什么是DDOS

布式拒绝服务(DDoS)攻击是通过大量互联网流量压倒目标或其周围基础设施来破坏目标服务器,服务或网络的正常流量的恶意企图。DDoS攻击通过利用多个受损计算机系统作为攻击流量来源来实现有效性。被利用的机器可以包括计算机和其他网络资源,例如物联网设备。从高层次来看,DDoS攻击就像堵塞高速公路的交通堵塞,阻止了常规交通到达其预定目的地。

DDoS攻击如何工作?

DDoS攻击需要攻击者控制在线计算机网络才能进行攻击。计算机和其他计算机(如物联网设备)感染了,将每个计算机变成僵尸程序(或僵尸)。然后,攻击者可以远程控制僵尸程序组,这称为僵尸网络。

一旦僵尸网络建立,攻击者就可以通过远程控制方法向每个机器人发送更新的指令来指导机器。当僵尸网络将受害者的ip地址作为目标时,每个僵尸程序将通过向目标发送请求来响应,从而可能导致目标服务器或网络溢出容量,从而导致对正常流量的拒绝服务。由于每个机器人都是合法的Internet设备,因此将攻击流量与正常流量分开可能很困难。

什么是常见类型的DDoS攻击?

不同的DDoS攻击向量针对网络连接的不同组件。为了理解不同的DDoS攻击是如何工作的,有必要知道如何建立网络连接。因特网上的网络连接由许多不同的组件或“层”组成。就像从头开始建造房屋一样,模型中的每个步骤都有不同的用途。该OSI模型,如下所示,是用来描述在7不同的层的网络连接的概念框架。

虽然几乎所有DDoS攻击都涉及压倒目标设备或网络流量,但攻击可分为三类。攻击者可以使用一个或多个不同的攻击向量,或者可能基于目标采取的反制措施来循环攻击向量。

应用层攻击

攻击的目标:

有时被称为第7层DDoS攻击(参考OSI模型的第7层),这些攻击的目标是耗尽目标的资源。攻击的目标是在服务器上生成网页并响应HTTP请求而传递的层。单个HTTP请求在客户端执行起来很便宜,并且目标服务器响应可能很昂贵,因为服务器通常必须加载多个文件并运行数据库查询才能创建网页。第7层攻击难以防御,因为流量难以标记为恶意。

应用层攻击示例:

HTTP Flood

此攻击类似于同时在多个不同计算机上反复按Web浏览器中的刷新 - 大量HTTP请求泛滥服务器,导致拒绝服务。

这种类型的攻击范围从简单到复杂。更简单的实现可以访问具有相同范围的攻击IP地址,引用者和用户代理的一个URL。复杂版本可能使用大量攻击性IP地址,并使用随机引用和用户代理来定位随机URL。

协议攻击

攻击的目标:

协议攻击(也称为状态耗尽攻击)通过消耗Web应用程序服务器或防火墙和负载平衡器等中间资源的所有可用状态表容量来导致服务中断。协议攻击利用协议栈的第3层和第4层中的弱点来使目标不可访问。

协议攻击示例:

SYN Flood

SYN Flood类似于接收来自商店前面的请求的供应室中的工作人员。工作人员收到请求,去取得包裹,等待确认,然后将包裹拿出来。然后,工作人员在没有确认的情况下获得更多的包请求,直到他们无法携带更多的包,变得不堪重负,并且请求开始无人接听。

此攻击通过向目标发送具有欺骗性源IP地址的大量TCP“初始连接请求”SYN数据包来利用TCP握手。目标机器响应每个连接请求,然后等待握手中的最后一步,这一步骤永远不会发生,从而耗尽了进程中的目标资源。

体积攻击

攻击的目标:

此类攻击试图通过消耗目标与较大Internet之间的所有可用带宽来创建拥塞。通过使用放大形式或其他创建大量流量的方式(例如来自僵尸网络的请求)将大量数据发送到目标。

扩增实例:

DNS放大

一个DNS放大就像如果有人打电话给餐厅和说:“我所拥有的一切的一个,请给我打电话,告诉我,我的整个秩序,”他们给回调的电话号码是目标的数量。只需很少的努力,就会产生很长的响应。

通过向具有欺骗IP地址(目标的真实IP地址)的开放DNS服务器发出请求,目标IP地址然后从服务器接收响应。攻击者构造请求,以便DNS服务器以大量数据响应目标。结果,目标接收到攻击者初始查询的放大。

减轻DDoS攻击的过程是什么?

减轻DDoS攻击的关键问题是区分攻击和正常流量。例如,如果产品发布的公司网站被热切的客户所淹没,那么切断所有流量是一个错误。如果该公司突然出现来自已知坏人的流量激增,则可能需要努力减轻攻击。困难在于它将真实客户和攻击流量区分开来。

在现代互联网中,DDoS流​​量有多种形式。设计的流量可以从未欺骗的单一来源攻击到复杂的自适应多向量攻击。多向量DDoS攻击使用多个攻击路径以不同方式压倒目标,可能会分散任何一条轨迹上的缓解措施。同时针对协议栈的多个层的攻击,例如与HTTP泛洪(目标层7)耦合的DNS放大(目标层3/4)是多向量DDoS的示例。

减轻多向量DDoS攻击需要多种策略以对抗不同的轨迹。一般来说,攻击越复杂,流量就越难以与正常流量分离 - 攻击者的目标是尽可能地融合,使缓解尽可能低效。涉及不加选择地丢弃或限制流量的缓解尝试可能会带来良好的流量,并且攻击也可以修改并适应规避对策。为了克服复杂的破坏尝试,分层解决方案将带来最大的好处。

黑洞布线

几乎所有网络管理员都可以使用的一种解决方案是创建一个黑洞路由并将流量汇集到该路由中。在最简单的形式中,当实施黑洞过滤而没有特定的限制标准时,合法和恶意网络流量都被路由到空路由或黑洞并从网络中丢弃。如果Internet属性正在遭受DDoS攻击,则该属性的Internet服务提供商(ISP)可能会将所有站点的流量发送到黑洞作为防御。

限速

限制服务器在特定时间窗口内接受的请求数量也是减轻拒绝服务攻击的一种方法。虽然速率限制有助于减缓网络抓取工具窃取内容并减少暴力登录尝试,但仅凭它可能不足以有效地处理复杂的DDoS攻击。然而,速率限制是有效DDoS缓解策略中的有用组件。

Web应用防火墙

甲web防火墙是一种工具,可以有助于减轻层7 DDoS攻击。通过在Internet和源服务器之间放置WAF,WAF可以充当反向代理,保护目标服务器免受某些类型的恶意流量的影响。通过基于用于识别DDoS工具的一系列规则来过滤请求,可以阻止第7层攻击。有效WAF的一个关键值是能够快速实施自定义规则以响应攻击。

任播网络扩散

此缓解方法使用Anycast网络将攻击流量分散到分布式服务器网络中,直至网络吸收流量。就像将一条湍急的河流引入不同的较小通道一样,这种方法将分布式攻击流量的影响扩展到可管理的程度,扩散任何破坏性功能。

Anycast网络缓解DDoS攻击的可靠性取决于攻击的大小以及网络的规模和效率。级。

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 202,723评论 5 476
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,080评论 2 379
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 149,604评论 0 335
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,440评论 1 273
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,431评论 5 364
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,499评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,893评论 3 395
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,541评论 0 256
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,751评论 1 296
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,547评论 2 319
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,619评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,320评论 4 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,890评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,896评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,137评论 1 259
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 42,796评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,335评论 2 342

推荐阅读更多精彩内容