您的位置: 新闻资讯 > 行业动态 > 正文

《揭秘 DDoS 攻击:来源相同报文泛滥的网络风暴》(图文)


来源:mozhe 2024-12-06

什么是 DDoS 攻击


DDoS 攻击即分布式拒绝服务攻击,是一种极具破坏力的网络攻击方式。攻击者利用多个计算机或路由器联合起来对一个或多个目标发动攻击,使其无法正常提供服务。
DDoS 攻击的方式多种多样,包括容量耗尽攻击、协议攻击、应用程序攻击等。其中,容量耗尽攻击主要是通过发送大量的数据包,占用目标服务器的网络带宽和系统资源,使目标服务器无法处理正常的请求。协议攻击则是利用网络协议的漏洞,如 TCP 三次握手的机制,向目标服务器发送大量伪造的请求,占用服务器的资源,导致正常的连接请求无法被处理。应用程序攻击则是针对特定的应用程序,如 HTTP Flood 攻击,通过模拟大量正常用户不断地向目标网站发送 HTTP 请求,造成目标网站服务器资源耗尽,无法响应正常用户的请求。
分布式拒绝服务攻击是在传统的拒绝服务攻击(DoS)基础上演变而来的一种新型攻击方式。攻击者首先控制多台计算机或路由器,这些被控制的计算机称为 “肉机” 或 “傀儡机”,然后利用这些肉机向目标服务器发送大量请求,从而耗尽服务器的资源,使其无法响应合法请求。
DDoS 攻击可以根据 TCP/IP 协议栈和攻击对象进行分类。根据协议栈分类,DDoS 攻击可以分为网络层攻击、传输层攻击、应用层攻击以及混合型攻击。而根据攻击对象的分类,DDoS 攻击可以分为针对网络资源的攻击和针对服务器 / 应用程序资源的攻击。前者主要是通过 UDP 泛洪、ICMP 泛洪、IGMP 泛洪和放大攻击等方式,对网络传输设备和服务器进行攻击,从而让整个网络瘫痪。而后者则是攻击服务器 / 应用程序,如 TCP SYN Flood、TCP RST 攻击、DNS 泛洪、正则表达式 DoS 攻击等方式,让服务器 / 应用程序无法正常工作,导致服务不可用。
DDoS 攻击具有以下特点:
  1. 利用多台不同的计算机或设备向目标发起攻击,以占用更多的服务资源并使得合法用户无法得到服务的响应。
  1. 攻击规模更大、攻击来源更加难以追踪,相对于单一的 DoS 攻击,DDoS 攻击更具破坏力和威胁性。
  1. 攻击者可以通过控制傀儡机的数量来控制攻击的规模。使用更多的傀儡机将导致更大规模的攻击。
  1. 攻击主体不集中在一个地点,而是分布在不同地点。攻击主体的分布范围取决于攻击者的选择。
  1. 攻击方式隐蔽,傀儡机不直接与攻击者的主机直接交互,而是通过控制傀儡机和主控端之间的连接来发起攻击。这种间接性使得攻击者更难被追踪和识别。
  1. 危害严重,除了使目标网络的服务能力严重下降外,还会占用大量网络带宽,导致网络拥塞,威胁整个网络的使用和安全。在某些情况下,DDoS 攻击甚至可能引发信息基础设施的瘫痪,导致社会动荡。对军事网络的 DDoS 攻击甚至可能使军队的网络信息系统瞬间瘫痪,其威力可与真正的导弹相媲美。
  1. 防范困难,DDoS 攻击利用 TCP/IP 协议的漏洞,因此防御这种攻击比较困难。除非放弃使用 TCP/IP 协议,否则几乎无法完全防范。一旦 DDoS 攻击发起,很短的时间内就可以使目标机的服务瘫痪,即使发现攻击也很难进行有效的防御。
当目标计算机遭遇 DDoS 攻击时,常常会出现以下症状:被攻击主机上大量等待的 TCP 连接,造成访问速度缓慢;网络中存在大量无用的数据包,源地址可能为假,导致网络拥塞;制造大量高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯;利用受害主机提供的服务或传输协议上的缺陷,反复高速的发出特定的服务请求,导致受害主机无法及时处理所有正常请求;严重时会对系统造成瘫痪,导致系统死机等严重后果。具体表现为:数据段只包含文字和数字字符,并经过 BASE64 编码。攻击者使用 TFN2K 等工具发送的控制信息数据包就是这种类型的。数据段中可能有连续的 A 字符,表示经过调整大小和加密算法的结果。出现不属于正常连接通信的 TCP 和 UDP 数据包。连接到高于 1024 且不属于常用网络服务的目标端口的数据包也是可疑的。

二、DDoS 攻击的表现形式


容量耗尽攻击

  1. UDP 洪水攻击:攻击者将大量 UDP 数据包发送到受害主机,导致设备资源耗尽。这种攻击方式利用了 UDP 协议无连接、不具备重传机制的特点。攻击者可以轻松地构造大量的 UDP 数据包并发送到目标服务器,以耗尽其带宽和处理能力。例如,攻击者可以使用专门的工具生成大量的 UDP 数据包,并通过单个或多个僵尸网络进行发送。这些数据包可能包含伪造的源 IP 地址和随机的目的端口,以增加攻击的隐蔽性和难以追踪性。
  1. ICMP 洪水攻击:黑客使用大量 ICMP 请求或 ping 命令,试图耗尽被受害者服务器带宽。ICMP 协议主要用于网络设备的故障诊断,如 Ping 命令。攻击者可以构造大量的 ICMP Echo 请求(Ping 请求),并发送到目标服务器,使其资源耗尽。这种攻击方式类似于 SYN 洪水攻击,但针对的是 ICMP 协议。例如,攻击者可以使用工具如 “flooder.h” 中的代码,通过发送大量伪造的 ICMP 消息到目标系统,使其在处理这些消息时变得不可用或严重受限,导致服务中断或网络延迟增加。

协议攻击

  1. SYN 洪水攻击:利用 TCP 三次握手机制漏洞,使受害者服务器留下大量未完成的 SYN - ACK 请求,最终导致崩溃。当客户端尝试与服务器建立 TCP 连接时,正常情况下会进行三次握手。而攻击者向被攻击的主机发送大量伪造的 TCP 连接请求,不向服务器发送 “ACK”,使得连接半开,吞下服务器资源。例如,攻击者可以使用 SYN Flooder 程序,通过直接对 IP 首部进行操作,伪造源 IP 地址,发送大量 SYN 信号的 TCP 报文,从而使被攻击方主机服务器的资源耗尽。
  1. 死亡之 Ping 攻击:使用简单的 Ping 命令发送超大数据包,导致受害者系统冻结或崩溃。在早期的阶段,路由器对包的最大尺寸都有限制,许多操作系统对 TCP/IP 栈的实现在 ICMP 包上都是规定 64KB,当产生畸形的、声称自己的尺寸超过 ICMP 上限的包也就是加载的尺寸超过 64K 上限时,就会出现内存分配错误,导致 TCP/IP 堆栈崩溃,致使接受方当机。

应用程序攻击

  1. HTTP 洪水攻击:利用大量标准 GET 和 POST 请求淹没应用程序或 Web 服务器。攻击者模拟大量合法的 HTTP 请求,以超出服务器的处理能力范围。这种攻击方式常用于网站瘫痪攻击,通过发送大量请求来耗尽服务器的资源,使其无法响应正常用户的请求。例如,攻击者可以使用工具生成大量的 HTTP 请求,不断向目标网站发送请求,造成目标网站服务器资源耗尽,无法响应正常用户的请求。
  1. Slowloris 攻击:缓慢使受害者服务器崩溃,按一定时间间隔发送 HTTP 请求,耗尽受害者带宽。攻击者以低速生成流量,发送 HTTP 请求,使服务器忙于处理这些请求而无法处理正常用户的请求。这种攻击方式比较隐蔽,难以被传统的基于流的监控解决方案检测到。例如,攻击者可以使用专门的工具,按照一定的时间间隔发送 HTTP 请求,逐渐耗尽目标服务器的资源。

三、DDoS 攻击在不同平台的表现

头条平台


今日头条搜索爬虫 Bytespider 被曝 “流氓抓取”,抓爬频率高,对中小网站造成类似小型 DDoS 攻击,甚至可能导致网站瘫痪,还存在用户隐私安全隐患。Bytespider 的抓爬行为无视网站的 robots 协议,每秒几十次甚至高达数百次的抓爬访问频率,让小网站变得卡顿,甚至直接 502 挂掉。这种行为对平均日活可能都没有过千的小网站来说,已经算得上一次小型的 DDoS 攻击。短短一上午时间就对网站发出了 46W 次的请求,直接耗掉服务器 7 个多 G 的流量。此外,有用户担心今日头条的爬虫会爬到一些网站禁止的内容,譬如用户隐私啥的,这可就是在法律边缘试探了。今年 9 月 15 日,国家计算机病毒中心发布了《移动 APP 违法违规问题及治理举措》,文中就指出包括今日头条(版本 7.2.7)等应用就具有涉嫌超范围采集公民个人隐私的问题。

知乎平台


知乎上有关于 DDoS 攻击的讨论,包括攻击的原理、危害、应对方法等,同时还有一些提供 DDoS 测试服务的内容,但这种行为存在法律风险。例如在 2018 年 9 月发布的知乎文章《DDoS 攻击,游戏行业的毒瘤》中,明确指出了在 2018 年,ACCN 多次攻击,使用了腾讯云服务的游戏厂商。说明 DDoS 攻击在游戏行业的影响之大,而知乎上关于此类攻击的讨论也能让更多人了解其危害和应对方法。

公众号平台


以《黑神话:悟空》遭 DDoS 攻击为例,介绍了游戏上线后因受大规模 DDoS 攻击导致 Steam 崩溃。《黑神话:悟空》自上线以来,热度持续攀升,创造了国产单机游戏的新纪录。然而,由于受到 DDoS 攻击,Steam 平台崩溃,玩家无法登录游戏。完美世界竞技平台公告显示,本次 Steam 崩溃是由于受到 DDoS 攻击导致,玩家可以尝试重连游戏。同时,公众号还介绍了防 DDoS 攻击的相关措施和工具,如采用黑、白名单措施进行过滤,分流机制分离 DDoS 攻击流量和正常流量,严格控制访问权限,禁止恶意程序的入侵等。此外,还可以使用专业抗 DDoS 防火墙,如极验抗 ddos、抗 CC 防火墙等进行防范。

四、DDoS 攻击的危害


  1. 企业收入损失:DDoS 攻击会导致企业在线业务中断,使企业无法提供正常的服务,从而造成重大的收入损失。例如,Bandwidth 公司遭受 DDoS 攻击后,在整个财年中损失了 900 万 -1200 万美元。对于电商平台来说,双十一等购物季时期遭受 DDoS 攻击,销售额将大幅下降,直接影响企业的收入。
  1. 客户信任下降:当企业遭受 DDoS 攻击时,网络和应用服务的可用性受到影响,客户无法正常访问网站或使用在线服务,这会导致客户不满,失去对企业的信任。根据卡巴斯基实验室和 B2B International 的研究,有 37% 的 DDoS 攻击会破坏企业的信誉,造成深远的客户信任危害。客户可能会转移到其他地方,或者因不满而口口相传,使企业更难吸引新客户。
  1. 信息资产窃取:DDoS 攻击经常为更多破坏性和有利可图的犯罪提供伪装,黑客可能会趁机窃取企业的敏感信息和知识产权。例如,在一些 DDoS 攻击中,黑客利用网络服务中断的混乱,入侵企业数据库,窃取客户信息、财务数据等重要商业机密,导致企业面临巨大的经济损失和法律纠纷,竞争力下降。

五、应对 DDoS 攻击的方法


  1. 黑、白名单措施:过滤攻击者,仅允许授权用户访问。
可以通过配置 IP 黑白名单实现对访问的源 IP 封禁或者放行。腾讯云的 DDoS 高防 IP 支持通过设置防护配置中的 DDoS 防护,在 IP 黑白名单卡片中进行设置,白名单中的 IP 进行访问将被直接放行,不经过任何防护策略过滤,黑名单中的 IP 进行访问将会被直接阻断。阿里云的 DDoS 高防也支持针对高防实例设置黑名单和白名单,以拦截或放行指定 IP 的访问请求,配置后对该实例所有的业务生效。
  1. 分流机制:分离 DDoS 攻击流量和正常流量,确保网络服务不受影响。
可以利用反向代理将访问流量转发到真正的服务器上,同时对访问流量进行过滤,防止恶意攻击袭击原始服务器。反向代理可以根据不同的防御策略,调整转发策略,缓解 DDoS 攻击带来的影响。
  1. 选购可靠防御工具:如 CDN、WAF 等系统,加强服务器安全。
可以选用腾讯云防火墙、腾讯云 CDN、腾讯云 DDoS 防护等产品来应对 DDoS 攻击。腾讯云防火墙提供防御层和检测层双重机制,可自动识别并防御多种 DDoS 攻击类型;腾讯云 CDN 能够为全球用户提供加速服务,减轻源站压力,有效抵抗各种类型 DDoS 攻击;腾讯云 DDoS 防护面向全球用户提供全方位、多层级的 DDoS 防护服务。
  1. 提高网络安全意识:加强安全防范和管理措施,建立完善应急预案。
可以从以下几个方面提高网络安全意识:
  • 保证服务器系统的安全,确保服务器软件没有漏洞,保证系统和网络资源都采用最新系统,并打上安全补丁,防止攻击者入侵。
  • 采用高性能的网络设备,选择路由器、交换机、硬件防火墙等设备时要充分考虑其性能,尽量选用知名度高、口碑好的产品。
  • 开通充足的网络带宽,网络带宽直接决定了承受攻击的能力。
  • 有效利用云的资源,基于云的防御服务可以更早、更有效地检测到恶意流量。
  • 实现网站静态化,把网站尽可能做成静态页面或者伪静态,可以提高抗攻击能力。
  • 禁用未使用的服务,关闭所有不需要和未使用的服务及应用程序,以提高网络的安全性。
  • 隐藏服务器的真实 IP,在服务器前端加 CDN 中转,用于隐藏服务器的真实 IP,全部都使用 CDN 来进行解析。
  • 建立冗余网络,创建冗余网络资源,当服务器受到攻击时,其他组件可以处理额外的访问流量。
  • 保护 DNS 服务器,实践冗余,并将服务器放置在多个数据中心实现负载均衡。
  • 制定 DDoS 防御机制,事前制定一个整体的防御策略,包含流程、工具、人员等综合措施,以保证攻击来临时发现更早、响应更快、措施更有效、造成的影响最低。同时,进行技术培训和应急演练,以保障在遇到 DDoS 攻击时快速、有效地应对。
 

墨者安全 防护盾

墨者安全作为专业级别安全防护专家,在应对 Webshell 风险隐患方面展现出了卓越的能力。其拥有全面的检测机制,能够精准识别 Webshell 的各种类型和变体,无论是复杂的大马,还是隐蔽的内存马,都难逃其敏锐的监测。
墨者安全防护盾具备强大的实时监控功能,对服务器的各项活动进行 7*24 小时不间断的监视。一旦发现任何可疑的 Webshell 活动迹象,立即发出警报,并迅速采取隔离和清除措施,将风险扼杀在萌芽状态。
在防护策略上,墨者安全防护盾采用了多层次的防御体系。不仅能够在网络层面阻挡外部的恶意访问和攻击,还能深入系统内部,对服务器的文件系统、进程等进行深度检查和保护,确保 Webshell 无法植入和运行。
同时,墨者安全防护盾拥有快速的应急响应能力。当 Webshell 攻击事件发生时,专业的安全团队能够迅速介入,进行深入的分析和处理,最大程度减少攻击带来的损失,并帮助用户快速恢复服务器的正常运行。
墨者安全防护盾还注重用户教育和培训,为用户提供关于 Webshell 防范的专业知识和最佳实践,帮助用户提升自身的安全意识和防范能力,共同构建坚实的网络安全防线。

热门文章

X

7x24 小时

免费技术支持

15625276999


-->