歡迎撥打咨詢熱線

  • 181 2600 0020
  • QQ在線咨詢

    當前位置:首頁 >> 新聞中心 >> 營銷知識

    從單一到混合 DDoS攻擊方式全面剖析
    文章出處:新奇網絡官方 (深圳龍崗網站建設www.bvghmi.tw)   發表時間:2017-07-25

    DoS攻擊素來以成本低廉(相比防御)、效果顯著、影響深遠為攻擊者所青睞,經過長時間的發展,DDoS攻擊方式有很多種,最基本的DoS攻擊利用單個合理的服務請求來占用過多的服務資源,從而使合法用戶無法得到服務的響應。DoS攻擊通常采用一對一的方式,在目標系統帶寬、內存、CPU等各項性能指標都不高時,具有明顯的效果。隨著網絡技術的發展,計算機的處理能力迅速增長,內存大大增加,千兆級別的網絡出現,目標系統的“消化能力”倍增,這時候,分布式的拒絕服務攻擊手段——DDoS就出現了。

    利用網絡上已被攻陷的電腦作為“肉雞”,通過一定方式組合形成數量龐大的“僵尸網絡”,采用一對多的方式進行控制,向目標系統同時提出服務請求,殺傷力大幅度增加。DDoS 攻、防對抗多年,從DoS到DDoS,從以流量取勝到以技巧取勝,從單一攻擊到混合攻擊,攻擊手段正不斷進化,本文將一一介紹最常見、最具代表性的攻擊方式,企業運營者做到知己知彼,才能有備無患。

    從單一到混合 DDoS攻擊方式全面剖析-VR資源你懂的

    一、攻擊帶寬:以力取勝

    如同城市堵車一樣,當數據包超過帶寬上限,就會出現網絡擁堵、響應緩慢的情況。流量型 DDoS攻擊就是如此,發送海量數據包,頃刻占滿目標系統的全部帶寬,正常請求被堵在門外,拒絕服務的目的達成。

    ICMP Flood

    ICMP(Internet控制報文協議)用于在IP主機、路由器之間傳遞控制消息,控制消息是指網絡通不通、主機是否可達、路由是否可用等網絡本身的消息,雖然并不傳輸用戶數據,但是對于用戶數據的傳遞起著重要的作用。通過對目標系統發送海量數據包,就可以令目標主機癱瘓,如果大量發送就成了洪水攻擊。

    從單一到混合 DDoS攻擊方式全面剖析-VR資源你懂的

    UDP Flood

    UDP協議是一種無連接的服務,在UDP Flood 中,攻擊者通常發送大量偽造源IP地址的小UDP包沖擊DNS服務器或Radius認證服務器、流媒體視頻服務器。100k bps的UDP Flood經常將線路上的骨干設備例如防火墻打癱,造成整個網段的癱瘓。

    上述傳統的流量型攻擊方式技術含量較低,傷人一千自損八百,攻擊效果通常依賴受控主機本身的網絡性能,而且容易被查到攻擊源頭,單獨使用的情況已不常見。于是,具有四兩拔千斤效果的反射型放大攻擊就出現了。

    NTP Flood

    NTP是標準的基于UDP協議傳輸的網絡時間同步協議,由于UDP協議的無連接性,方便偽造源地址。攻擊者使用特殊的數據包,也就是IP地址指向作為反射器的服務器,源IP地址被偽造成攻擊目標的IP,反射器接收到數據包時就被騙了,會將響應數據發送給被攻擊目標,耗盡目標網絡的帶寬資源。一般的NTP服務器都有很大的帶寬,攻擊者可能只需要1Mbps的上傳帶寬欺騙NTP服務器,就可給目標服務器帶來幾百上千Mbps的攻擊流量。

    因此,“問-答”方式的協議都可以被反射型攻擊利用,將質詢數據包的地址偽造為攻擊目標地址,應答的數據包就會都被發送至目標,一旦協議具有遞歸效果,流量就被顯著放大了,堪稱一種“借刀殺人”的流量型攻擊。

    從單一到混合 DDoS攻擊方式全面剖析-VR資源你懂的

    面對洪水般的流量,花高價進行抗D帶寬擴容和多運營商鏈路冗余,雖一定程度可提升抗D能力,但面對大量攻擊仍舊于事無補,而且浪費資源。知道創宇旗下抗DDoS云防御平臺——抗D保,橫跨全國的分布式數據中心, 600G以上帶寬抗DDoS,并可隨時應急調用騰訊自有帶寬1.5Tb ,這使得抗D保擁有超過 2 個Tb的防御能力。

    二、攻擊系統/應用:以巧取勝

    這類型的DDoS攻擊走的是巧勁,利用各種協議的行為特性、系統的缺陷、服務的脆弱性、軟件的漏洞等等發起攻擊,不斷占用目標系統的資源以阻止它們處理正常事務和請求。

    SYN Flood

    這是一種利用TCP協議缺陷,發送大量偽造的TCP連接請求,從而使得被攻擊方資源耗盡(CPU滿負荷或內存不足)的攻擊方式。建立TCP連接,需要三次握手——客戶端發送SYN報文,服務端收到請求并返回報文表示接受,客戶端也返回確認,完成連接。

    SYN Flood 就是用戶向服務器發送報文后突然死機或掉線,那么服務器在發出應答報文后就無法收到客戶端的確認報文(第三次握手無法完成),這時服務器端一般會重試并等待一段時間后再丟棄這個未完成的連接。一個用戶出現異常導致服務器的一個線程等待一會兒并不是大問題,但惡意攻擊者大量模擬這種情況,服務器端為了維護數以萬計的半連接而消耗非常多的資源,結果往往是無暇理睬客戶的正常請求,甚至崩潰。從正常客戶的角度看來,網站失去了響應,無法訪問。

    從單一到混合 DDoS攻擊方式全面剖析-VR資源你懂的

    CC 攻擊

    CC攻擊是目前應用層攻擊的主要手段之一,借助代理服務器生成指向目標系統的合法請求,實現偽裝和DDoS。我們都有這樣的體驗,訪問一個靜態頁面,即使人多也不需要太長時間,但如果在高峰期訪問論壇、貼吧等,那就很慢了,因為服務器系統需要到數據庫中判斷訪問者否有讀帖、發言等權限。訪問的人越多,論壇的頁面越多,數據庫壓力就越大,被訪問的頻率也越高,占用的系統資源也就相當可觀。

    CC攻擊就充分利用了這個特點,模擬多個正常用戶不停地訪問如論壇這些需要大量數據操作的頁面,造成服務器資源的浪費,CPU長時間處于100%,永遠都有處理不完的請求,網絡擁塞,正常訪問被中止。這種攻擊技術性含量高,見不到真實源IP,見不到特別大的異常流量,但服務器就是無法進行正常連接。

    從單一到混合 DDoS攻擊方式全面剖析-VR資源你懂的

    之所以選擇代理服務器是因為代理可以有效地隱藏自己的身份,也可以繞開防火墻,因為基本上所有的防火墻都會檢測并發的TCP/IP連接數目,超過一定數目一定頻率就會被認為是Connection-Flood。當然也可以使用肉雞來發動CC攻擊,攻擊者使用CC攻擊軟件控制大量肉雞發動攻擊,肉雞可以模擬正常用戶訪問網站的請求偽造成合法數據包,相比前者來說更難防御。

    CC攻擊是針對Web服務在第七層協議發起的攻擊,在越上層協議上發動DDoS攻擊越難以防御,上層協議與業務關聯愈加緊密,防御系統面臨的情況也會更復雜。比如CC攻擊中最重要的方式之一HTTP Flood,不僅會直接導致被攻擊的Web前端響應緩慢,對承載的業務造成致命的影響,還可能會引起連鎖反應,間接攻擊到后端的Java等業務層邏輯以及更后端的數據庫服務。

    由于CC攻擊成本低、威力大,知道創宇安全專家組發現80%的DDoS攻擊都是CC攻擊。帶寬資源嚴重被消耗,網站癱瘓;CPU、內存利用率飆升,主機癱瘓;瞬間快速打擊,無法快速響應。知道創宇頂級安全研究團隊為抗D保自主研發的 Anti-CC 防護引擎可以根據訪問者的 URL、頻率、行為等訪問特征,智能識別 CC 攻擊,迅速識別 CC 攻擊并進行攔截,在大規模 CC 攻擊時可以避免源站資源耗盡,保證企業網站的正常訪問。

    從單一到混合 DDoS攻擊方式全面剖析-VR資源你懂的

    抗D保-抗CC攻擊數據(監控)

    DNS Query Flood

    DNS作為互聯網的核心服務之一,自然也是DDoS攻擊的一大主要目標。DNS Query Flood采用的方法是操縱大量傀儡機器,向目標服務器發送大量的域名解析請求。服務器在接收到域名解析請求時,首先會在服務器上查找是否有對應的緩存,若查找不到且該域名無法直接解析時,便向其上層DNS服務器遞歸查詢域名信息。

    通常,攻擊者請求解析的域名是隨機生成或者是網絡上根本不存在的域名,由于在本地無法查到對應的結果,服務器必須使用遞歸查詢向上層域名服務器提交解析請求,引起連鎖反應。解析過程給服務器帶來很大的負載,每秒鐘域名解析請求超過一定的數量就會造成DNS服務器解析域名超時。

    從單一到混合 DDoS攻擊方式全面剖析-VR資源你懂的

    根據微軟的統計數據,一臺DNS服務器所能承受的動態域名查詢的上限是每秒鐘 9000 個請求。而一臺P3 的PC機上可以輕易地構造出每秒鐘幾萬個域名解析請求,足以使一臺硬件配置極高的DNS服務器癱瘓,由此可見DNS服務器的脆弱性。

    抗D保在全國多個城市采用分布式集群方式部署了上千臺高效DNS服務器,從而保證各個地區的查詢響應速度。抗D保的高防DNS服務,可有效解決突發的上億級別的隨機HOSTA記錄查詢攻擊、遞歸DNS穿透攻擊、DNS流量攻擊等多種針對域名解析的攻擊請求。

    從單一到混合 DDoS攻擊方式全面剖析-VR資源你懂的

    抗D保防御DNS攻擊效果示意

    三、混合攻擊:流量與技巧并用

    在實際情況中,攻擊者只求達到打垮對方的目的,發展到現在,高級攻擊者已經不傾向使用單一的攻擊手段作戰了,而是根據目標系統的具體環境靈動組合,發動多種攻擊手段,既具備了海量的流量,又利用了協議、系統的缺陷,盡其所能地展開攻勢。

    對于被攻擊目標來說,需要面對不同協議、不同資源的分布式的攻擊,分析、響應和處理的成本就會大大增加。

    從單一到混合 DDoS攻擊方式全面剖析-VR資源你懂的

    抗D保擁有國內最大的抗 D集群,使用騰訊宙斯盾流量清洗設備并結合由知道創宇研發的 Anti-DDoS 引擎, 5 秒發現惡意攻擊, 10 秒快速阻斷,2T帶寬儲備,通過多種防御手段,防御各種類型、形態的DDoS攻擊,包括基于網絡層的攻擊,如 TCP Flood、UDP Flood、ICMP Flood,以及應用層攻擊,類似 HTTP Flood 這種試圖耗盡服務器資源的攻擊,同時可以有效防御各種反射攻擊和僵尸網絡攻擊。

    從單一到混合 DDoS攻擊方式全面剖析-VR資源你懂的

    面對一次次攻擊,即使是去年 10 月讓美國半個互聯網癱瘓的DDoS攻擊事件,也只是讓很多人小心臟稍微顫抖了幾下,在大家的印象中,DDoS只是一陣海嘯,很快就能恢復了往日的平靜。但是,DDoS在互聯網發展進程中已經留下了太多不可磨滅的破壞,許多企業就此一蹶不振。而且隨著互聯網+ 的不斷推進,商業競爭的愈演愈烈,它的危害越來越大,任何企業組織都應該考慮自己的DDoS防護方案,而不是成為攻擊的炮灰,也盡量避免遭受攻擊后再亡羊補牢。


  • 上一篇:深圳龍崗建站公司如何來確定網頁的主題?
  • 下一篇:你用支付寶還是微信支付(財付通)?最新份額竟然是這樣
  • 關閉
    今晚两码中特百度一下