您的位置: 新闻资讯 > 行业动态 > 正文

探寻低流量异常的 DDOS 攻击(图文)


来源:mozhe 2024-11-04

DDoS 攻击即分布式拒绝服务攻击,是当下十分常见的网络安全攻击方式之一。其常见类型包括流量型攻击、连接型攻击和特殊协议缺陷攻击等。
流量型攻击如 IP lood、SYN Flood 以及 UDP 反射 Flood 等,通过发送大量数据包占用攻击目标网络资源和处理单元。以 SYN Flood 为例,攻击者以多个随机的源主机地址向目的主机发送 syn 包,在收到目的主机的 syn + ack 包后并不回应,导致目的主机为这些源主机建立大量的连接队列,消耗资源而不能向正常请求提供服务。
连接型攻击利用目标用户获取服务器资源时交换 DNS 数据包的特性发动攻击。例如 DNS Query Flood 通过发起大量的 DNS 请求,使 DNS 服务器无法响应正常用户的请求,正常用户不能解析 DNS 从而不能获取服务。
特殊协议缺陷攻击则利用目标用户平时使用服务所需要的协议漏洞递送大量数据交换包。像 Https Flood 攻击者向被攻击服务器大量高频地发送请求服务,使服务器忙于向攻击者提供 Https 响应资源,不能向正常合法用户提供请求响应服务。
DDoS 攻击危害巨大。对业务而言,会导致客流量严重流失,如游戏平台、电商平台等受影响最大。在形象方面,服务器无法访问会导致用户体验下降、投诉增多,影响企业品牌形象和市场声誉。同时,DDoS 攻击还可能被用作其他网络犯罪活动的掩护,增加数据泄露的风险。例如,当网站被打到快瘫痪时,攻击者窃取数据、感染病毒等犯罪活动更容易得手。

二、按流量规模分类的攻击


(一)较小流量攻击


较小流量的 DDOS 攻击通常小于 1000Mbps,一般只会造成小幅度延迟和卡顿,并不是很不影响线上业务的正常运行。这种情况下,可以利用 iptables 或者 DDOS 防护应用实现软件层的 DDoS 防护。例如,一些企业在面对较小流量攻击时,通过部署软件防护措施,成功地抵御了攻击,确保了业务的连续性。据统计,约有 70% 的企业在遭遇较小流量攻击时,选择了软件层防护,且取得了较好的效果。

(二)大型流量攻击


当攻击流量大于 1000Mbps 时,就属于大型流量攻击。这种情况下,可以利用 iptables 或者 DDOS 防护应用实现软件层防护,或者在机房出口设备直接配置黑洞等防护策略,或者同时切换域名,将对外服务 IP 修改为高负载 Proxy 集群外网 IP,或者 CDN 高仿 IP,或者公有云 DDOS 网关 IP,由其代理到 RealServer。例如,某金融机构在遭受大型流量攻击时,迅速采取了多种防护策略,成功地抵御了攻击。据了解,该金融机构在机房出口设备配置了黑洞策略,并同时切换了域名,将对外服务 IP 修改为高负载 Proxy 集群外网 IP,有效地保障了业务的正常运行。

(三)超大规模流量攻击


超大规模的 DDOS 攻击流量通常在 DDoS 清洗设备性能范围之外,但在机房出口性能之内,可能影响相同机房的其他业务,或者大于机房出口,已经影响相同机房的所有业务或大部分业务。这种情况下,只能通过专业的网络安全公司接入 DDoS 高防服务,隐藏服务器源 IP,将攻击流量引流到高防 IP,对恶意攻击流量进行智能清洗,阻拦漏洞攻击、网页篡改、恶意扫描等黑客行为,保障网站的安全与可用性。例如,某大型电商平台在遭受超大规模流量攻击时,及时接入了专业网络安全公司的高防服务,成功地抵御了攻击。据统计,约有 80% 的大型企业在遭遇超大规模流量攻击时,选择接入专业网络安全公司的高防服务。

三、按流量协议分类的攻击


(一)TCP 协议包攻击


TCP 协议包攻击常见的有 syn/fin/ack 等攻击方式。例如,SYN Flood 攻击就是利用 TCP 协议缺陷,发送大量伪造的 TCP 连接请求,使得被攻击方资源耗尽。攻击者以多个随机的源主机地址向目的主机发送 SYN 包,在收到目的主机的 SYN ACK 后并不回应,这样目的主机就为这些源主机建立了大量的连接队列,造成资源大量消耗,最终导致拒绝服务。
对于这种攻击,设置预警阀值和响应阀值是一种有效的防护措施。当流量达到预警阀值时开始报警,让管理员能够提前知晓潜在的攻击风险,以便做好应对准备。当流量超过响应阀值时开始处理,根据流量大小和影响程度调整防护策略和防护手段,逐步升级。比如,可以限制来自特定 IP 地址的连接请求数量,或者在防火墙上设置规则,过滤掉可疑的 TCP 包。

(二)UDP 协议包攻击


对于 UDP/DNS query 等 UDP 协议包攻击,由于 UDP 协议是无连接状态的协议,且应用协议五花八门,差异极大,防护非常困难。通常的方法是制定 TCP 协议白名单,如果遇到大量 UDP 请求,可以不经产品确认或者延迟跟产品确认,直接在系统层面或者清洗设备上丢弃 UDP 包。
例如,对于大部分游戏业务来说,都是 TCP 协议的,当检测到大量 UDP 请求时,可以依据白名单进行判断和处理。据统计,通过这种方式可以有效过滤掉大部分恶意的 UDP 包攻击,降低服务器的负载和被攻击的风险。

(三)数据库交互攻击


http flood/CC 等需要跟数据库交互的攻击一般会导致数据库或者 webserver 负载很高或者连接数过高。这种攻击技术性含量高,防护难度较大,对防护设备性能消耗很大。
在面对这种攻击时,更倾向在系统资源能够支撑的情况下调大支持的连接数。例如,当服务器检测到连接数过高时,可以动态调整连接数限制,以应对大量的数据库交互请求。同时,也可以在限流或者清洗流量后考虑重启服务,以释放连接数,恢复系统的正常运行状态。

(四)其他攻击


icmp 包攻击现在已经很少见,对业务破坏力有限。对于这种攻击,可以直接丢弃,先在机房出口以下各个层面做丢弃或者限流策略。通过在机房出口以下设置防护措施,可以有效地阻止 icmp 包攻击进入服务器,保障系统的安全稳定运行。例如,在一些企业的网络架构中,通过在路由器和防火墙上设置规则,直接丢弃 icmp 包,有效地降低了被攻击的风险。

四、总结与展望


(一)总结


DDoS 攻击形式多样,不同类型的攻击具有不同的特点和危害。流量型攻击通过大量数据包占用网络资源和处理单元;连接型攻击利用 DNS 数据包特性发动攻击;特殊协议缺陷攻击则利用协议漏洞递送大量数据交换包。
针对不同类型的攻击,相应的防护措施也各不相同。对于较小流量攻击,可以采用软件层防护;大型流量攻击可结合多种防护策略,如机房出口设备配置黑洞策略、切换域名等;超大规模流量攻击则需接入专业网络安全公司的高防服务。对于 TCP 协议包攻击,可以设置预警和响应阀值,限制连接请求数量等;UDP 协议包攻击可制定 TCP 协议白名单,直接丢弃可疑 UDP 包;数据库交互攻击可调大连接数、限流或清洗流量后重启服务;对于少见的 icmp 包攻击可直接丢弃并在机房出口以下各层面做丢弃或限流策略。

(二)强调网络安全的重要性


网络安全至关重要,DDoS 攻击不仅会导致业务中断、客流量流失,还会影响企业品牌形象和市场声誉。同时,DDoS 攻击可能被用作其他网络犯罪活动的掩护,增加数据泄露的风险。因此,企业和组织必须高度重视网络安全,采取有效的防护措施,确保网络系统的稳定运行和数据的安全。

(三)对未来 DDOS 攻击的发展进行展望


随着技术的不断发展,未来 DDoS 攻击可能会更加复杂和多样化。攻击流量规模可能会继续增大,攻击频率也可能会增加。攻击手法可能会更加多样化,除了传统的攻击方式,可能会结合应用层攻击、加密流量和生成式 AI 等技术,使得检测和防御更加困难。同时,攻击者可能会更加注重攻击的隐蔽性,见不到特别大的异常流量,但却能给服务器造成严重影响,如 CC 攻击。
为了应对未来的 DDoS 攻击,企业和组织需要不断加强网络安全防护能力。增强网络冗余和弹性,增加带宽,使用负载均衡和冗余服务器。部署专业的 DDoS 防护服务,利用 CDN 服务和专业防护提供商的技术。建立实时监控系统,使用机器学习算法分析流量模式,快速识别异常流量并做出响应。制定详细的应急响应计划,加强内部安全培训,提高员工的安全意识。只有这样,才能在未来的网络安全挑战中保持主动,确保网络系统的安全稳定运行。
 

墨者安全 防护盾

墨者安全作为专业级别安全防护专家,在应对 Webshell 风险隐患方面展现出了卓越的能力。其拥有全面的检测机制,能够精准识别 Webshell 的各种类型和变体,无论是复杂的大马,还是隐蔽的内存马,都难逃其敏锐的监测。
墨者安全防护盾具备强大的实时监控功能,对服务器的各项活动进行 7*24 小时不间断的监视。一旦发现任何可疑的 Webshell 活动迹象,立即发出警报,并迅速采取隔离和清除措施,将风险扼杀在萌芽状态。
在防护策略上,墨者安全防护盾采用了多层次的防御体系。不仅能够在网络层面阻挡外部的恶意访问和攻击,还能深入系统内部,对服务器的文件系统、进程等进行深度检查和保护,确保 Webshell 无法植入和运行。
同时,墨者安全防护盾拥有快速的应急响应能力。当 Webshell 攻击事件发生时,专业的安全团队能够迅速介入,进行深入的分析和处理,最大程度减少攻击带来的损失,并帮助用户快速恢复服务器的正常运行。
墨者安全防护盾还注重用户教育和培训,为用户提供关于 Webshell 防范的专业知识和最佳实践,帮助用户提升自身的安全意识和防范能力,共同构建坚实的网络安全防线。

热门文章

X

7x24 小时

免费技术支持

15625276999


-->