DDoS攻击完全指南:它们是什么以及如何保护自己
在这份指南中,我们将讨论与DDoS攻击相关的一系列话题,包括DDoS攻击是什么、它们如何工作、DDoS攻击的类型、DDoS攻击的影响,以及如何抵御DDoS攻击。
- 什么是DDoS攻击?
- DDoS攻击是如何工作的?
- DDoS攻击的影响
- DDoS攻击的基本类型
- DDoS攻击的风格
- 如何检测DDoS攻击
- 如何保护自己免受DDoS攻击
快速总结
二十年来,分布式拒绝服务(DDoS)攻击一直是互联网上一股强大的力量。随着时间的推移,它们变得更加普遍且日益强大,现在成为在线领域运营的公司的主要风险之一。
通常,DDoS攻击通过向网站或在线服务发送超过其服务器或网络所能承载的流量来工作。DDoS攻击的目标是使该网站或在线服务对用户不可用。攻击者通常依赖于由中央控制的、包含被恶意软件感染的计算机网络即僵尸网络。
什么是DDoS攻击?
分布式拒绝服务(DDoS)攻击是攻击者尝试中断对用户的在线服务的交付。这可以通过阻止访问几乎任何东西来完成,如服务器、网络、设备、服务、应用程序,甚至应用程序内的特定交易。
DDoS攻击可以被称为拒绝服务攻击(DoS)攻击的一种变体,其中攻击者或攻击者组使用多个设备同时进行DoS攻击。
DoS攻击与DDoS攻击的主要区别在于,虽然它们使用一个系统发送恶意数据或请求,但DDoS攻击来自多个系统,增加了其力量和效果。
DDoS攻击通过完全阻止他们访问系统,甚至诉诸于敲诈,以停止攻击,针对所有层次的受害者。
银行、网站、在线零售商和新闻频道是攻击者的主要目标,确保敏感信息能够安全访问和发布是一个真正的挑战。
检测和阻止这些DDoS攻击很困难,因为它们产生的流量难以追踪,并且容易与合法流量混淆。
DDoS攻击是如何工作的?
大多数DDoS攻击是通过僵尸网络执行的,这些网络是由大量智能物联网设备、被恶意软件感染的计算机以及其他受黑客控制的互联网设备组成的大型网络。
攻击者指示僵尸网络中的机器向特定网站或服务器的IP地址发送大量的连接请求。
这会使得那个网站或在线服务接收到超出其服务器或网络能够处理的流量。最终结果是这些网站或在线服务因互联网带宽、RAM容量和CPU负载过重而无法为用户提供服务。
这些DDoS攻击的影响可能从轻微的不满和服务中断,到整个网站、应用程序甚至整个企业的瘫痪。
DDoS攻击的影响
DDoS攻击可以以多种方式影响受害者。
- 财务损失
- 声誉损害
- 数据丢失
- 对客户信任的破坏
- 对基础服务的影响
- 恢复系统所涉及的直接和间接成本
- 对第三方的影响
DDoS攻击的基本类型
DDoS攻击通常可以归入一个或多个类别,一些高级攻击结合了不同向量的攻击。以下是DDoS攻击的三个主要类别。
1. 容量攻击
这是DDoS攻击的经典类型,采用生成大量假流量的方法来完全淹没网站或服务器的带宽。这种假流量使得真正的流量无法流入或流出目标站点。这些攻击包括UDP、ICMP和伪装数据包洪泛攻击。容量型攻击的大小以每秒比特数(BPS)为单位测量。
2. 协议攻击
这些攻击更为集中,利用服务器资源的漏洞。它们消耗现有的服务器资源或中间通信设备,如防火墙和负载均衡器,并向它们发送大包。这些攻击通常包括SYN洪泛、死亡之Ping、分片数据包攻击、Smurf DDoS等,其大小以每秒包数(PPS)为单位测量。
3. 应用层攻击
这是最复杂的DDoS攻击类型,目标是特定的网络应用。通过用恶意请求压倒应用程序来执行它们。这些攻击的大小以每秒请求数(RRS)为单位测量。
DDoS攻击的风格
1. UDP和ICMP洪水
这些是属于容量型攻击中最常见的攻击方式。UDP洪水通过用户数据报协议(UDP)数据包淹没主机资源。相比之下,ICMP洪水则使用互联网控制消息协议(ICMP)回显请求(ping)数据包达到同样的效果,直到服务不堪重负。
此外,攻击者倾向于使用反射攻击来增加这些洪水的破坏性流量,其中受害者的IP地址被伪装,使得UDP或ICMP请求似乎来自受害者。响应被发送回服务器本身,因为恶意数据包似乎是从受害者那里来的。这样,这些攻击消耗了进出的带宽。
2. DNS放大
顾名思义,这些攻击涉及到犯罪分子发送大量DNS查询请求,使网络失效。放大通过扩大出站流量来耗尽服务器的带宽。
这是通过向服务器发送输出大量数据作为响应的信息请求来完成的,然后通过伪造回复地址将该数据直接路由回服务器。
因此,攻击者通过僵尸网络中的许多不同源头向公共可访问的DNS服务器发送众多相对较小的数据包。它们都是请求一个冗长响应的请求,如DNS名称查找请求。然后,DNS服务器以响应数据包回复这些分散的请求,包含的数据量比初始请求数据包大许多个数量级,所有这些数据都被发送回受害者的DNS服务器。
3. 死亡之ping
这是另一种协议攻击,攻击者向计算机发送多个恶意或格式错误的ping。虽然一个IP数据包的最大长度是65,535字节,但数据链路层限制了以太网网络上允许的最大帧大小。
因此,一个大的IP数据包被分割成多个数据包(称为片段),接收主机重新组装这些片段以创建一个完整的数据包。在死亡之ping的情况下,尝试重新组装恶意ping的片段时,主机最终得到的是一个大于65,535字节的IP数据包。这导致为该数据包分配的内存缓冲区溢出,结果是即使是合法的数据包也会服务拒绝。
4. SYN洪水
SYN洪水是最常见的协议攻击之一,它绕过了建立客户端和服务器之间TCP连接所需的三次握手过程。
这些连接通常由客户端向服务器发送一个初始同步(SYN)请求来建立,服务器回复一个确认(SYN-ACK)响应,客户端以最终确认(ACK)完成握手。
SYN洪水通过快速连续发送那些初始同步请求,并通过永远不回复最终确认来使服务器挂起。最终,服务器被迫保持打开大量半开放连接,最终资源不堪重负直到服务器崩溃。
5. HTTP洪水攻击
这是最常见的应用层DDoS攻击类型之一。在这种攻击中,攻击者与Web服务器或应用程序进行看似正常的交互。
尽管所有这些交互看起来都是通过Web浏览器进行的,以模仿正常用户活动,但它们的目的是尽可能多地消耗服务器资源。
攻击者发起的请求可以包括从使用GET请求调用文档或图片的URL,到使用POST请求使服务器处理数据库调用等任何操作。
DDoS攻击服务经常在暗网上出售。
如何检测DDoS攻击
DDoS攻击常常会被误认为是其他非恶意的情况,可能会造成可用性问题。例如,它们可能看起来像是服务器或系统宕机、来自真实用户的请求过多,或有时是网络线缆被切断。因此,你总是需要分析流量来确定发生了什么。
如果你成为DDoS攻击的受害者,你会注意到突然涌入的流量激增,导致你的服务器在压力下崩溃。此外,如果你访问一个正在遭受DDoS攻击的网站,它的加载速度会极其缓慢,或显示503“服务不可用”错误。在攻击停止之前,你可能无法访问该网站。
DDoS攻击的症状
网站或服务变慢是DDoS攻击最明显的症状。DDoS攻击的常见症状包括:
- 本地或远程文件访问速度慢
- 长时间无法访问特定网站
- 来自某一特定来源或IP地址的大量流量
- 来自显示相似行为、设备类型、Web浏览器和地点的用户的流量激增
- 对某个页面的请求突然和异常激增
- 无法访问所有网站的问题
- 大量垃圾邮件
- 网络断开连接
虽然合法的流量激增也可能导致性能问题,但进一步调查是必要的。尤其是,当流量看起来异常时,应当进行分析。
例如:一个在线商店在黑色星期五销售、圣诞节等之后经历了流量的激增。除了上述症状外,DDoS攻击还有一些特定的症状,这取决于攻击的类型。
此外,如果一个僵尸网络使用你的电脑进行DDoS攻击,它会显示以下警告迹象。
- 性能突然下降
- 系统崩溃
- 频繁的错误消息
- 极其缓慢的互联网速度
如何防御DDoS攻击
保护自己免受DDoS攻击是一项挑战性的任务。组织必须制定良好的计划来防御和预防此类攻击。
识别您的漏洞是任何保护策略的关键和首要步骤。除此之外,下面提到的步骤将帮助减少组织的攻击面并减轻DDoS攻击造成的损害。
- 通过通知ISP提供商、准备备用ISP,并重新路由流量来迅速采取行动。
- 配置防火墙和路由器,作为初级防御层帮助拒绝假冒流量。
- 通过安装带有最新安全补丁的防病毒或安全软件来保护个人计算机。
- 分析应用架构和实施方式。应用应该这样实现:用户行为不会耗尽系统资源或过度消耗应用组件。
- 监控网络流量,以便在网络流量出现意外激增时获得警报。这将有助于识别针对网络的DoS攻击。通过分析流量的来源,您将能够获得额外的洞察。
- 通过定期运行健康检查来监控系统的健康状况和响应能力,以识别针对系统的DoS攻击。
- 通过对应用组件进行频繁的健康检查来评估应用的健康状况和响应能力。这可以帮助识别针对应用的DDoS攻击。
- 制定一个缓解计划。不同类型的DDoS攻击需要不同的缓解策略。许多提供商现在提供策略和机制来防御DDoS攻击。因此,请考虑您的提供商的策略和机制是否很好地满足了您的需求。
此外,实践互联网安全习惯将防止您的设备被用于僵尸网络。
使用强密码
为您所有的账户使用长、独特且难以猜测的密码。此外,您可以使用密码管理器安全地存储和同步您的设备上的密码。
使用最新的软件
过时的软件充满了黑客可以利用来入侵您系统的漏洞。因此,不断更新您的软件,并尽可能快地安装软件供应商发布的更新和补丁。这些更新通常是为了解决各种安全漏洞而构建的。
小心陌生的链接和附件
网络犯罪分子试图通过含有恶意链接或附件的电子邮件让您下载他们的恶意软件。因此,如果您不知道发件人是谁,就不要与这些电子邮件进行互动。此外,您可以使用电子邮件安全工具来检查电子邮件附件中的恶意软件。
使用防火墙
防火墙能够阻止来自未授权来源的访问。此外,智能防火墙可以防止黑客在尝试用僵尸网络恶意软件感染您的机器时与您的机器通信。
结论
DDoS攻击为入侵者提供了一种方式,使网站或在线服务在一定时间内或无限期内无法使用。
它们在复杂性上有很大的不同,并且可以严重影响目标业务或组织。因此,线上业务和组织应采取一切可能的措施来减轻DDoS攻击并保护他们的系统。
文章还提供了如何防御DDoS攻击的见解。DDoS攻击旨在用超出其服务器或网络容量的流量压垮一个网站或在线服务,使其无法为用户提供服务。
这些攻击的影响可以从财务损失到损害客户信任不等。为了防御这类攻击,组织需要识别漏洞、配置防火墙和路由器、监控网络流量,并制定缓解计划。
实践互联网安全习惯,如使用强密码和防火墙,也可以帮助防止设备被用于僵尸网络。
常见问题解答
为什么网络安全专业人员应该担心DDoS攻击?
DDoS攻击可能严重破坏关键在线资源的可用性,并作为在网络上执行其他非法活动的欺骗性机制。为什么用传统的网络安全过滤方式难以预防DDoS攻击?
由于DDoS攻击是通过使用多个系统的分布式方式进行的,通过关闭特定通道来阻止恶意流量是困难的。
在DDoS攻击中,僵尸网络的作用是什么?
僵尸网络是由网络罪犯控制的受损设备网络,有时被称为僵尸或机器人。这些受损设备可以包括桌面电脑、笔记本电脑、服务器和物联网设备。攻击者与这些机器通信,并将它们组合起来生成分布式的恶意流量源,以压垮公司的基础设施。