1910 
2023-06-06 11:12:01 DDoS攻擊是指不法分子利用控制由多個肉雞或服務(wù)器組成的僵尸網(wǎng)絡(luò)向目標(biāo)發(fā)送大量看請求,從而占用大量網(wǎng)絡(luò)資源使網(wǎng)絡(luò)癱瘓。一個企業(yè)的網(wǎng)上服務(wù)很容易遭到拒絕服務(wù)的攻擊,今天我們就一起來聊一聊DDoS攻擊與對策。
DDoS攻擊與對策
從各安全廠商的DDoS分析報告不難看出,DDoS攻擊的規(guī)模及趨勢正在成倍增長。由于攻擊的成本不斷降低,技術(shù)門檻要求越來越低,攻擊工具的肆意傳播,互聯(lián)網(wǎng)上隨處可見成群的肉雞,使發(fā)動一起DDoS攻擊變得輕而易舉。
DDoS攻擊技術(shù)包括:常見的流量直接攻擊(如SYN/ACK/ICMP/UDP FLOOD),利用特定應(yīng)用或協(xié)議進(jìn)行反射型的流量攻擊(如,NTP/DNS/SSDP反射攻擊,2018年2月28日GitHub所遭受的Memcached反射攻擊),基于應(yīng)用的CC、慢速HTTP等。關(guān)于這些攻擊技術(shù)的原理及利用工具網(wǎng)上有大量的資源,不再贅述。
抗DDoS設(shè)備(業(yè)內(nèi)習(xí)慣稱ADS設(shè)備)一般以盒子的形式部署在網(wǎng)絡(luò)出口處,可串聯(lián)也可旁路部署。旁路部署需要在發(fā)生攻擊時進(jìn)行流量牽引,其基本部署方案。
檢測設(shè)備對鏡像過來的流量進(jìn)行分析,檢測到DDoS攻擊后通知清洗設(shè)備,清洗設(shè)備通過BGP或OSPF協(xié)議將發(fā)往被攻擊目標(biāo)主機(jī)的流量牽引到清洗設(shè)備,然后將清洗后的干凈流量通過策略路由或者M(jìn)PLS LSP等方式回注到網(wǎng)絡(luò)中;當(dāng)檢測設(shè)備檢測到DDoS攻擊停止后,會通知清洗設(shè)備停止流量牽引。
將ADS設(shè)備部署在本地,企業(yè)用戶可依靠設(shè)備內(nèi)置的一些防御算法和模型有效抵擋一些小規(guī)模的常見流量攻擊,同時結(jié)合盒子提供的可定制化策略和服務(wù),方便有一定經(jīng)驗的企業(yè)用戶對攻擊報文進(jìn)行分析,定制針對性的防御策略。目前國內(nèi)市場上,主要以綠盟的黑洞為代表,具體可以訪問其官網(wǎng)進(jìn)一步了解。
本地清洗最大的問題是當(dāng)DDoS攻擊流量超出企業(yè)出口帶寬時,即使ADS設(shè)備處理性能夠,也無法解決這個問題。一般金融證券等企業(yè)用戶的出口帶寬可能在幾百兆到幾G,如果遇到十G以上甚至上百G的流量,就真的麻煩了,更別談T級別的DDoS攻擊了。
當(dāng)本地設(shè)備清洗解決不了流量超過出口帶寬的問題時,往往需要借助運營商的能力了,緊急擴(kuò)容或者開啟清洗服務(wù)是一般做法,前提是要采購相應(yīng)的清洗服務(wù),而且一般需要通過電話或郵件確認(rèn),有的可能還要求傳真。
DDoS的原理及危害
DDoS:拒絕服務(wù)攻擊的目標(biāo)大多采用包括以SYNFlood和PingFlood為主的技術(shù),其主要方式是通過使關(guān)鍵系統(tǒng)資源過載,如目標(biāo)網(wǎng)站的通信端口與記憶緩沖區(qū)溢出,導(dǎo)致網(wǎng)絡(luò)或服務(wù)器的資源被大量占用,甚至造成網(wǎng)絡(luò)或服務(wù)器的全面癱瘓,而達(dá)到阻止合法信息上鏈接服務(wù)要求的接收。形象的解釋是,DDoS攻擊就好比電話點歌的時候,從各個角落在同一時間有大量的電話掛入點播臺,而點播臺的服務(wù)能力有限,這時出現(xiàn)的現(xiàn)象就是打電話的人只能聽到電話忙音,意味著點播臺無法為聽眾提供服務(wù)。這種類型的襲擊日趨增多,因為實施這種攻擊的方法與程序源代碼現(xiàn)已在黑客網(wǎng)站上公開。另外,這種襲擊方法非常難以追查,因為他們運用了諸如IP地址欺騙法之類所謂網(wǎng)上的“隱身技術(shù)”,而且現(xiàn)在互聯(lián)網(wǎng)服務(wù)供應(yīng)商(ISP)的過剩,也使作惡者很容易得到IP地址。
拒絕服務(wù)攻擊的一個最具代表性的攻擊方式是分布式拒絕服務(wù)攻擊(DistributedDenialofService,DDoS),它是一種令眾多的互聯(lián)網(wǎng)服務(wù)提供商和各國政府非常頭疼的黑客攻擊方法,最早出現(xiàn)于1999年夏天,當(dāng)時還只是在黑客站點上進(jìn)行的一種理論上的探討。從2000年2月開始,這種攻擊方法開始大行其道,在2月7日到11日的短短幾天內(nèi),黑客連續(xù)攻擊了包括Yahoo,Buy.com,eBay,Amazon,CNN等許多知名網(wǎng)站,致使有的站點停止服務(wù)達(dá)幾個小時甚至幾十個小時之久。國內(nèi)的新浪等站點也遭到同樣的攻擊,這次的攻擊浪潮在媒體上造成了巨大的影響,以至于美國總統(tǒng)都不得不親自過問。
分布式拒絕服務(wù)攻擊采用了一種比較特別的體系結(jié)構(gòu),從許多分布的主機(jī)同時攻擊一個目標(biāo)。從而導(dǎo)致目標(biāo)癱瘓。目前所使用的入侵監(jiān)測和過濾方法對這種類型的入侵都不起作用。所以,對這種攻擊還不能做到完全防止。
DDoS通常采用一種跳臺式三層結(jié)構(gòu)。如圖10—7所示:圖10—7最下層是攻擊的執(zhí)行者。這一層由許多網(wǎng)絡(luò)主機(jī)構(gòu)成,其中包括Unix,Linux,Mac等各種各樣的操作系統(tǒng)。攻擊者通過各種辦法獲得主機(jī)的登錄權(quán)限,并在上面安裝攻擊器程序。這些攻擊器程序中一般內(nèi)置了上面一層的某一個或某幾個攻擊服務(wù)器的地址,其攻擊行為受到攻擊服務(wù)器的直接控制。
了解DDoS攻擊與對策,DDoS攻擊目前黑客經(jīng)常采用而難以防范的攻擊手段,所以很多企業(yè)都會束手無策。作為可能被攻擊的對象要及時做好相應(yīng)的措施,提高防御的思想,因為一旦遭受到DDoS攻擊就很難不造成損失。
