写点什么

浅析 DDoS 攻击及防御

  • 2020-06-15
  • 本文字数:3940 字

    阅读完需:约 13 分钟

浅析DDoS攻击及防御


如今,信息技术的发展为人们带来了诸多便利,无论是个人社交行为,还是商业活动都离不开网络。但是,网络空间在创造机遇的同时,也带来了威胁,其中 DDoS 就是最具破坏力的攻击。经过这些年的不断发展,它已经成为不同组织和个人的攻击形式之一,用于网络中的勒索、报复,甚至网络战争。

先聊聊 DDoS 的概念和发展

在讲发展前,我们先对分布式拒绝服务(DDoS)的基本概念有个大体了解。

何为“拒绝服务”攻击?

其实可以简单理解为:让一个公开网站无法访问。要实现这个目的,方法也很简单:不断地提出服务请求,让合法用户的请求无法及时处理。

何为“分布式”?

随着网络发展,很多大型企业具备较强的服务提供能力,所以应付单个请求的攻击已经不是问题。“道高一尺,魔高一丈”,攻击者就组织很多同伙,同时提出服务请求,直到服务无法访问,这就叫“分布式”。但是,在现实中,一般的攻击者无法组织各地伙伴协同“作战”,所以会使用“僵尸网络”来控制 N 多计算机进行攻击。

何为“僵尸网络”?

就是数量庞大的僵尸程序(Bot)通过一定方式组合,出于恶意目的,采用一对多的方式进行控制的大型网络,也可以说是一种复合性攻击方式。因为僵尸主机的数量很大而且分布广泛,所以危害程度和防御难度都很大。


僵尸网络具备高可控性,控制者可以在发布指令后,就断开与僵尸网络的连接,而控制指令会自动在僵尸程序间传播执行。



这就像个生态系统一样。对安全研究人员来说,通过捕获一个节点虽然可以发现此僵尸网络的许多僵尸主机,但很难窥其全貌,而且即便封杀一些僵尸主机,也不会影响整个僵尸网络的生存。

DDoS 的发展怎么样?

正所谓“以史为鉴,可以知兴替”。既然大概了解了 DDoS,咱们说说它的历史发展。最早的时候,黑客们大都是为了炫耀个人技能,所以攻击目标选择都很随意,娱乐性比较强。后来,有一些宗教组织和商业组织发现了这个攻击效果,就以勒索、报复等方式为目的,对特定目标进行攻击,并开发一些相应的工具,保证攻击成本降低。当国家级政治势力意识到这个价值的时候,DDoS 就开始被武器化,很容易就被用于精确目标的网络战争中。



根据绿盟科技 2015 年的 DDoS 态势分析,从全球流量分布来看,中国和美国是 DDoS 受灾的重灾区。

谈谈 DDoS 的攻击方式

分布式拒绝服务攻击的精髓是:利用分布式的客户端,向目标发起大量看上去合法的请求,消耗或者占用大量资源,从而达到拒绝服务的目的。


其主要攻击方法有 4 种:

1. 攻击带宽

跟交通堵塞情况一样,大家都应该清楚:当网络数据包的数量达到或者超过上限时,会出现网络拥堵、响应缓慢的情况。DDoS 就是利用这个原理,发送大量网络数据包,占满被攻击目标的全部带宽,从而造成正常请求失效,达到拒绝服务的目的。


攻击者可以使用 ICMP 洪水攻击(即发送大量 ICMP 相关报文)、或者 UDP 洪水攻击(即发送用户数据报协议的大包或小包),使用伪造源 IP 地址方式进行隐匿,并对网络造成拥堵和服务器响应速度变慢等影响。


但是,这种直接方式通常依靠受控主机本身的网络性能,所以效果不是很好,还容易被查到攻击源头。于是反射攻击就出现,攻击者使用特殊的数据包,即 IP 地址指向作为反射器的服务器,源 IP 地址被伪造成攻击目标的 IP,反射器接收到数据包的时候就被骗了,会将响应数据发送给被攻击目标,然后就会耗尽目标网络的带宽资源。

2. 攻击系统

创建 TCP 连接需要客户端与服务器进行三次交互,也就是常说的“三次握手”。这个信息通常被保存在连接表结构中,但是表的大小有限,所以当超过存储量,服务器就无法创建新的 TCP 连接。


攻击者利用这一点,用受控主机建立大量恶意的 TCP 连接,占满被攻击目标的连接表,使其无法接受新的 TCP 连接请求。如果攻击者发送了大量的 TCP SYN 报文,让服务器在短时间内产生大量的半开连接,连接表也会被很快占满,导致无法建立新的 TCP 连接,这个方式是 SYN 洪水攻击,很多攻击者都比较常用。


3.攻击应用

由于 DNS 和 Web 服务的广泛性和重要性,这两种服务就成为消耗应用资源的分布式拒绝服务攻击的主要目标。


比如,向 DNS 服务器发送大量查询请求,从而达到拒绝服务的效果,如果每一个 DNS 解析请求所查询的域名都是不同的,那么就有效避开服务器缓存的解析记录,达到更好的资源消耗效果。当 DNS 服务的可用性受到威胁,互联网上大量的设备都会受到影响而无法正常使用。


近些年,Web 技术发展非常迅速,如果攻击者利用大量的受控主机不断地向 Web 服务器恶意发送大量 HTTP 请求,要求 Web 服务器处理,就会完全占用服务器资源,让正常用户的 Web 访问请求得不到处理,导致拒绝服务。一旦 Web 服务受到这种攻击,就会对其承载的业务造成致命的影响。

4.混合攻击

在实际的生活中,攻击者并不关心使用的哪种攻击方法管用,只要能够达到目的,一般就会发动其所有的攻击手段,尽其所能的展开攻势。对于被攻击目标来说,需要面对不同的协议、不同资源的分布式拒绝服务攻击,分析、响应和处理的成本就会大大增加。


随着僵尸网络向小型化的趋势发展,为降低攻击成本,有效隐藏攻击源,躲避安全设备,同时保证攻击效果,针对应用层的小流量慢速攻击已经逐步发展壮大起来。因此,从另一个角度来说,DDoS 攻击方面目前主要是两个方面:一是 UDP 及反射式大流量高速攻击,二是多协议小流量及慢速攻击。

说说 DDoS 的攻击工具

国人讲究:工欲善其事必先利其器。随着开源的 DDoS 工具扑面而来,网络攻击变得越来越容易,威胁也越来越严重。 工具有很多,简单介绍几款知名的,让大家有个简单了解。

1. LOIC

LOIC 是一个颇受欢迎的 DOS 攻击的淹没式工具,会产生大量流量,可以在多种平台运行,包括 Linux、Windows、Mac OS、Android 等。早在 2010 年,黑客组织对反对维基解密的公司和机构的攻击活动中,该工具被下载了 3 万次以上。


LOIC 界面友好,易于使用,初学者也可以很快上手。但是由于该工具需要使用真实 IP 地址,现在已经停用。

2. HULK (HTTP Unbearable Load King)

HULK 是另一个 DOS 攻击工具,这个工具使用 UserAgent 的伪造,来避免攻击检测,可以通过启动 500 线程对目标发起高频率 HTTP GET FLOOD 请求,更可怕的是每一次请求都是独立的,可以绕过服务端的缓存措施,让所有请求得到处理。HULK 是用 Python 语言编写,对获得的源码进行更改也非常方便。

3. R.U.D.Y.

R-U-Dead-Yet 是一款采用慢速 HTTP POST 请求方式进行 DOS 攻击的工具,它提供了一个交互式控制台菜单,检测给定的 URL,并允许用户选择哪些表格和字段应用于 POST-based DOS 攻击,操作非常简单。


而且,它也使用的是 Python 语言编写,可移植性非常好。R.U.D.Y.能够对所有类型的 Web 服务端软件造成影响,因此攻击的威胁非常大。这些工具在保持攻击力的同时还再加强易用性,而免费和开源降低了使用门槛。随着攻防对抗的升级,工具会越来越智能化。

最后聊聊 DDoS 的防御

我的导师教过我:DDoS 攻击只是手段,最终目的是永远的利益。而未来网络战争将出现更加广泛的、更加频繁的和更加精准的攻击。面对这些攻击来临时,我们应如何应对?

1.设置高性能设备

要保证网络设备不能成为瓶颈,因此选择路由器、交换机、硬件防火墙等设备时要尽量选用知名度高、口碑好的产品。并且,假如和网络提供商有特殊关系或协议的话就更好了,当大量攻击发生时请他们在网络接点处做一下流量限制来对抗某些种类的 DDoS 攻击是非常有效的。

2. 带宽得保证

网络带宽直接决定了能抗受攻击的能力,假若仅仅只有 10M 带宽的话,无论采取什么措施都很难对抗现在的 SYN Flood 攻击。所以,最好选择 100M 的共享带宽,当然是挂在 1000M 的主干上了。

3. 不要忘记升级

在有网络带宽保证的前提下,请尽量提升硬件配置,要有效对抗每秒 10 万个 SYN 攻击包。而且最好可以进行优化资源使用,提高 web server 的负载能力。

4. 异常流量的清洗

通过 DDoS 硬件防火墙对异常流量的清洗过滤,通过数据包的规则过滤、数据流指纹检测过滤、及数据包内容定制过滤等顶尖技术能准确判断外来访问流量是否正常,进一步将异常流量禁止过滤。

5. 考虑把网站做成静态页面

将网站尽可能做成静态页面,不仅能大大提高抗攻击能力,而且还给黑客入侵带来不少麻烦,最好在需要调用数据库的脚本中,拒绝使用代理的访问,经验表明,使用代理访问你网站的 80%属于恶意行为。

6. 分布式集群防御

这是目前网络安全界防御大规模 DDoS 攻击的一种有效办法。分布式集群防御的特点是在每个节点服务器配置多个 IP 地址,并且每个节点能承受不低于 10G 的 DDoS 攻击,如一个节点受攻击无法提供服务,系统将会根据优先级设置自动切换另一个节点,并将攻击者的数据包全部返回发送点,使攻击源成为瘫痪状态,从更为深度的安全防护角度去影响企业的安全执行决策。


就 DDoS 防御方面来说,目前主要是两个方面,大流量攻击可以交给运营商及云端清洗,小流量攻击可以在企业本地进行设备防护,这个分界点根据行业及业务特性的不同会有所差异,大概的量级应该在百兆 BPS 左右。相关的缓解与治理,有兴趣的童鞋可以看看鲍旭华的《破坏之王》,会有不小的启示。


其实,对抗 DDoS 攻击是一个涉及多个层面的问题,在有的环节,有效性和收益率并不对等。所以需要各方面合作,用户也可以多多听听专家意见,针对攻击事先做好应对的应急方案。有句话说:“god helps those who help themselves。” 翻译过来就是,天助自助者,因此面对 DDoS 攻击,大家需要具备安全意识,完善自身的安全防护体系才是正解。

写在最后

随着全球互联网业务的快速发展和云计算的发展浪潮,可以预见到,针对云数据中心的 DDoS 攻击频率还会大幅度增长,攻击手段也会更加复杂。安全工作是一个长期持续性而非阶段性的工作,所以需要时刻保持一种警觉。此外,网络安全不仅仅是某个企业的责任,更是全社会的共同责任,需要大家共同努力。


本文转自绿盟科技博客


2020-06-15 14:594012

评论

发布
暂无评论
发现更多内容

Substance 3D Designer最新图文安装教程 附Ds激活补丁

Rose

《产业结构调整指导目录(2024年本)》发布,模糊测试首次纳入

云起无垠

Mac音乐制作软件 Live 11 详细图文安装教程 附Ableton Live激活工具

Rose

苹果软件推荐:fork for mac破解版 GIT客户端

Rose

专业的字体设计软件 FontLab

Rose

Mac财务管理软件Money Pro - 可同步账单、预算和账户

Rose

Internet Status for Mac(网络连接状态查看工具)v5.7激活版 兼容M1/M2

Rose

活动 | Mint Blockchain 将于 2024 年 1 月 17 号启动 MintID 限量发行活动

NFT Research

blockchain NFT\

小红书搜索团队提出全新框架:验证负样本对大模型蒸馏的价值

小红书技术REDtech

算法 搜索 大模型 AAAI 负样本

Mac软件:使用【Path Finder】来管理你的文件

Rose

最近很火的一款的低代码开发平台

互联网工科生

软件开发 低代码 JNPF 引迈信息

JD商品详情数据接口

tbapi

京东商品详情数据接口 京东API接口 京东商品数据接口 京东商品数据采集

2023 IoTDB Summit:天谋科技高级开发工程师苏宇荣《汇其流:如何用 IoTDB 流处理框架玩转端边云融合》

Apache IoTDB

为什么思科愿意高价收购一家云网络创业公司

B Impact

文心一言 VS 讯飞星火 VS chatgpt (177)-- 算法导论13.3 6题

福大大架构师每日一题

福大大架构师每日一题

左耳听风 - 有竞争力的程序员「读书打卡 day 05」

Java 工程师蔡姬

读书笔记 程序员 个人成长 读书 竞争力

AWS改革6万人的销售团队以解决客户投诉问题

B Impact

500mA High Voltage Linear Charger with OVP/OCP

芯动大师

学习如何使用 Python 连接 MongoDB: PyMongo 安装和基础操作教程

小万哥

Python 数据库 程序人生 软件工程 后端开发

必看:详解淘宝店铺订单数据API文档

tbapi

淘宝API接口 淘宝店铺订单接口 天猫店铺订单接口 淘宝店铺订单详情接口

Casper Network (CSPR)2024 年愿景:通过投资促进增长

股市老人

Casper Labs 与 IBM Consulting 合作,透明度、审计能力的新方案

股市老人

tb商品评论数据接口Python

tbapi

淘宝API接口 淘宝商品评论接口 天猫商品评论接口 天猫评论接口 淘宝评论接口

Mac系统维护工具TinkerTool System v8.89最新下载

Rose

indesign2024打开后进不了页面

Rose

【SpringBoot实战专题】「开发实战系列」全方位攻克你的技术盲区之Spring定义Jackson转换Null的方法和实现案例

码界西柚

Java spring springboot 后端技术、 2024年第八篇文章

SiteSucker Pro嵌入式视频下载工具 Mac破解软件 兼容M1/M2

Rose

浅析DDoS攻击及防御_安全_绿盟科技_InfoQ精选文章