站内搜索

DDoS 攻击是什么 – 拒绝服务攻击原理、类型、检测和预防

  拒绝服务攻击(英语:denial-of-service attack,简称DoS攻击),是一种网络攻击手法,其目的在于使目标电脑的网络或系统资源耗尽,使服务暂时中断或停止,导致其正常用户无法访问。当黑客使用网络上两个或以上被攻陷的电脑作为“僵尸”向特定的目标发动“拒绝服务”式攻击时,称为分布式拒绝服务攻击(distributed denial-of-service attack,简称DDoS攻击)亦称洪水攻击,攻击指借于客户/服务器技术,将多个计算机联合起来作为攻击平台,来破坏目标服务器,服务或网络的正常流量。DDoS攻击通过利用多个受损计算机系统作为攻击流量来源来实现有效性,被利用的机器可以包括计算机和其他网络资源,例如物联网设备。

  分布式拒绝服务 (DDoS) 攻击以网站和服务器为目标,攻击方式是中断网络服务。DDoS 攻击会尝试耗尽应用程序的资源。执行这些攻击的罪犯会用错误的流量攻占网站,导致网站功能不佳或完全离线。DDoS 攻击范围广泛,攻击目标涵盖全球各种行业和各种规模的公司。话虽如此,游戏、电子商务和电信等特定行业比其他行业更容易受到攻击。DDoS 攻击是一些最常见的网络威胁,可能会对业务、在线安全、销售和声誉造成损害。

  最通俗易懂的解释:举例来说,我开了一家餐厅,正常情况下,最多可以容纳30个人同时进餐。你直接走进餐厅,找一张桌子坐下点餐,马上就可以吃到东西。很不幸,我得罪了一个流氓。他派出300个人同时涌进餐厅。这些人看上去跟正常的顾客一样,每个都说”赶快上餐”。但是,餐厅的容量只有30个人,根本不可能同时满足这么多的点餐需求,加上他们把门口都堵死了,里三层外三层,正常用餐的客人根本进不来,实际上就把餐厅瘫痪了。

  这就是 DDOS 攻击,它在短时间内发起大量请求,耗尽服务器的资源,无法响应正常的访问,造成网站实质下线。

DDoS 攻击原理

  在 DDoS 攻击期间,一系列机器人或僵尸网络会用 HTTP 请求和流量攻占网站或服务。从本质上讲,在攻击期间会有多台计算机攻击一台计算机,导致将合法用户推出。因此,服务可能会延迟或中断一段时间。

  在攻击期间,黑客也有可能渗入数据库以访问各种敏感信息。DDoS 攻击可以利用安全漏洞并攻击可通过 Internet 公开访问的任何终结点。

  拒绝服务攻击可能会持续几小时,甚至几天。这些网络攻击还可能在一次攻击中造成多项破坏。个人和企业设备都容易受到此类攻击。

  另有说明如下:

  DDoS攻击需要攻击者控制在线计算机网络才能进行攻击。计算机和其他计算机(如物联网设备)感染了恶意软件,将每个计算机转变为机器人(或僵尸)。然后,攻击者可以远程控制僵尸程序组,这称为僵尸网络。

  一旦僵尸网络建立,攻击者就可以通过远程控制方法向每个机器人发送更新的指令来指导机器。当受害者的IP地址被僵尸网络作为目标时,每个僵尸程序将通过向目标发送请求来响应,可能导致目标服务器或网络溢出容量,从而导致对正常流量的拒绝服务。由于每个机器人都是合法的Internet设备,因此将攻击流量与正常流量分开可能很困难。

DDoS 攻击类型

  SYN/ACK Flood攻击:这种攻击方法是经典最有效的DDOS攻击方法,可通杀各种系统的网络服务,主要是通过向受害主机发送大量伪造源IP和源端口的SYN或ACK包,导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务,由于源都是伪造的故追踪起来比较困难,缺点是实施起来有一定难度,需要高带宽的僵尸主机支持。

  TCP全连接攻击:这种攻击是为了绕过常规防火墙的检查而设计的,一般情况下,常规防火墙大多具备过滤TearDrop、Land等DOS攻击的能力,但对于正常的TCP连接是放过的,殊不知很多网络服务程序(如:IIS、Apache等Web服务器)能接受的TCP连接数是有限的,一旦有大量的TCP连接,即便是正常的,也会导致网站访问非常缓慢甚至无法访问,TCP全连接攻击就是通过许多僵尸主机不断地与受害服务器建立大量的TCP连接,直到服务器的内存等资源被耗尽而被拖跨,从而造成拒绝服务,这种攻击的特点是可绕过一般防火墙的防护而达到攻击目的,缺点是需要找很多僵尸主机,并且由于僵尸主机的IP是暴露的,因此此种DDOS攻击方式容易被追踪。

  刷Script脚本攻击:这种攻击主要是针对存在ASP、JSP、PHP、CGI等脚本程序,并调用MSSQLServer、MySQLServer、Oracle等数据库的网站系统而设计的,特征是和服务器建立正常的TCP连接,并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用,典型的以小博大的攻击方法。

  另有说明如下:

  有几种不同类型的 DDoS 攻击。一般来说,DDoS 攻击分为三大类:容量耗尽攻击、协议攻击和资源层攻击。

  1.容量耗尽攻击通过最初似乎是合法的流量来使网络层不堪重负。这种类型的攻击是最常见的 DDoS 攻击形式。DNS(域名服务器)放大就是一种容量耗尽攻击,它使用开放的 DNS 服务器向目标发送海量 DNS 响应流量。
  2.协议攻击通过利用第 3 层和第 4 层协议堆栈中的弱点导致服务中断。SYN 攻击就是此类攻击的一个示例,该攻击会消耗所有可用服务器资源(从而使服务器不可用)。
  3.资源(或应用程序)层攻击针对 Web 应用程序数据包并破坏主机之间的数据传输。此类攻击的示例包括 HTTP 协议违规、SQL 注入、跨站脚本和其他第 7 层攻击。

  网络攻击者可能对一个网络使用一种或多种类型的攻击。例如,攻击可能从一类攻击开始,然后演变为另一种威胁或与其相结合,进而对系统造成严重破坏。

  此外,每个类别中都包含多种网络攻击。随着网络犯罪分子的技术越来越复杂,新网络威胁的数量正在增加,并且预计还会攀升。

  如果怀疑网络受到攻击,那么必须快速采取行动,因为除了导致故障外,DDoS 攻击还会使组织容易受到其他黑客、恶意软件或网络威胁的攻击。

如何检测和响应 DDoS 攻击

  虽然没有一种方法可以检测 DDoS 攻击,但有一些迹象可能提示网络正受到攻击:
  1.看到网络流量激增但来源不明,这些流量实际来自同一个 IP 地址或范围。
  2.网络性能缓慢或异常。
  3.网站、在线商店或其他服务完全离线。

  现代软件解决方案可以帮助确定潜在威胁。网络安全和监视服务可以就系统变化发出提醒,以便你可以快速响应。

  你还需要制定 DDoS 攻击行动计划(包含明确的角色和程序),以便团队能够针对这些威胁采取迅速而果断的行动。务必记住,并非所有 DDoS 攻击都是相同的;需要制定不同的响应协议来缓解不同的攻击。

如何预防 DDoS 攻击

  在发现网络威胁之前,需要先制定应对流程。准备是及时发现和应对攻击的关键。

  需要执行以下操作:
  1.制定拒绝服务防御策略,以帮助检测、预防和减少 DDoS 攻击。
  2.识别安全漏洞并评估针对设置的潜在威胁。
  3.更新任何保护软件或技术并确保其正常工作。
  4.成立相关团队并针对应对攻击分配角色。

  务必使用有助于保护业务安全的产品、流程和服务来进一步增强安全性。这样一来,一旦检测到威胁,团队便会有知识储备并有能力采取行动。

Copyright © XiakeShu.com 版权所有 | 备案号:浙ICP备11004787号-12