅虎、CNN、亞馬遜、eBay、ZDNet等網站,24小時內遭受到DDoS攻擊,部分網站癱瘓,僅亞馬遜和雅虎兩家公司,損失就高達110萬美元。

2007年,愛沙尼亞三週內遭遇三輪DDoS攻擊,總統府、議會、政府部門、主要政黨、主要媒體和大型銀行,全部癱瘓,北約頂級反網路恐怖主義專家前往救援。

2016年,美國DNS服務商Dyn遭遇DDos攻擊,導致美國東海岸大量網站宕機,Twitter、Tumblr、Netflix、亞馬遜、Shopify、Reddit、Airbnb、PayPal和Yelp等網站無一倖免。

在國內,2020年年底,網易的戰網平臺,受到了一系列大型惡意DDoS攻擊,導致平臺頻繁斷線崩潰。

為什麼防不住DDoS?

被DDoS攻擊的物件中,既有網際網路的大型企業,也有政府部門,按常理,他們在業界數一數二,為什麼還會遭遇DDoS攻擊呢?難不成是因為技術水平較差?

其實這是由於網路TCP/IP協議存在的天生缺陷導致的,可以說,只要網際網路用的還是TCP協議,那麼DDoS就不會消失,而且還會不斷髮展,越來越智慧化,攻擊成本越來越低,進而更加氾濫。

DDoS是目前最強大、最難防禦的攻擊方式之一,這是一個世界性的難題,只能防禦,沒有辦法徹底解決。

什麼是DDoS?

DDoS,全稱分散式拒絕服務攻擊(Distributed Denial of Service),它的攻擊目的,是讓指定目標,無法提供正常服務,甚至從網際網路上直接消失。遭受DDoS攻擊後,不僅正常使用者無法訪問網站,而且同時還會造成很大的經濟損失。

由於DDoS進行攻擊時,可以對源IP地址進行偽造,使得這種攻擊發生的時候,隱蔽性非常強,難以被檢測和防範。

DDoS攻擊,可以簡單地分成三種類型

攻擊頻寬

海量的資料包從網際網路的每一個角落蜂擁而來,堵塞IDC入口,讓各種強大的防禦系統、應急流程毫無用武之地。就像城市堵車一樣,四面八方湧來的汽車,堵住了城市的每一條街道,只是其他車輛無法正常行駛。這種型別的攻擊,典型的代表是ICMP Flood和UDP Flood。

ICMP Flood

ICMP是Internet控制報文協議,它是TCP/IP協議族的一個子協議,用於IP主機、路由器之間傳遞控制訊息,因此為攻擊者提供了極大的便利條件。

攻擊者在短時間內,向目標主機發送大量的ping包,消耗主機資源,主機資源耗盡後,就會癱瘓,無法提供服務。

UDP Flood

由於UDP協議是一種無連線的服務,所以只要開了一個UDP的埠,提供相關服務的話,攻擊者可傳送大量偽造源IP地址的小UDP包,利用大量的UDP小包,衝擊DNS伺服器或Radius認證伺服器、流媒體影片伺服器。100k bps的UDP Flood通常就能將線路上骨幹裝置打癱,造成整個網段的癱瘓。

上面的兩種DDoS攻擊方式,技術含量比較低,攻擊效果基本取決於主機本身的效能,而且很容易被查到攻擊源頭,單獨使用已經不常見了。

攻擊系統

這類攻擊大多是利用協議缺陷,或者軟體本身存在的漏洞發起的,例如Slowloris攻擊、Hash衝突攻擊。

Slowloris攻擊

由於網頁伺服器,對於併發的連線數都有一個上限。如果惡意佔用這些連線不釋放,伺服器就無法接收新的請求,導致拒絕服務。

Slowloris攻擊者以極低的速度,向伺服器傳送HTTP請求的方式,來達到這個目的。

混合型

既利用協議、軟體的漏洞,又具備海量的流量,例如SYN Flood攻擊、DNS Query Flood攻擊,是當前的主流攻擊方式。

SYN Flood

攻擊者會利用TCP協議的缺陷,傳送大量偽造的TCP連線請求,進而使被攻擊方CPU滿負荷,或者記憶體不足。

SYN Flood攻擊是透過三次握手實現的。

三次握手:

1.攻擊者向被攻擊伺服器,傳送一個包含SYN標誌的TCP報文,SYN即同步報文。同步報文會指明客戶端使用的埠以及TCP連線的初始序號,第一次握手達成。2.受害伺服器在收到攻擊者的SYN報文後,將返回一個SYN+ACK的報文,表示攻擊者的請求被接受,同時,TCP序號被加一,ACK即確認。第二次握手達成。3.攻擊者也返回一個確認報文ACK給受害伺服器,同樣TCP序列號被加一,到此一個TCP連線完成,三次握手完成。

在這三次握手中,如果有一個使用者,向伺服器傳送了SYN報文後,突然掉線或者宕機,此時伺服器將無法收到客戶端的ACK報文,伺服器端一般會嘗試重試。

等待一段時間後,還無法建立連結,才會丟棄這個未完成的連線,這個時間一般在30秒-2分鐘左右。

攻擊者就是透過大量模擬這種情況,透過偽裝大量的IP地址,給伺服器傳送SYN報文,由於偽裝的IP地址不存在,也就沒有裝置會給伺服器返回任何應答,致使伺服器端出現非常多的半連線列表,從而消耗大量的資源,進而癱瘓,無法響應。

這是目前最主流的DDoS攻擊方式之一。

DNS Query Flood

DNS作為網際網路的核心服務之一,自然成為了DDoS的一大攻擊目標。

攻擊者透過大量的傀儡機,對目標發起海量的域名查詢請求,通常請求解析的域名,都是隨機生成,或者根本不存在的域名。被攻擊的DNS伺服器收到解析請求後,會先查詢是否有對應的快取,如果找不到,並且伺服器無法直接解析,DNS伺服器就會向其上層DNS伺服器,遞迴查詢域名資訊。

這一域名解析的過程,會給伺服器帶來很大的負載,當每秒解析域名的請求太多,超出了一定數量,就會導致DNS伺服器解析域名超時,拒絕服務。

真正讓網際網路企業頭疼的,是CC攻擊。

CC

像SYN Flood和DNS Query Flood這類攻擊,都需要用root許可權,控制大量的傀儡機,很耗費時間和精力,而且期間容易被發現,導致攻擊者資源損耗快,又無法得到快速補充,攻擊預期往往比較低,而CC攻擊則不同。

使用CC攻擊,攻擊者不需要控制大量的傀儡機,而是透過匿名代理,對攻擊目標發起HTTP請求。

而且CC攻擊,是在HTTP層發起的,極力模仿正常使用者的網頁請求行為,往往與網站的業務緊密相關,很多雲服務商,很難提供一套通用,而且不會影響使用者體驗的方案。方案一旦誤殺正常使用者,帶來的傷害會遠高於攻擊本身帶來的傷害。

CC攻擊還會引起嚴重的連鎖反應,導致前端響應緩慢,還會間接攻擊到後端等業務邏輯,以及資料庫服務,甚至對日誌儲存伺服器帶來影響。

DDoS雲清洗服務,也可以抵禦CC攻擊,目前 DMS 單節點抗攻擊能力可達 800Gbps,同時 DMS 的智慧排程中心能夠根據攻擊情況智慧排程全網資源,總體抗攻擊能力達到 15Tbps+。

以上就是幾種常見的DDoS攻擊型別,下課啦~

15
最新評論
  • 整治雙十一購物亂象,國家再次出手!該跟這些套路說再見了
  • 小米或步中興後塵,唯有掌握自主核心技術才能杜絕卡脖子一再發生