单个 DDoS 攻击通常采用一对一攻击的形式。 借助网络契约和操作系统的一些缺陷,采用误导和伪装策略进行网络攻击,导致网站服务器大量涌入需要回复的信息,消耗网络带宽或系统资源服务器攻击软件,造成网络或系统不堪重负,停止提供正常的网络服务。 DDoS在英文中是“分布式拒绝服务”的意思,即利用大量合法的分布式服务器向目标发送请求,使正常合法用户难以获得服务。
1、DDoS攻击方式:一个服务需要向公众提供一个用户访问套接字,而这个套接字正好给了黑客可乘之机,例如:利用TCP/IP合约握手缺陷消耗服务器的链接资源,利用UDP合约无状态机制伪造大量UDP包阻塞通信通道……可以说互联网世界从诞生之日起就不缺少DDoS攻击点,从TCP/IP合约机制到CC、DNS、和域名系统。 根据DDoS的危害和攻击行为,我们可以将DDoS攻击方式分为以下几类:
1、服务消费操作:相对于资源消费操作,服务消费操作不需要太大的流量,主要针对服务特性,如web CC、数据服务检索、文件服务下载等。这些攻击往往不是针对流量通道或合同处理通道串扰,但服务器处于繁忙状态,一直在处理高耗业务,无法响应正常业务。
2.混合攻击:混合攻击是以上攻击类型的组合,在攻击过程中检查并选择最佳的攻击方式。 混合攻击往往伴随着资源消耗和服务消耗的特点。
3、资源消耗攻击:资源消耗攻击是典型的DDoS攻击,最具代表性的有SynFlood、AckFlood和UDPFlood。 这些攻击的目的很简单,就是通过大量的请求消耗正常的带宽和合约栈处理资源,进而达到服务器无法正常工作的目的。
4、反射攻击:反射攻击也叫放大攻击,主要是基于UDP契约。 一般来说,请求响应的流量远小于请求本身的流量。 攻击者可以利用流量放大的特性,以较小的流量带宽创建大规模的流量源,从而对目标发起成功的攻击。 反射攻击并不是严格意义上的一种攻击,它只是利用某些服务的业务特性,以相对较低的成本发起泛洪攻击。
2、DDoS防护手段: DDoS防护系统本质上是一个基于资源竞争和规则过滤的智能系统。 主要的防御方法和策略包括:
1、用户规则:从服务的角度来看,DDoS防护本质上是一场以用户为主体,利用反D防护系统与黑客进行较量的战争。 在数据对抗的整个过程中,服务提供者往往拥有绝对的主动权,用户可以根据反D系统的特定规则采取行动,例如流量类型、请求频率、数据包特征、正常服务之间的延迟间隔等。 等待。 基于此规则,用户可以在满足自身正常服务的前提下,更好的对抗七层DDoS,增加服务器的资源开销。
2、资源对抗:资源对抗又称为“死亡攻击”,即通过堆叠大量的服务器和带宽资源从容应对DDoS流量。
3、资源隔离:资源隔离可以看作是用户服务的保护盾。 该保护系统具有极其强大的数据和流量处理能力,为用户过滤异常流量和请求。 例如对于SynFlood,屏蔽会响应Syncookie或SynReset认证,通过对数据源的认证,过滤假源数据包或power攻击,保护服务器免受恶意连接。 资源隔离系统主要保护ISO模型的第三层和第四层。
4、大数据智能分析:黑客为了构造大量的数据流,往往需要通过特定的工具构造请求数据,而这些数据包不具备正常用户的一些行为和特征。 为了抵御这些攻击,我们可以基于海量数据分析对合法用户进行建模,利用那些指纹特征,如Http模型特征、数据源、请求源等,有效过滤请求源的白名单,从而实现精准删除 DDoS 流量。
3、黑客为什么选择DDoS:与其他恶意数据篡改或绑架攻击不同,DDoS简单粗暴,可以直接摧毁目标。 此外,与其他攻击方式相比,DDoS的技术要求和攻击成本更低,只需要购买一些服务器权限或控制一批雏鸡即可。 而相应的攻击速度也快,攻击的疗效可见一斑。 另一方面,DDoS攻击易守难攻。 服务提供商需要花费大量资源来对抗攻击者以满足正常客户的需求。 这一特性使得DDoS成为黑客手中特别好的利剑。 另一方面,尽管DDoS可以侵蚀带宽或资源,导致服务中断,但这与黑客的真正目的相去甚远。 所谓不买不卖不杀,DDoS只是黑客手中的核装置。 其目的不是勒索或恐吓,而是商业竞争或政治立场。 在这些黑色利益的驱使下,越来越多的人参与到这个行业中,对攻击手段进行改良升级,致使DDoS在互联网行业愈演愈烈,成为全世界都难以战胜的乱象。
4、DDoS防护难点:一方面,过去六年,网络基础设施的核心部件没有发生变化,导致一些被发现和利用的漏洞和一些生命周期较长的成熟攻击工具,虽然它们会明天仍然有效。 另一方面,随着七层模型在互联网上的应用迅速发展,分布式拒绝服务攻击的目标也呈现多样化。 从web到DNS服务器攻击软件,从三层网络到七层应用,从合约栈到应用app,层出不穷的新产品也给了黑客更多的机会和突破点。 另外,DDoS防护是一个技术和成本不对等的项目。 企业DDoS防御系统的建设成本往往低于企业自身的成本或利润,这让很多初创公司或大型互联网公司不愿意进行更多的投资。