了解DDoS攻击是什么以及如何防止它

分布式拒绝服务 (DDoS) 攻击是一种非侵入式互联网攻击,旨在通过使用虚假流量淹没网络、服务器或应用程序来关闭目标网站或减慢其速度。当针对易受攻击的资源密集型端点时,即使是极少量的流量也足以使攻击成功。

了解DDoS攻击是什么以及如何防止它-南华中天

分布式拒绝服务 (DDoS) 攻击是网站所有者必须熟悉的威胁,因为它们是安全领域的关键部分。驾驭各种类型的 DDoS 攻击可能具有挑战性且耗时。为了帮助您了解 DDoS 攻击是什么以及如何防止它,我们编写了以下指南。

一、定义 DDoS 攻击

1.1 – 了解 DDoS 攻击

与来自单一来源的拒绝服务 (DoS) 攻击不同,DDoS 攻击涉及来自多个位置的连接设备——也称为僵尸网络。DDoS 攻击的目的是阻止合法用户访问您的网站。与其他类型的攻击不同,攻击者不会使用 DDoS 来破坏您的安全边界。相反,DDoS 攻击用于关闭您的网站并阻止合法流量,或用作其他恶意活动的烟幕。要使 DDoS 攻击成功,攻击者需要发送比受害服务器能够处理的请求更多的请求。成功攻击的另一种方式是攻击者发送虚假请求。

1.2 – DDoS 攻击如何运作?

DDoS 攻击将通过发送虚假流量峰值来测试 Web 服务器、网络和应用程序资源的限制。有些攻击只是针对易受攻击的端点(例如搜索功能)的恶意请求的短暂爆发。DDoS 攻击使用称为僵尸网络的僵尸设备大军。这些僵尸网络通常由受感染的物联网设备、网站和计算机组成。

当发起 DDoS 攻击时,僵尸网络将攻击目标并耗尽应用程序资源。成功的 DDoS 攻击可能会阻止用户访问网站或将其放慢到足以增加跳出率的程度,从而导致财务损失和性能问题。

1.3 – DDoS 攻击背后的目标是什么?

利用拒绝服务 (DoS) 攻击方法的攻击者的主要目标是破坏网站可用性:

  • 网站对合法请求的响应可能会变慢。
  • 该网站可以完全禁用,使合法用户无法访问它。

根据您的配置,任何类型的中断都可能对您的业务造成破坏性影响。

1.4 – DoS 和 DDoS 攻击有什么区别?

拒绝服务 (DoS) 攻击和分布式拒绝服务 (DDoS) 攻击非常相似。它们之间的唯一区别是它们的规模。单一 DoS 攻击来自一个来源,而 DDoS(分布式)攻击来自多个位置,通常是欺骗性的。

无论是 DoS 还是 DDoS 攻击,攻击者都使用一台或多台计算机。DoS 攻击处于该频谱的低端,而 DDoS 攻击处于高端。非常大的 DDoS 攻击可以跨越数百或数千个系统。DoS/DDoS 攻击的扩散直接归因于 DDoS 出租服务市场的扩散,也称为引导服务。

1.5 – DDoS 攻击可以窃取信息吗?

DDoS 攻击无法窃取网站访问者信息。DDoS 攻击的唯一目的是使网站资源过载。但是,DDoS 攻击可以用作敲诈勒索的一种方式。例如,可以要求网站所有者为攻击者支付赎金以阻止 DDoS 攻击。

DDoS 攻击可能有许多其他动机,包括政治、黑客活动、恐怖分子和商业竞争。任何有经济或意识形态动机的人都可以通过对组织发起 DDoS 攻击来破坏组织。

1.6 – DDoS 攻击的迹象是什么?

DDoS 攻击的迹象包括:

  • 该网站响应缓慢。
  • 该网站没有响应。
  • 用户在访问网站时遇到问题。
  • 如果您是目标,则 Internet 连接问题。

根据您的配置,任何类型的中断都可能对您的业务造成破坏性影响。

1.7 – DDoS 攻击的放大效应

每次谈到 DDoS 攻击,就不得不提它的放大效应。为了实现放大,大多数攻击者利用由受感染计算机组成的僵尸网络,允许他们将攻击放大到整个僵尸网络的大小。一名攻击者可以控制 1,000 个机器人,然后这些机器人可用于对受害者进行 DDoS 攻击。那是1,000 个机器人对 1 个服务器,使攻击者更容易获胜。然而,攻击者并不总是需要控制僵尸网络。它们还可以使主机向错误的目的地发送响应。例如,易受攻击的 memcached 服务器被用来关闭 Github,但实际上没有一个被黑客入侵,只是被攻击者愚弄了。

放大的另一个方面与网络层和欺骗性请求有关。如果僵尸网络上的每台计算机只需要发送 1 个字节就可以得到 100 个字节的响应怎么办?这就是所谓的100 倍放大。当请求被欺骗时,回复会返回给互联网上的其他人,而不是攻击者。这意味着服务器的网络端口正在处理 1 字节的传入 + 100 字节的传出,而攻击者只处理其端的 1 字节传出。

如果使用正确的放大方法,理论上包含 1,000 个僵尸程序的小型僵尸网络可以轻松生成接近100 Gbps的速度放大并不止于此。大多数人倾向于仅根据千兆字节的网络来考虑它们,但在应用层也发生了一些事情。

如果攻击者只需要来自僵尸网络的 1 个 HTTP 请求就可以强制 Web 应用程序做很多工作怎么办?比如昂贵的搜索或需要大量资源的东西?这是我们看到的许多第 7 层(HTTP 洪水)攻击的基础。

1.8 – DDoS 攻击期间会发生什么?

你有没有想过在 DDoS 攻击期间会发生什么以及它在技术方面是什么样子?

DDoS 攻击会耗尽服务器资源并增加网站加载时间。当 DDoS 攻击攻击网站时,它可能会遭受性能问题或通过压倒服务器资源(如 CPU、内存甚至整个网络)使服务器完全崩溃。如今,大多数 DDoS 攻击都源自黑客控制的易受攻击物联网设备的僵尸网络。这包括连接互联网的安全摄像头、家用电器、智能电视、家庭照明系统,甚至冰箱。

DDoS 攻击的指数级增长主要是由于完全缺乏对物联网设备的监管控制,这使得它们成为僵尸网络的优秀新兵。一组被劫持的具有唯一 IP 地址的物联网设备可以被重定向以向网站发出恶意请求,从而引发 DDoS 攻击。

1.9 – DDoS 攻击示例

为了帮助您了解攻击是什么样子,我们捕获了一个网站被 DDoSed 的实时示例。您将能够在几分钟内清楚地看到网站的性能如何受到干扰,并观察服务器资源是如何耗尽的。如果您的网站受到 DDoS 攻击,该视频将帮助您识别可能会发现的迹象和行为。

二、DDoS 攻击的类型

某些类型的 DDoS 攻击旨在消耗 Web 服务器资源。结果是它们减慢或完全停止您的服务器或网站。物联网 (IoT) 是嵌入在电子设备、软件、传感器、执行器和连接中的物理设备网络。这些对象能够连接和交换也可用于恶意攻击的数据。您的设备(例如家庭路由器)可能会受到攻击并充当 DDoS 攻击的僵尸网络。

我们发现了一些与物联网设备相关的大规模 DDoS 攻击。你可以在这里阅读文章:

  • 在 DDoS 攻击中利用的大型 CCTV 僵尸网络
  • 物联网家庭路由器僵尸网络利用大型 DDoS 攻击

在以下部分中,我们将回顾某些类型的 DDoS 攻击。

2.1 – 基于容量的 DDoS 攻击

顾名思义,基于流量的 DDoS 攻击取决于入站流量。此类攻击的目标是使网站的带宽过载或导致 CPU 或 IOPS 使用问题。攻击者采用了一种基本策略——更多的资源赢得了这场比赛。如果他们可以使您的资源过载,则攻击是成功的。攻击者很容易实现他们的目标。大多数网站所有者都在利用共享主机,而具有虚拟专用服务器 (VPS) 环境的主机通常设置在最小的层级和配置中。

这种攻击可以以每秒比特数来衡量。

基于卷的 DDoS 攻击包括:

    • UDP 泛洪

      用户数据报协议 (UDP) DoS 攻击将随机淹没各种端口,导致主机服务器使用 Internet 控制消息协议 (ICMP) 数据包进行报告。这是一种协议,用于在问题阻止 IP 数据包传递时向 IP 地址生成错误消息。UDP 泛洪是通过数据包完成的——也称为第 3/4 层攻击。这会迫使 Web 服务器做出响应,进而咀嚼您的 Web 服务器资源,迫使它停止或完全死机。UDP 是一种无连接协议,这意味着它不验证源 IP 地址。正因为如此,UDP 攻击通常与分布式反射拒绝服务 (DRDoS) 攻击相关联。

    • ICMP 泛洪

      攻击者使用从大量源 IP 发送的欺骗性 ICMP 数据包淹没服务器。这种攻击的结果是服务器资源耗尽和无法处理请求,导致服务器重新启动或对其性能造成广泛影响。ICMP 洪水攻击可以针对特定的服务器,也可以是随机的。它基本上将带宽消耗到耗尽的地步。

    • 平洪水

      攻击者使用来自大量源 IP 的欺骗性 ping 数据包淹没服务器。它是 ICMP 洪水攻击的演变。攻击者的目标是淹没服务器直到它下线。对于网站所有者而言,这种攻击的最大缺点是它可能难以检测,被误认为是合法流量。

2.2 – 基于协议的 DDoS 攻击

互联网是基于协议的。这就是事情从 A 点到 B 点的方式。基于协议的 DDoS 攻击利用了第 3 层和第 4 层协议栈中的弱点。这种类型的攻击在处理能力的中间消耗服务器资源或任何其他网络硬件。结果是服务中断。这些攻击试图通过发送比服务器可以处理的更多的数据包或比网络端口可以处理的带宽更多的数据包来利用您的网络堆栈。攻击可以用每秒数据包数 (Pps) 来衡量。

基于协议的 DDoS 攻击包括:

    • 死亡之平

攻击者向服务器发送恶意 ping,操纵 IP 协议。这种攻击在 1990 年代非常普遍。如今,尽管攻击已经发展,但仍有一些形式的 Ping of Death 攻击可以针对应用程序或硬件。这种攻击的结果是服务器重新启动或完全崩溃。这正是 DoS 攻击不能被贬低的原因:一个攻击者可以摧毁一个完整的数据中心。

    • SYN 洪水

攻击者利用传输控制协议 (TCP) 连接三次握手中的弱点,这是客户端、主机和服务器之间的通信过程。攻击者将 SYN 数据包作为欺骗消息发送到目标服务器,直到服务器的表内存连接耗尽导致整个服务关闭。

2.3 – 应用层攻击

这种攻击的基础通常针对 Web 服务器(即 Windows IIS、Apache 等)等应用程序;然而,应用层攻击已经发展到 WordPress、Joomla、Drupal、Magento 等应用平台。应用层攻击的目标是破坏应用程序、在线服务或网站。

这些攻击通常比我们以前见过的攻击要小。然而,应用层攻击的后果可能是邪恶的,因为它们可能会被忽视,直到为时已晚做出反应。这就是为什么它们被称为“低速攻击”甚至“慢速攻击”的原因。它们可以是无声的、很小的,尤其是与网络层攻击相比,但它们可能同样具有破坏性。

例如,Linode、Digital Ocean 或 AWS (Amazon) 上的小型 VPS 可以轻松处理每秒 100,000 到 200,000 个数据包的 SYN 洪水。但是,在 WordPress 或 Joomla CMS 上运行的同一台服务器几乎不能在不关闭的情况下每秒中断 500 个 HTTP 请求。这就是为什么应用层攻击会造成与网络应用攻击一样多的破坏。

当您考虑我们在 1.4 节中讨论的放大效应时,即使是一个 HTTP 请求(攻击者可以在不花费太多金钱或资源的情况下执行)也可能导致服务器执行大量内部请求并加载大量文件来创建页。

应用层攻击(通常称为第 7 层攻击)可能是攻击的一部分,不仅针对应用程序,还针对带宽和网络。这些攻击呈上升趋势的原因之一是恶意行为者实施它们的成本往往较低。在应用层攻击中,放大是基于 CPU、内存或资源的,而不是基于网络的。

这些攻击也比网络层攻击更难检测。

专业提示:开发了强大的网站应用程序防火墙 (WAF)解决方案,可阻止 DDoS 攻击关闭您的网站。稍后我们将详细解释 防火墙。

您的设备(例如家庭路由器)可能会受到攻击并充当 DDoS 攻击的僵尸网络。我们发现了一些与物联网设备相关的大规模 DDoS 攻击。

应用层攻击包括:

    • 针对 DNS 服务器的攻击:

域名系统 (DNS) 对网站基础架构至关重要。DNS 将信息与域名相关联,它们也可能成为 DDoS 攻击的目标。这些攻击使用欺骗、反射和放大,这意味着可以大幅放大微小的查询,以产生更大的字节响应。

僵尸网络用于发送 DNS 请求。如果攻击者想要针对 DNS 服务器,它将使用其网络中的所有僵尸网络来发出 DNS 请求消息,以获取来自将域名转换为 IP 地址的开放递归 DNS 服务器的放大记录。当是新请求时,服务器会及时向被感染服务器发出自己的请求,以获取放大记录。这种攻击是使用欺骗完成的,因此即使服务器从未发送过请求,它的响应也已经不堪重负。

这些攻击在今天非常流行。它们发生在第 3 层/第 4 层,使用世界各地可公开访问的 DNS 服务器来用 DNS 响应流量压倒您的 Web 服务器。您的网络服务器被大量的响应淹没,进而使其资源耗尽而难以运行,从而无法响应合法的 DNS 流量。

第 3 层 DNS 放大是一种 DDoS 攻击,攻击者通过反射第三方的攻击来隐藏目标站点的攻击来源。它使用放大,这意味着受害者收到的字节数多于攻击者发送的字节数,从而增加了攻击的威力。

如果这些攻击成功,目标站点将关闭并且不可用。

    • 第 7 层 HTTP 洪水 - 缓存绕过:

第 7 层 HTTP 洪水——缓存绕过是最聪明的攻击类型。攻击者试图使用造成最大破坏的 URL,使站点在没有缓存的情况下耗尽其所有资源。例如,攻击可以对“news”、“gov”、“faith”进行随机字典搜索,这将消耗网站的大量资源并且不容易被发现,因为它看起来像普通用户的搜索习惯。

    • 第 7 层 HTTP 洪水攻击:

第 7 层 HTTP 洪水攻击是一种 DDoS 攻击,旨在使站点或服务器的特定部分过载。它们很复杂且难以检测,因为发送的请求看起来像是合法流量。这些请求会消耗服务器的资源,导致站点宕机。这些请求也可以由机器人发送,从而增加攻击的威力。

关于第 7 层 DDOS 攻击(即 HTTP 泛洪攻击)的一个有趣之处在于,它们对带宽的依赖性很小,这使得它们能够通过使服务器资源过载而轻松关闭服务器。根据 Web 服务器和应用程序堆栈,即使每秒的请求数量很少,也会阻塞应用程序和后端数据库。平均而言,每秒超过 100 个请求的攻击有可能导致大多数中型网站瘫痪。

这种攻击的问题在于服务器级缓存无法阻止它。传入的 URL 是动态的,应用程序会为每个不在缓存中的新请求强制从数据库重新加载内容,从而创建一个新页面。攻击者知道这一点,使其成为当今第 7 层 DDoS 攻击的首选攻击方法。我们将 HTTP 洪水(第 7 层 DDoS 尝试)分为 4 个主要类别:

    • 基本 HTTP 洪水:尝试一遍又一遍地访问同一页面的常见且简单的攻击。它们通常使用相同范围的 IP 地址、用户代理和引荐来源网址。
    • 随机 HTTP 洪水:利用大量 IP 地址并随机使用 URL、用户代理和引用者的复杂攻击。
    • 缓存绕过 HTTP 洪水:随机 HTTP 洪水的一个子类别,它也试图绕过 Web 应用程序缓存。
    • WordPress XMLRPC Floods:使用 WordPress pingback 作为攻击反映的子类别。

任何启用了 pingback 的 WordPress 站点(默认情况下处于启用状态)都可用于针对其他站点的 DDoS 攻击。XMLRPC 用于 pingbacks、trackbacks、通过移动设备进行远程访问和许多其他功能。但是,它也可能被攻击者严重滥用。可能发生的情况是,其他 WordPress 网站可以大规模发送随机请求并导致网站瘫痪。

一名攻击者可以使用数千个干净的 WordPress 安装,通过对 XML-RPC 文件的简单 pingback 请求来执行 DDoS 攻击。换句话说,Linux 中的一个简单命令就可以发动一场猛烈的攻击。如果您有兴趣了解更多关于合法 WordPress 网站被滥用以执行 DDoS 攻击的信息。

三、DDoS 攻击背后的动机是什么?

3.1 – 用于赎金的 DDoS

勒索活动可能非常可怕,尤其是当它们之后是大规模的 DDoS 活动时。一些攻击者使用的策略是向网站所有者发送一封电子邮件,然后是小规模的DDoS 攻击,这种攻击可以持续很短的时间。

在发送勒索电子邮件之前第一次 DDoS 攻击背后的目标是表明,如果网站所有者不支付发布网站所需的资金,情况将会变得更糟。更激烈的 DDoS 攻击通常紧随第一个攻击之后,如果网站没有可靠的 WAF,它们可能会导致网站瘫痪。

这种类型的勒索活动始于 2014 年,主要集中在比特币交易网站和金融机构。但是,该活动不断发展,并一直威胁到更多平均规模的网站。

阻止 DDoS 攻击的赎金价格从小额到巨额不等。赎金通常以比特币收取。我们对任何人的建议是永远不要支付赎金,因为恶意行为者通过这些活动赚到的钱越多,他们创建和发布的活动就越多。与所有勒索软件一样,最好的选择是在网站受到攻击之前进行备份和保护。

3.2 – 黑客主义

当黑客想要部署攻击以传播信息时,就会出现黑客行为。这种网站攻击的动机可能是最难理解的。与其他人类似,这些攻击的驱动因素是金钱或滥用职权。然而,当黑客行动主义发生时,其目的通常是为了抗议宗教或政治议程。

黑客可以进行 DDoS 攻击以向黑客社区内的同行炫耀,以此作为吹牛的权利。许多黑客行动主义 DDoS 攻击的目标是政府、金融或商业网站。例如,黑客可以对网站进行 DDoS 攻击,以便出于政治原因将其关闭。当知名组织发生这种情况时,黑客就有机会声称对攻击负责并发表声明。

3.3 – 有针对性的攻击

雇佣黑客可用于损害网站的声誉或给营销团队带来痛苦。这通常是为较大的企业保留的,但并不总是规则。例如,想想福布斯黑客。最近有很多这类黑客的例子,很明显为什么它们会成为攻击目标。进入这些环境所需的努力程度成倍增加。

DDoS 攻击在竞争企业中很受欢迎。它们可以针对大型或小型站点进行部署,并且可以由竞争、纯粹的无聊或对挑战的需求驱动。这些攻击的范围从非常简单到非常复杂,它们的目标是降低网站的可用性。

3.4 – 纯粹的无聊

总是让人们措手不及的是人们出于无聊和娱乐而攻击网站的想法。说这些黑客总是年轻是不公平的,但这些攻击者大部分时间都是精通计算机的青少年,手头有很多时间。

这类黑客也被称为“脚本小子”,因为他们的年龄很大,而且他们有时只使用脚本访问 DDoS 网站。只需要一个预制脚本和一些命令即可针对目标网站启动受感染机器网络。

如果有人在电脑前感到无聊,那么创建大型 DDoS 攻击听起来像是一个有趣的挑战。将整个业务线下线下为“脚本小子”提供支持。

四、DDoS 攻击对站点所有者的影响

大多数网站所有者都难以理解 DDoS 攻击的复杂细节。并不是说他们需要了解所有内容,而是期望他们实施的安全控制能够充分解决问题。不幸的是,并非所有保护措施都可以防止 DDoS 攻击的发生。

网站所有者可以尝试登录一天并发现网站没有打开,或者他们会收到错误消息:

了解DDoS攻击是什么以及如何防止它-南华中天

对于以内容分发或广告收入为生的博主来说,这可能是灾难性的。想象一下收入取决于他的电子商务网站的企业主会发生什么。你准备如何处理这个问题?“我的主人会处理这个”的答案是不正确的。

大多数主机都没有准备好解决基于应用程序的攻击问题。这也不是应用层能解决的问题。事实上,由于这些工具的资源密集型性质以及整个托管生态系统,任何试图阻止这些问题的应用程序安全工具都可能因为所需的本地资源消耗而成为问题的一部分。这对于共享主机帐户尤其具有挑战性,因为对同一服务器上的另一个站点的攻击会强制禁用整个服务器,从而无意中影响其他网站。

五、如何防止 DDoS 攻击

我们已经广泛讨论了什么是 DDoS 攻击,并举例说明了 DDoS 攻击的类型。现在我们将花一些时间来讨论 DDoS 方法以及保护您的站点免受 ddos​​ 攻击的方法。

5.1 – 激活网站应用程序防火墙保护免受 DDoS 攻击

网站应用程序防火墙(WAF)将恶意流量阻挡在您的网站之外。它是位于您的网站与其接收的流量之间的一层保护。网站应用程序防火墙是网站的特定应用程序防火墙,超出了在网络级别传输的数据包的元数据。他们专注于传输中的数据。创建应用程序防火墙是为了了解每个协议(如 SMTP 和 HTTP)允许的数据类型。

考虑到保护任何网站免受 DDoS 攻击和其他网站入侵,我们开发了自己的专有 WAF。防火墙是基于云的软件即服务 (SaaS) 网站应用程序防火墙 (WAF) 和入侵防御系统 (IPS)。

防火墙充当反向代理,拦截和检查所有传入的超文本传输​​协议/安全 (HTTP/HTTPS) 请求到网站。这样,WAF 可以在恶意请求到达您的服务器之前在网络边缘剥离恶意请求。

您可以根据需要自定义防火墙。我们还为遭受 DDoS 攻击的网站提供紧急 DDoS 保护WAF 添加了浏览器质询,以验证流量是否实际来自浏览器或脚本。

5.2 – 国家封锁

大多数网站攻击来自特定国家,例如中国、俄罗斯和土耳其。尽管我们对这些国家没有任何反对意见,但防火墙为您提供了阻止他们与您的网站交互 (POST) 的选项。

您可以在我们的防火墙仪表板中轻松启用此选项,以便这些国家/地区的 IP 地址仍然能够查看所有内容,但他们将无法注册、提交评论或尝试登录。它基本上是一种只读模式。

5.3 – 监控流量

监控您的网站流量以了解流量峰值和 DDoS 攻击至关重要。正如我们之前所解释的,当服务器有大量流量时,就会发生 DDoS。如果您的网站在一天内获得一百万新用户,那就太好了,但这不会令人怀疑吗?出口流量比率的急剧增加是 DDoS 攻击的危险信号。我们强烈建议您使用监控工具并始终检查您的日志。

有一个监控平台,即基于云的网站入侵检测系统 (CDS)。我们的监控扫描仪会持续检查您的网站,并在检测到任何可疑情况时提醒您。这使您可以快速采取行动并减少对流量的任何负面影响。还在防火墙上提供入侵检测系统 (IDS),旨在防止 DDoS 攻击破坏或破坏您的网站。

5.4 – 阻止应用层 DDoS 攻击

应用层的 DDoS 攻击通常以谨慎和隐秘的方式进行,使其更难被发现。一开始,他们甚至可能被流量高峰所误解。它们是当今最常见的攻击,影响所有组织,无论其规模大小。任何网站都可能成为这些攻击的受害者,因为它们大多是自动化的。防火墙的功能之一是阻止应用层 DDoS 攻击。

5.5 – 当网站受到 DDoS 攻击时寻找其他攻击

DDoS 攻击也可以作为其他攻击的转移手段,尤其是当恶意行为者开发针对金融机构的攻击时。当所有人的目光都集中在 DDoS 攻击上时,可能会发生数据盗窃。

5.6 – 在 DDoS 攻击中该怎么做?

您需要制定 DDoS 缓解计划,例如网站应用程序防火墙 (WAF)。提供网站安全平台,它是网站的托管安全服务提供商。我们基于云的平台为您提供完整的网站安全性,包括您网站的防病毒和防火墙。我们监控安全事件、修复网站黑客行为并保护您的网站以防止黑客入侵。该平台还可以让您的网站快速运行并确保运营连续性。我们的安全运营团队每天都会调查和缓解多次拒绝服务 (DDoS) 攻击。