1968 
2023-06-06 11:12:01 DDoS攻擊是指不法分子利用控制由多個(gè)肉雞或服務(wù)器組成的僵尸網(wǎng)絡(luò)向目標(biāo)發(fā)送大量看請(qǐng)求,從而占用大量網(wǎng)絡(luò)資源使網(wǎng)絡(luò)癱瘓。一個(gè)企業(yè)的網(wǎng)上服務(wù)很容易遭到拒絕服務(wù)的攻擊,今天我們就一起來(lái)聊一聊DDoS攻擊與對(duì)策。
DDoS攻擊與對(duì)策
從各安全廠(chǎng)商的DDoS分析報(bào)告不難看出,DDoS攻擊的規(guī)模及趨勢(shì)正在成倍增長(zhǎng)。由于攻擊的成本不斷降低,技術(shù)門(mén)檻要求越來(lái)越低,攻擊工具的肆意傳播,互聯(lián)網(wǎng)上隨處可見(jiàn)成群的肉雞,使發(fā)動(dòng)一起DDoS攻擊變得輕而易舉。
DDoS攻擊技術(shù)包括:常見(jiàn)的流量直接攻擊(如SYN/ACK/ICMP/UDP FLOOD),利用特定應(yīng)用或協(xié)議進(jìn)行反射型的流量攻擊(如,NTP/DNS/SSDP反射攻擊,2018年2月28日GitHub所遭受的Memcached反射攻擊),基于應(yīng)用的CC、慢速HTTP等。關(guān)于這些攻擊技術(shù)的原理及利用工具網(wǎng)上有大量的資源,不再贅述。
抗DDoS設(shè)備(業(yè)內(nèi)習(xí)慣稱(chēng)ADS設(shè)備)一般以盒子的形式部署在網(wǎng)絡(luò)出口處,可串聯(lián)也可旁路部署。旁路部署需要在發(fā)生攻擊時(shí)進(jìn)行流量牽引,其基本部署方案。
檢測(cè)設(shè)備對(duì)鏡像過(guò)來(lái)的流量進(jìn)行分析,檢測(cè)到DDoS攻擊后通知清洗設(shè)備,清洗設(shè)備通過(guò)BGP或OSPF協(xié)議將發(fā)往被攻擊目標(biāo)主機(jī)的流量牽引到清洗設(shè)備,然后將清洗后的干凈流量通過(guò)策略路由或者M(jìn)PLS LSP等方式回注到網(wǎng)絡(luò)中;當(dāng)檢測(cè)設(shè)備檢測(cè)到DDoS攻擊停止后,會(huì)通知清洗設(shè)備停止流量牽引。
將ADS設(shè)備部署在本地,企業(yè)用戶(hù)可依靠設(shè)備內(nèi)置的一些防御算法和模型有效抵擋一些小規(guī)模的常見(jiàn)流量攻擊,同時(shí)結(jié)合盒子提供的可定制化策略和服務(wù),方便有一定經(jīng)驗(yàn)的企業(yè)用戶(hù)對(duì)攻擊報(bào)文進(jìn)行分析,定制針對(duì)性的防御策略。目前國(guó)內(nèi)市場(chǎng)上,主要以綠盟的黑洞為代表,具體可以訪(fǎng)問(wèn)其官網(wǎng)進(jìn)一步了解。
本地清洗最大的問(wèn)題是當(dāng)DDoS攻擊流量超出企業(yè)出口帶寬時(shí),即使ADS設(shè)備處理性能夠,也無(wú)法解決這個(gè)問(wèn)題。一般金融證券等企業(yè)用戶(hù)的出口帶寬可能在幾百兆到幾G,如果遇到十G以上甚至上百G的流量,就真的麻煩了,更別談T級(jí)別的DDoS攻擊了。
當(dāng)本地設(shè)備清洗解決不了流量超過(guò)出口帶寬的問(wèn)題時(shí),往往需要借助運(yùn)營(yíng)商的能力了,緊急擴(kuò)容或者開(kāi)啟清洗服務(wù)是一般做法,前提是要采購(gòu)相應(yīng)的清洗服務(wù),而且一般需要通過(guò)電話(huà)或郵件確認(rèn),有的可能還要求傳真。
DDoS的原理及危害
DDoS:拒絕服務(wù)攻擊的目標(biāo)大多采用包括以SYNFlood和PingFlood為主的技術(shù),其主要方式是通過(guò)使關(guān)鍵系統(tǒng)資源過(guò)載,如目標(biāo)網(wǎng)站的通信端口與記憶緩沖區(qū)溢出,導(dǎo)致網(wǎng)絡(luò)或服務(wù)器的資源被大量占用,甚至造成網(wǎng)絡(luò)或服務(wù)器的全面癱瘓,而達(dá)到阻止合法信息上鏈接服務(wù)要求的接收。形象的解釋是,DDoS攻擊就好比電話(huà)點(diǎn)歌的時(shí)候,從各個(gè)角落在同一時(shí)間有大量的電話(huà)掛入點(diǎn)播臺(tái),而點(diǎn)播臺(tái)的服務(wù)能力有限,這時(shí)出現(xiàn)的現(xiàn)象就是打電話(huà)的人只能聽(tīng)到電話(huà)忙音,意味著點(diǎn)播臺(tái)無(wú)法為聽(tīng)眾提供服務(wù)。這種類(lèi)型的襲擊日趨增多,因?yàn)閷?shí)施這種攻擊的方法與程序源代碼現(xiàn)已在黑客網(wǎng)站上公開(kāi)。另外,這種襲擊方法非常難以追查,因?yàn)樗麄冞\(yùn)用了諸如IP地址欺騙法之類(lèi)所謂網(wǎng)上的“隱身技術(shù)”,而且現(xiàn)在互聯(lián)網(wǎng)服務(wù)供應(yīng)商(ISP)的過(guò)剩,也使作惡者很容易得到IP地址。
拒絕服務(wù)攻擊的一個(gè)最具代表性的攻擊方式是分布式拒絕服務(wù)攻擊(DistributedDenialofService,DDoS),它是一種令眾多的互聯(lián)網(wǎng)服務(wù)提供商和各國(guó)政府非常頭疼的黑客攻擊方法,最早出現(xiàn)于1999年夏天,當(dāng)時(shí)還只是在黑客站點(diǎn)上進(jìn)行的一種理論上的探討。從2000年2月開(kāi)始,這種攻擊方法開(kāi)始大行其道,在2月7日到11日的短短幾天內(nèi),黑客連續(xù)攻擊了包括Yahoo,Buy.com,eBay,Amazon,CNN等許多知名網(wǎng)站,致使有的站點(diǎn)停止服務(wù)達(dá)幾個(gè)小時(shí)甚至幾十個(gè)小時(shí)之久。國(guó)內(nèi)的新浪等站點(diǎn)也遭到同樣的攻擊,這次的攻擊浪潮在媒體上造成了巨大的影響,以至于美國(guó)總統(tǒng)都不得不親自過(guò)問(wèn)。
分布式拒絕服務(wù)攻擊采用了一種比較特別的體系結(jié)構(gòu),從許多分布的主機(jī)同時(shí)攻擊一個(gè)目標(biāo)。從而導(dǎo)致目標(biāo)癱瘓。目前所使用的入侵監(jiān)測(cè)和過(guò)濾方法對(duì)這種類(lèi)型的入侵都不起作用。所以,對(duì)這種攻擊還不能做到完全防止。
DDoS通常采用一種跳臺(tái)式三層結(jié)構(gòu)。如圖10—7所示:圖10—7最下層是攻擊的執(zhí)行者。這一層由許多網(wǎng)絡(luò)主機(jī)構(gòu)成,其中包括Unix,Linux,Mac等各種各樣的操作系統(tǒng)。攻擊者通過(guò)各種辦法獲得主機(jī)的登錄權(quán)限,并在上面安裝攻擊器程序。這些攻擊器程序中一般內(nèi)置了上面一層的某一個(gè)或某幾個(gè)攻擊服務(wù)器的地址,其攻擊行為受到攻擊服務(wù)器的直接控制。
了解DDoS攻擊與對(duì)策,DDoS攻擊目前黑客經(jīng)常采用而難以防范的攻擊手段,所以很多企業(yè)都會(huì)束手無(wú)策。作為可能被攻擊的對(duì)象要及時(shí)做好相應(yīng)的措施,提高防御的思想,因?yàn)橐坏┰馐艿紻DoS攻擊就很難不造成損失。
