1、什麼是DDOS攻擊?
分布式拒絕服務(DDoS:Distributed Denial ofService)攻擊指借助于客戶/伺服器技術,将多個計算機聯合起來作為攻擊平台,對一個或多個目标發動DDoS攻擊,進而成倍地提高拒絕服務攻擊的威力。通常,攻擊者使用一個偷竊帳号将DDoS主要程式安裝在一個計算機上,在一個設定的時間主要程式将與大量代理程式通訊,代理程式已經被安裝在網絡上的許多計算機上。代理程式收到指令時就發動攻擊。利用客戶/伺服器技術,主要程式能在幾秒鐘内激活成百上千次代理程式的運作。
可以結合下面這個例子來了解:
一群惡霸試圖讓對面那家有着競争關系的商鋪無法正常營業,他們會采取什麼手段呢?(隻為舉例,切勿模仿)惡霸們扮作普通客戶一直擁擠在對手的商鋪,賴着不走,真正的購物者卻無法進入;或者總是和營業員有一搭沒一搭的東扯西扯,讓從業人員不能正常服務客戶;也可以為商鋪的經營者提供虛假資訊,商鋪的上上下下忙成一團之後卻發現都是一場空,最終跑了真正的大客戶,損失慘重。此外惡霸們完成這些壞事有時憑單幹難以完成,需要叫上很多人一起。網絡安全領域中DoS和DDoS攻擊就遵循着這些思路。
2、DDOS的攻擊方式
DDoS攻擊通過大量合法的請求占用大量網絡資源,以達到癱瘓網絡的目的。 這種攻擊方式可分為以下幾種:
(1)通過使網絡過載來幹擾甚至阻斷正常的網絡通訊;
(2)通過向伺服器送出大量請求,使伺服器超負荷;
(3)阻斷某一使用者通路伺服器;
(4)阻斷某服務與特定系統或個人的通訊。
IP Spoofing
IP欺騙攻擊是一種黑客通過向服務端發送虛假的包以欺騙伺服器的做法。具體說,就是将包中的源IP位址設定為不存在或不合法的值。伺服器一旦接收到該包便會傳回接受請求包,但實際上這個包永遠傳回不到來源處的計算機。這種做法使伺服器必需開啟自己的監聽端口不斷等待,也就浪費了系統各方面的資源。
LAND attack
這種攻擊方式與SYN floods類似,不過在LAND attack攻擊包中的原位址和目标位址都是攻擊對象的IP。這種攻擊會導緻被攻擊的機器死循環,最終耗盡資源而當機。
ICMP floods
ICMPfloods是通過向未良好設定的路由器發送廣播資訊占用系統資源的做法。
Application
與前面叙說的攻擊方式不同,Applicationlevel floods主要是針對應用軟體層的,也就是高于OSI的。它同樣是以大量消耗系統資源為目的,通過向IIS這樣的網絡服務程式提出無節制的資源申請來迫害正常的網絡服務。
3、攻擊現象
(1)被攻擊主機上有大量等待的TCP連接配接;
(2)網絡中充斥着大量的無用的資料包;
(3)源位址為假 制造高流量無用資料,造成網絡擁塞,使受害主機無法正常和外界通訊;
(4)利用受害主機提供的傳輸協定上的缺陷反複高速的發出特定的服務請求,使主機無法處理所有正常請求;
(5)嚴重時會造成系統當機。
4、攻擊特點
分布式拒絕服務攻擊采取的攻擊手段就是分布式的,在攻擊的模式改變了傳統的點對點的攻擊模式,使攻擊方式出現了沒有規律的情況,而且在進行攻擊的時候,通常使用的也是常見的協定和服務,這樣隻是從協定和服務的類型上是很難對攻擊進行區分的。在進行攻擊的時候,攻擊資料包都是經過僞裝的,在源IP 位址上也是進行僞造的,這樣就很難對攻擊進行位址的确定,在查找方面也是很難的。這樣就導緻了分布式拒絕服務攻擊在檢驗方法上是很難做到的。
分布式拒絕服務在進行攻擊的時候,要對攻擊目标的流量位址進行集中,然後在攻擊的時候不會出現擁塞控制。在進行攻擊的時候會選擇使用随機的端口來進行攻擊,會通過數千端口對攻擊的目标發送大量的資料包,使用固定的端口進行攻擊的時候,會向同一個端口發送大量的資料包。
5、攻擊分類
按照TCP/IP協定的層次可将DDOS攻擊分為基于ARP的攻擊、基于ICMP的攻擊、基于IP的攻擊、基于UDP的攻擊、基于TCP的攻擊和基于應用層的攻擊。
5.1基于ARP
ARP是無連接配接的協定,當收到攻擊者發送來的ARP應答時。它将接收ARP應答包中所提供的資訊。更新ARP緩存。是以,含有錯誤源位址資訊的ARP請求和含有錯誤目标位址資訊的ARP應答均會使上層應用忙于處理這種異常而無法響應外來請求,使得目标主機喪失網絡通信能力。産生拒絕服務,如ARP重定向攻擊。
5.2基于ICMP
攻擊者向一個子網的廣播位址發送多個ICMP Echo請求資料包。并将源位址僞裝成想要攻擊的目标主機的位址。這樣,該子網上的所有主機均對此ICMP Echo請求包作出答複,向被攻擊的目标主機發送資料包,使該主機受到攻擊,導緻網絡阻塞。
5.3基于IP
TCP/IP中的IP資料包在網絡傳遞時,資料包可以分成更小的片段。到達目的地後再進行合并重裝。在實作分段重新組裝的程序中存在漏洞,缺乏必要的檢查。利用IP封包分片後重組的重疊現象攻擊伺服器,進而引起伺服器核心崩潰。如Teardrop是基于IP的攻擊。
5.4基于應用層
應用層包括SMTP,HTTP,DNS等各種應用協定。其中SMTP定義了如何在兩個主機間傳輸郵件的過程,基于标準SMTP的郵件伺服器,在用戶端請求發送郵件時,是不對其身份進行驗證的。另外,許多郵件伺服器都允許郵件中繼。攻擊者利用郵件伺服器持續不斷地向攻擊目标發送垃圾郵件,大量侵占伺服器資源。
6、攻擊形式
6.1 SYN/ACK Flood攻擊
這種攻擊方法是經典最有效的DDOS方法,可通殺各種系統的網絡服務,主要是通過向受害主機發送大量僞造源IP和源端口的SYN或ACK 包,導緻主機的緩存資源被耗盡或忙于發送回應包而造成拒絕服務,由于源都是僞造的故追蹤起來比較困難,缺點是實施起來有一定難度,需要高帶寬的僵屍主機支援。少量的這種攻擊會導緻主機伺服器無法通路,但卻可以Ping的通,在伺服器上用Netstat -na指令會觀察到存在大量的SYN_RECEIVED狀态,大量的這種攻擊會導緻Ping失敗、TCP/IP棧失效,并會出現系統凝固現象,即不響應鍵 盤和滑鼠。普通防火牆大多無法抵禦此種攻擊[1] 。
6.2 TCP全連接配接攻擊
這種攻擊是為了繞過正常防火牆的檢查而設計的,一般情況下,正常防火牆大多具備過濾TearDrop、Land等DOS攻擊的能 力,但對于正常的TCP連接配接是放過的,殊不知很多網絡服務程式(如:IIS、Apache等Web伺服器)能接受的TCP連接配接數是有限的,一旦有大量的 TCP連接配接,即便是正常的,也會導緻網站通路非常緩慢甚至無法通路,TCP全連接配接攻擊就是通過許多僵屍主機不斷地與受害伺服器建立大量的TCP連接配接,直到伺服器的記憶體等資源被耗盡而被拖跨,進而造成拒絕服務,這種攻擊的特點是可繞過一般防火牆的防護而達到攻擊目的,缺點是需要找很多僵屍主機,并且由于僵屍 主機的IP是暴露的,是以容易被追蹤。
6.3 刷Script腳本攻擊
這種攻擊主要是針對存在ASP、JSP、PHP、CGI等腳本程式,并 調用MSSQLServer、 MySQLServer、Oracle等資料庫的網站系統而設計的,特征是和伺服器建立正常的TCP連接配接,并不斷的向腳本程式送出查詢、清單等大量耗費數 據庫資源的調用,典型的以小博大的攻擊方法。
一般來說,送出一個GET或POST指令對用戶端的耗費和帶寬的占用是幾乎可以忽略的,而伺服器為處理此請求卻可能要從上萬條記錄中去查出某個記錄,這種處理過程對資源的耗費是很大的,常見的資料庫伺服器很少能支援數百個查詢指令同時執行,而這對于用戶端來說卻 是輕而易舉的,是以攻擊者隻需通過Proxy代理向主機伺服器大量遞交查詢指令,隻需數分鐘就會把伺服器資源消耗掉而導緻拒絕服務,常見的現象就是網站慢 如蝸牛、ASP程式失效、PHP連接配接資料庫失敗、資料庫主程式占用CPU偏高。
這種攻擊的特點是可以完全繞過普通的防火牆防護,輕松找一些Proxy代理就可實施攻擊,缺點是對付隻有靜态頁面的網站效果會大打折扣,并且有些Proxy會暴露攻擊者的IP位址。
7、如何防範DDOS攻擊
對于DDOS攻擊的防範,除了企業本身内部系統防護外,還要對外部通路進行防護。有如下幾個方面:
7.1 采用高性能的網絡裝置
首先要保證網絡裝置不能成為瓶頸,是以選擇路由器、交換機、硬體防火牆等裝置的時候要盡量選用知名度高、口碑好的産品。當大量攻擊發生的時候請他們在網絡接點處做一下流量限制來對抗某些種類的DDOS攻擊是非常有效的。
可以做如下的一些政策:
①禁止對主機的非開放服務的通路
②限制同時打開的SYN最大連接配接數
③限制特定IP位址的通路
④啟用防火牆的防DDoS的屬性
⑤嚴格限制對外開放的伺服器的向外通路
7.2 內建防DDOS功能的應用層防火牆
Web應用防火牆是一種能夠了解并執行應用安全政策的進階元件。該元件可發現并緩解應用層攻擊,不論是對耗盡容量的HTTP洪水攻擊還是基于漏洞的攻擊都可有效防禦。除了防DDOS攻擊外,還可以對伺服器進行WEB應用防護和IPS防護等功能。
7.3 專業防DDOS攻擊裝置
例如綠盟的ADS裝置,可防護各類基于網絡層、傳輸層及應用層的拒絕服務攻擊,如SYN Flood、UDP Flood、UDPDNS Query Flood、(M)Stream Flood、ICMP Flood、HTTP Get Flood以及連接配接耗盡等常見的攻擊行為;智能防禦,借助内嵌的“智能多層識别淨化矩陣”,實作基于行為異常的攻擊檢測和過濾機制,而不依賴于傳統的特征字(或指紋)比對等方式;提供完備的異常流量檢測、攻擊防禦、裝置管理、報表生成、增值營運等功能;支援靈活的部署方式。産品支援包括串聯、串聯叢集、旁路以及旁路叢集等不同部署方式。旁路部署下支援多種路由協定進行流量的牽引和回注,滿足各種複雜的網絡環境下的部署需求。海量防禦,通過方案設計,可以組成N*10Gbps以上海量攻擊防禦能力的系統。
7.4 通過雲進行防禦
現在大部分的雲營運商都提供雲防禦的服務,比如360,安全保,雲盾等等。以雲盾為例,雲盾DDoS雲防禦采用是的以防禦為主的分布式叢集防禦。
管理者可通過網絡監控系統的通路行為進行嚴密檢測及安全評估。一旦發現問題,智能DNS解析系統能針對不同的網絡應用服務設定檢測端口,在遭受攻擊時能自動切換成另一節點,保證使用者的正常通路。
雲盾對每個節點伺服器都配置了多個IP位址,真實資料所在的伺服器IP不對外公布,網絡攻擊者難以檢測到真實伺服器IP。而值得一提的是,為了防禦大規模的DDoS攻擊,雲盾組建的分布式叢集防禦網絡每個節點都能承受不低于10G的DDoS攻擊,并可根據使用者需要增加節點來無限擴充防禦能力。在遭受DDoS攻擊之後,雲盾的當機檢測系統會快速更換,在保證網站恢複正常的同時還能将攻擊者的資料包傳回發送點,使攻擊源變成癱瘓狀态,進而将攻擊的損失降為最小。
雲防禦特點:
-具有強大的攻擊檢測和防護能力,可以抗200G以上流量的攻擊
-對已知和未知的攻擊都可以完美的防禦
-所具備其他防火牆不具備的海量DDoS防禦,在一定壓力測試下對強大的DDoS攻擊可以做到完美的防禦
-采用透明模式,在不改變網絡拓撲圖的前提下,擁有強大的網絡部署能力
-擁有豐富的管理能力,使用者可以遠端通過IE浏覽器、或遠端桌面跳轉登入背景
-詳細的攻擊資料分析系統,有利于對流量進行統計分析
-運用智能負載均衡系統保證網站線上服務不中斷
-隻需要把被攻擊的網站或者伺服器IP位址接到雲端網絡,就可以立即實作抗攻擊功能
-雲防禦伺服器的規模可以動态伸縮,滿足應用和使用者規模增長的需要
-不按帶寬收費,不加收任何初始配置費用,按照攻擊流量計費,比硬體防火牆可節省50倍成本每年
7.5 網際網路服務提供商(ISP)
基于ISP大容量高帶寬的優勢,并且大多數ISP都有“潔淨的網絡管道”(Clean Pipe)或DDoS緩解服務,收費通常要比标準的帶寬成本高一些。基于ISP的服務對許多中小企業來說很管用,也符合預算方面的要求。
别忘了一點:雲服務提供商和主機托管商也是ISP。