单一的DDoS攻击通常采用一对一的方式,利用网络协议和操作系统的一些缺陷,采用欺骗和伪装策略进行网络攻击,使网站服务器泛滥大量需要回复的信息,消耗网络带宽或系统资源,导致网络或系统不堪重负,停止提供正常的网络服务。DDoS中文的意思是“分布式拒绝服务”,即利用大量合法的分布式服务器向目标发送请求,导致正常合法的用户无法获得服务。
一、DDoS攻击模式:一个服务需要为公众提供用户访问接口,而这些接口恰恰给了黑客可乘之机,比如:利用TCP/IP协议握手缺陷消耗服务器的链路资源,利用UDP协议无状态机制伪造大量UDP数据包阻断通信通道...可以说,互联网世界从诞生之初就不缺少DDoS使用的攻击点,从TCP/IP协议机制到CC、DNS、DNS。根据DDoS的危害性和攻击行为,我们可以将DDoS攻击方法分为以下几类:
| 序列号 | CPU | RAM | HDD | 带宽 | 售价(美元) | 免费试用 |
|---|---|---|---|---|---|---|
| 香港服务器1 | E5-2620 | 32G | 1T HDD | 50M/无限流量 | $196.00 | 立即申请 |
| 香港服务器2 | E5-2650 | 32G | 1T HDD | 50M/无限流量 | $256.00 | 立即申请 |
| 香港服务器3 | E5-2680 | 32G | 1T HDD | 50M/无限流量 | $316.00 | 立即申请 |
| 香港服务器4 | E5-2690 | 32G | 1T HDD | 50M/无限流量 | $336.00 | 立即申请 |
| 香港服务器5 | E5-2697 | 32G | 1T HDD | 50M/无限流量 | $376.00 | 立即申请 |
| 香港服务器6 | E5-2620*2 | 32G | 1T HDD | 50M/无限流量 | $376.00 | 立即申请 |
| 香港服务器7 | E5-2650*2 | 32G | 1T HDD | 50M/无限流量 | $436.00 | 立即申请 |
| 香港服务器8 | E5-2680*2 | 32G | 1T HDD | 50M/无限流量 | $476.00 | 立即申请 |
| 香港服务器9 | E5-2690*2 | 32G | 1T HDD | 50M/无限流量 | $556.00 | 立即申请 |
| 香港服务器10 | E5-2697*2 | 32G | 1T HDD | 50M/无限流量 | $596.00 | 立即申请 |
| 香港服务器11 | E5-2680v4*2 | 32G | 1T HDD | 50M/无限流量 | $696.00 | 立即申请 |
| 香港服务器12 | E5-2698v4*2 | 32G | 1T HDD | 50M/无限流量 | $796.00 | 立即申请 |
1.服务消费攻击:与资源消费攻击相比,服务消费攻击不需要太多流量,主要针对服务的特性,如web的CC、数据服务的检索、文件服务的下载等。这种攻击往往不是针对流量通道或者协议处理通道的拥塞,而是针对服务器总是处理高消耗服务,进而无法响应正常服务的繁忙状态。
2.混合攻击:混合攻击是上述攻击类型的组合,在攻击过程中检测并选择最佳的攻击模式。混合攻击往往伴随着资源消耗和服务消耗的特点。
3.资源消耗攻击:资源消耗攻击是典型的DDoS攻击,最具代表性的有Syn Flood、Ack Flood和UDP Flood。这种攻击的目标很简单,就是通过大量的请求消耗正常的带宽和协议栈处理资源的能力,从而达到服务器无法正常工作的目的。
4.反射攻击:反射攻击也叫放大攻击,主要基于UDP协议。一般来说,请求响应的流量远大于请求本身的流量。攻击者可以通过流量放大的特性,以较小的流量带宽创建大规模的流量源,从而对目标发起攻击。反射攻击并不是严格意义上的一种攻击,它只是利用一些服务的业务特性,以较低的成本发起Flood攻击。
二、DDoS保护手段:DDoS保护系统本质上是基于资源争夺和规则过滤的智能系统。主要防御手段和策略包括:
1.用户规则:从服务角度来看,DDoS防护本质上是一场以用户为主体,依靠反d防护体系与黑客竞争的战争。在整个数据对抗过程中,服务提供商往往拥有绝对的主动权,用户可以基于anti-d系统的特定规则,如流量类型、请求频率、数据包特征、正常服务之间的延迟间隔等。基于这些规则,用户可以在满足正常服务本身的前提下,更好地对抗七层DDoS,降低服务器的资源开销。
2.资源对抗:资源对抗也叫“死扛”,即通过堆叠大量服务器和带宽资源来达到从容应对DDoS流量的效果。
3.资源隔离:资源隔离可以看作是用户服务的保护盾。这个防护系统拥有无比强大的数据和流量处理能力,为用户过滤异常流量和请求。比如对于Syn Flood,屏蔽会响应Syn Cookie或Syn Reset认证,通过对数据源的认证,过滤虚假源数据包或电源攻击的攻击,保护服务器不被恶意连接。资源隔离系统主要保护ISO模型的第三层和第四层。
4.大数据智能分析:黑客为了构造大量的数据流,往往需要通过特定的工具构造请求数据,而这些数据包不具备正常用户的一些行为和特征。为了抵御这种攻击,我们可以基于海量数据分析对合法用户进行建模,并利用这些指纹特征,如Http模型特征、数据源、请求源等。有效过滤请求源白名单,从而实现对DDoS流量的精准清理。
三、黑客为什么选择DDoS:与其他恶意数据篡改或劫持攻击不同,DDoS简单粗暴,可以直接摧毁目标。另外,与其他攻击方式相比,DDoS的技术要求和攻击成本较低,只需要购买一些服务器权限或者控制一批肉鸡。而且对应的攻击速度快,攻击效果可见。另一方面,DDoS具有易攻难守的特点,服务提供商需要花费大量资源对抗攻击发起者,才能满足正常客户的需求。这些特点使得DDoS成为黑客手中一把非常好的剑。另一方面,虽然DDoS可以侵蚀带宽或资源,迫使服务中断,但这远不是黑客的真正目的。所谓不买不卖不杀,DDoS只是黑客手中的核武器,其目的不是敲诈勒索,就是商业竞争,或者是政治立场。在这种黑利益的驱使下,越来越多的人参与到这个行业中,并对攻击手段进行改进和升级,使得DDoS在互联网行业中愈演愈烈,成为一种全世界都无法战胜的顽疾。
四、DDoS防护难点:一方面,近十年来,网络基础设施的核心组件从未改变,使得一些被发现和利用的漏洞以及一些成熟的攻击工具存在较长的生命周期,即使在今天仍然有效。另一方面,随着七层模型在互联网上应用的快速发展,分布式拒绝服务攻击的目标也变得多样化。从web到DNS,从三层网络到七层应用,从协议栈到应用app,层出不穷的新产品也给了黑客更多的机会和突破点。再者,DDoS防护是一个技术和成本不对等的项目,一个企业的DDoS防御系统的建设成本往往大于企业本身的成本或收益,这使得很多创业公司或小型互联网公司不愿意进行更多的投资。
文章链接: https://www.ruisiidc.com/help/9452.html
文章标题: 瑞斯云:一文了解什么是DDoS攻击