互联网用户和网络管理员需要警惕的网络威胁有很多,但对于服务主要在线运行的组织来说,由于分布式拒绝服务 (DDoS) 攻击日益盛行,因此需要注意的最重要的攻击之一是分布式拒绝服务 (DDoS) 攻击。但是什么是拒绝服务攻击,它们是如何工作的,以及有没有办法防止它们?
分布式拒绝服务:定义
什么是 DDoS 攻击?这类攻击利用适用于任何网络资源(比如为公司网站提供支持的基础设施)的特定容量限制。DDoS 攻击会向受攻击的 web 资源发送大量请求,目的是超出该网站的多请求处理能力,从而阻止网站的正常运行。DDoS 攻击的典型目标包括电子商务网站和任何提供在线服务的组织。
它是如何运作的?
了解 DDoS 攻击的一个重要部分是了解这些攻击的工作原理。诸如 web 服务器等网络资源都对可以同时服务的请求数量设有一定的限制。除服务器的容量限制外,将服务器连接到互联网的信道也会有限定的带宽/容量。只要请求数量超出该基础设施中任何组件的容量限制,其服务级别就有可能受到下列任一形式的影响:
通常,在任何 DDoS 攻击示例中,攻击者的目的都是压垮 Web 资源的服务器,阻止正常运行并导致完全拒绝服务。攻击者可能还会要求为停止攻击支付赎金。在部分案例中,DDoS 攻击甚至可能是出于试图损害竞争对手的信誉或业务的目的。
为了实施攻击,攻击者通过感染恶意软件来控制网络或设备,从而创建僵尸网络。然后,他们通过向机器人发送特定指令来发起攻击。反过来,僵尸网络开始通过目标服务器的IP 地址发出请求,使其不堪重负并导致其常规流量拒绝服务。
DDoS 攻击示例:有哪些不同类型的攻击?
了解 DDoS 的含义以及这些攻击的工作原理是预防 DDoS 攻击的一步,但了解 DDoS 攻击的不同类型也至关重要。这首先取决于概述网络连接是如何形成的。
由国际标准化组织开发的开放系统互连 (OSI) 模型定义了构成互联网网络连接的七个不同层。这些包括物理层、数据链路层、网络层、传输层、会话层、表示层和应用程序层。
许多 DDoS 攻击示例因其所针对的连接层不同而有所差异。以下是一些最常见的例子。
- 应用程序层攻击
有时被称为第 7 层攻击(因为它针对 OSI 模型的第7 层(应用程序),这些攻击使用 DDoS 网站耗尽目标服务器的资源。第七层是服务器响应 HTTP 请求生成网页。攻击者执行大量 HTTP 请求,通过加载大量文件并运行创建网页所需的数据库查询,使目标服务器不堪重负。
HTTP洪水
可以想象这些 DDoS 攻击就像在许多计算机上多次刷新 Web 浏览器一样。这会导致 HTTP 请求“泛滥”,从而导致拒绝服务。这些攻击的实施可以很简单——使用一个具有较窄 IP 地址范围的 URL——也可以很复杂,使用一系列 IP 地址和随机 URL。
协议攻击
这些 DDoS 攻击通常被称为状态耗尽攻击,利用 OSI 模型第3 层和第4 层(网络层和传输层)中的漏洞。这些攻击通过压倒性的服务器资源或网络设备资源(例如防火墙)造成拒绝服务。协议攻击有多种类型,包括 SYN 洪水攻击。这些攻击利用 TCP(传输控制协议)握手,允许两者建立网络连接,从虚假 IP 地址发送难以管理的 TCP“初始连接请求”。
- 容量耗尽攻击
这些 DDoS 攻击示例通过发送大量数据来造成服务器流量激增,从而造成拒绝服务。
DNS放大
这是一种基于反射的攻击,其中从欺骗的 IP 地址(目标服务器的 IP 地址)向 DNS 服务器发送请求,促使 DNS 服务器“调用”目标服务器来验证请求。通过使用僵尸网络,这一行动得到了放大,迅速压垮了目标服务器的资源。
识别 DDoS 攻击
DDoS 攻击很难识别,因为它们可能模仿传统的服务问题并且越来越复杂。然而,某些迹象可能表明系统或网络已成为 DDoS 攻击的受害者。其中包括:
- 来自未知 IP 地址的流量突然激增
- 来自具有特定相似之处(例如地理位置或 Web 浏览器版本)的众多用户的流量
- 单个页面请求量莫名其妙地增加
- 不寻常的交通模式
- 网络性能缓慢
- 无缘无故突然离线的服务或网站
DDoS 攻击预防和缓解
虽然 DDoS 攻击很难检测,但可以实施多种措施来尝试防止此类网络攻击并在发生攻击时减轻任何损害。对于想知道如何防止 DDoS 攻击的用户来说,关键是制定一个行动计划,以保护系统并在遭受攻击时减轻损害。总的来说,为企业实施像卡巴斯基DDoS 防护这样的解决方案是有益的,它可以持续分析和重定向恶意的流量。此外,以下一般建议可以帮助您进一步增强防御能力:
- 评估当前的系统设置(包括软件、设备、服务器和网络),以识别安全风险和潜在威胁,然后采取措施降低这些风险和威胁;定期进行风险评估。
- 保持所有软件和技术为最新版本,以确保它们运行最新的安全补丁。
- 制定可行的 DDoS 攻击预防、检测和缓解策略。
- 确保参与攻击预防计划的任何人都了解 DDoS 攻击的含义及其分配的角色。
如果发生攻击,这些措施可能会起到一些缓解作用:
- 任播网络:使用任播网络重新分配流量有助于在解决问题时保持服务器可用性,确保服务器不需要完全关闭。
- 黑洞路由:在这种情况下,ISP 的网络管理员将来自目标服务器的所有流量重新路由到黑洞路由(目标 IP 地址),将其从网络中删除并保持其完整性。然而,这可能是一个极端的举措,因为它也会阻止合法流量。
- 速率限制:这限制了服务器在任何时候可以接受的请求数量。虽然它本身不会非常有效,但它可以作为更大战略的一部分发挥作用。
- 防火墙:组织可以使用 Web 应用程序防火墙 (WAF) 作为反向代理来保护其服务器。WAF 可以设置规则来过滤流量,如果管理员怀疑有 DDoS 攻击,可以实时修改规则。
相关的文章和链接:
相关产品和服务:
