现如今,信息技术的发展为人们带来了诸多便利,无论是个人社交行为,还是商业活动都开始离不开网络了。但是网际空间带来了机遇的同时,也带来了威胁,其中DDoS就是最具破坏力的攻击,通过这些年的不断发展,它已经成为不同组织和个人的攻击,用于网络中的勒索、报复,甚至网络战争。

什么是拒绝服务攻击(DOS)

DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求就无法通过。连通性攻击指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。

什么是分布式拒绝服务攻击(DDoS)

分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。

最好的ddos平台(一帖揭秘DDoS的前世今生)(1)

DDoS分类

在讲防御之前简单介绍一下各类攻击,因为DDoS是一类攻击而并不是一种攻击,并且DDoS的防御是一个可以做到相对自动化但做不到绝对自动化的过程,很多演进的攻击方式自动化不一定能识别,还是需要进一步的专家肉眼判断。

网络层攻击

◆ Syn-flood

利用TCP建立连接时3次握手的“漏洞”,通过原始套接字发送源地址虚假的SYN报文,使目标主机永远无法完成3次握手,占满了系统的协议栈队列,资源得不到释放,进而拒绝服务,是互联网中最主要的DDoS攻击形式之一。

◆ ACK-flood

对于虚假的ACK包,目标设备会直接回复RST包丢弃连接,所以伤害值远不如syn-flood。DDoS的一种原始方式。

◆ UDP-flood

使用原始套接字伪造大量虚假源地址的UDP包,目前以DNS协议为主。

◆ ICMP-flood

Ping洪水,短时间内向目的主机发送大量ping包,造成网络堵塞或主机资源耗尽。比较古老的方式。

◆ Land-based

攻击者将一个包的源地址和目的地址都设置为目标主机的地址,然后将该包通过IP欺骗的方式发送给被攻击主机,这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环,从而很大程度地降低了系统性能。

应用层攻击

◆ CC

ChallengeCollapsar的名字源于挑战国内知名安全厂商绿盟的抗DDoS设备-“黑洞”,通过botnet的傀儡主机或寻找匿名代理服务器,向目标发起大量真实的http请求,最终消耗掉大量的并发资源,拖慢整个网站甚至彻底拒绝服务。

◆ DNS flood

伪造源地址的海量DNS请求,用于是淹没目标的DNS服务器。对于攻击特定企业权威DNS的场景,可以将源地址设置为各大ISP DNS服务器的ip地址以突破白名单限制,将查询的内容改为针对目标企业的域名做随机化处理,当查询无法命中缓存时,服务器负载会进一步增大。

慢速连接攻击

针对http协议,以知名的slowloris攻击为起源:先建立http连接,设置一个较大的content-length,每次只发送很少的字节,让服务器一直以为http头部没有传输完成,这样的连接一多很快就会出现连接耗尽。目前出现了一些变种,http慢速的post请求和慢速的read请求都是基于相同的原理。

系统漏洞性攻击

有些服务器程序存在bug、安全漏洞,或架构性缺陷,攻击者可以通过构造的畸形请求发送给服务器,服务器因不能正确处理恶意请求而陷入僵死状态,导致拒绝服务。例如某些版本的app服务器程序存在缓冲区溢出,漏洞可以触发但无法得到shell,攻击者可以改变程序执行流程使其跳转到空指针或无法处理的地址,用户态的错误会导致进程挂起,如果错误不能被内核回收则可能使系统当掉。

DDoS攻击方式

混合型

在实际大流量的攻击中,通常并不是以上述一种数据类型来攻击,往往是混杂了TCP和UDP流量,网络层和应用层攻击同时进行。

反射型

反射型攻击的本质是利用“质询-应答”式协议,将质询包的源地址通过原始套接字伪造设置为目标地址,则应答的“回包”都被发送至目标,如果回包体积比较大或协议支持递归效果,攻击流量会被放大,成为一种高性价比的流量型攻击。反射型攻击利用的协议目前包括NTP、Chargen、SSDP、DNS、RPC portmap等等。

流量放大型

以上面提到的DRDOS中常见的SSDP协议为例,攻击者将Search type设置为ALL,搜索所有可用的设备和服务,这种递归效果产生的放大倍数是非常大的,攻击者只需要以较小的伪造源地址的查询流量就可以制造出几十甚至上百倍的应答流量发送至目标。

脉冲型

很多攻击持续的时间非常短,通常5分钟以内,流量图上表现为突刺状的脉冲。之所以这样的攻击流行是因为“打-打-停-停”的效果最好,刚触发防御阈值,防御机制开始生效攻击就停了,周而复始。蚊子不叮你,却在耳边飞,刚开灯想打它就跑没影了,当你刚关灯它又来了,你就没法睡觉。

链路泛洪

随着DDoS攻击技术的发展,又出现了一种新型的攻击方式link-flooding attack,这种方式不直接攻击目标而是以堵塞目标网络的上一级链路为目的。对于使用了ip anycast的企业网络来说,常规的DDoS攻击流量会被“分摊”到不同地址的基础设施,这样能有效缓解大流量攻击,所以攻击者发明了一种新方法,攻击至目标网络traceroute的倒数第二跳,即上联路由,致使链路拥塞。国内ISP目前未开放anycast,所以这种攻击方式的必要性有待观望。对一级ISP和IXP的攻击都可以使链路拥塞。

DDoS防护

DDoS分层防护技术

最好的ddos平台(一帖揭秘DDoS的前世今生)(2)

● ISP清洗:

当客户某核心业务遭受大规模DDoS攻击的时候,可以求助上级ISP进行流量清洗。一般分为两类:

● ISP近源清洗:

绝大多数最终客户来说是不可见的,ISP运用自身强大的现网资源,先进的流量识别分析技术,大量的数据来源,判断是否将流量黑洞掉。

● ISP近目的清洗:

对很多大型单位单位来说是必备的服务,其目的就是当客户某核心业务遭受大规模DDoS攻击的时候,可以求助上级ISP进行流量清洗。

● CDN负载均衡:

可以理解为云清洗服务,是第三方流量清洗服务商为客户提供的“上游”DDoS清洗服务。其实现方式是预先设定好网站的CNAME, 并将域名指向这些服务商的DNS服务器,进行流量清洗,和流量回注,本质上说,这种方式并不是DDoS防护产品,但对于WEB类业务而言,恰恰具备一定的防护能力。

● 本地DDoS防御:

在数据中心本地还需要进行防护是因为ISP防护往往是粗暴的,不区分请求源真实性的,这就导致很多正常用户的请求也被拦截,同时小流量的防护通过本地抗DDoS设备防护,效果和成本相对更合算,对透过CDN防护到达源站的动态请求无法进行有效防护的这类场景,也需要在本地进行防护。

● 服务端DDoS防御策略:

通过做链路均衡、本地服务器的负载均衡,提高出口带宽,提高自身系统的健壮性。

绿盟科技综合抗DDoS服务

最好的ddos平台(一帖揭秘DDoS的前世今生)(3)

◆ 本地清洗

智能防御算法,精确识别和防御DDoS攻击

防护各类已知和未知的DDoS攻击,有效应对中小规模,复杂流量攻击

自动清洗,在发现攻击时会自动进行流量牵引和清洗

安全专家团队全天候远程值守

◆ 云端清洗

海量清洗,最高300Gbps云端防护能力

电信,联通双链路清洗

支持TCP/UDP/HTTP/HTTPS

适合金融、电商、游戏、门户、媒体等各类业务场景

◆ 优势

全面防御:本地+云端,全面对抗DDoS攻击,免于封IP,业务不再受影响

性价比高:不改变现有的网络结构,免安装,免部署,免维护

响应速度快:安全专家团队全天候远程守候

超乎寻常的稳定:本地清洗旁路部署,发现攻击时进行牵引,其他流量不受影响

成熟经验:15年抗DDoS产品和流量清洗经验,帮助国内外客户建设,运营数百个清洗中心,国内唯一一家能够面向全行业用户提供抗拒服务攻击解决方案的专业厂商。

最好的ddos平台(一帖揭秘DDoS的前世今生)(4)

最好的ddos平台(一帖揭秘DDoS的前世今生)(5)

最好的ddos平台(一帖揭秘DDoS的前世今生)(6)

请点击屏幕右上方“…”

关注绿盟科技公众号

NSFOCUS-weixin

↑↑↑长按二维码,下载绿盟云APP

,