一、DDOS 攻击的神秘面纱
DDOS 攻击,即分布式拒绝服务攻击,是网络世界中的一种强大攻击手段。它通过操控大量傀儡主机或被掌控的网络设备,向目标系统发送海量请求或数据,以耗尽目标系统的网络带宽、系统资源及服务能力,导致目标系统无法为合法用户提供服务。
分布式拒绝服务(DDoS)是一种特殊形式的拒绝服务(DoS)攻击。攻击者利用多台被控制的计算机联合起来,向目标计算机发起攻击,造成目标计算机无法正常提供服务。DDoS 攻击一般由三部分组成:攻击者、主控端和代理端。攻击者是整个攻击过程的指挥者,通过攻击主控端向主控端发送攻击命令。主控端是攻击者非法侵入并控制的一些主机,这些主机控制着大量的代理主机。主控端上安装了特定的程序,可以接受攻击者发送的指令,并将这些命令发送到代理主机上。代理端也是攻击者入侵并控制的一批主机,它们上面运行着攻击程序,并接受和运行主控端发来的命令。代理端主机是攻击的执行者,直接向受害者主机发送攻击。
DDoS 攻击有多种形式,常见的类型包括流量攻击、应用层攻击、协议攻击等。流量攻击通过大量的数据包(如 TCP、UDP)冲击目标系统,消耗大量的网络带宽。应用层攻击直接针对网站的应用层,破坏主机之间的数据传输,比如 HTTP 请求,这种攻击较难被发现。协议攻击利用协议栈的弱点造成服务中断,如 TCP 协议的 SYN 洪波,使得目标系统资源耗尽。
DDoS 攻击的原理是攻击者利用蠕虫或者病毒程序感染大量计算机,而后通过控制这些受感染的计算机向目标服务器发送大量 HTTP 请求和流量,使得目标服务器无法处理这些请求,从而导致服务延迟、中断或不可用。
当目标计算机遭遇 DDoS 攻击时,常常会出现以下症状:被攻击主机上大量等待的 TCP 连接,造成访问速度缓慢;网络中存在大量无用的数据包,源地址可能为假,导致网络拥塞;制造大量高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯;利用受害主机提供的服务或传输协议上的缺陷,反复高速的发出特定的服务请求,导致受害主机无法及时处理所有正常请求;严重时会对系统造成瘫痪,导致系统死机等严重后果。具体表现为:数据段只包含文字和数字字符,并经过 BASE64 编码。攻击者使用 TFN2K 等工具发送的控制信息数据包就是这种类型的。数据段中可能有连续的 A 字符,表示经过调整大小和加密算法的结果。出现不属于正常连接通信的 TCP 和 UDP 数据包。连接到高于 1024 且不属于常用网络服务的目标端口的数据包也是可疑的。
DDoS 攻击的特点是利用多台不同的计算机或设备向目标发起攻击,以占用更多的服务资源并使得合法用户无法得到服务的响应。由于攻击规模更大、攻击来源更加难以追踪,相对于单一的 DoS 攻击,DDoS 攻击更具破坏力和威胁性。攻击者可以通过控制傀儡机的数量来控制攻击的规模。使用更多的傀儡机将导致更大规模的攻击。为了达到最佳效果,攻击者通常会利用所有控制的傀儡机发起攻击,并不断控制更多的傀儡机,以保持攻击规模的稳定和持续性。DDoS 攻击的攻击主体不集中在一个地点,而是分布在不同地点。攻击主体的分布范围取决于攻击者的选择。攻击主体可以分布在地区、国家甚至全球各个角落。DDoS 攻击使用的傀儡机不直接与攻击者的主机直接交互,而是通过控制傀儡机和主控端之间的连接来发起攻击。这种间接性使得攻击者更难被追踪和识别。与其他攻击方式相比,DDoS 攻击的危害更为严重,尤其是大规模的攻击。除了使目标网络的服务能力严重下降外,还会占用大量网络带宽,导致网络拥塞,威胁整个网络的使用和安全。在某些情况下,DDoS 攻击甚至可能引发信息基础设施的瘫痪,导致社会动荡。对军事网络的 DDoS 攻击甚至可能使军队的网络信息系统瞬间瘫痪,其威力可与真正的导弹相媲美。DDoS 攻击利用 TCP/IP 协议的漏洞,因此防御这种攻击比较困难。除非放弃使用 TCP/IP 协议,否则几乎无法完全防范。一旦 DDoS 攻击发起,很短的时间内就可以使目标机的服务瘫痪,即使发现攻击也很难进行有效的防御。
二、常见的 DDOS 攻击方式
(一)SYN Flood 攻击
利用 TCP 三次握手机制,攻击者向目标服务器发送大量伪造的 TCP SYN 包,服务器回应 SYN-ACK 包后等待客户端 ACK 确认,攻击者不回应,使服务器上有大量半连接状态资源被占用,正常连接请求无法处理,造成网络拥塞和服务中断。
SYN Flood 攻击是一种典型的拒绝服务攻击方式。攻击者通过伪造多个虚假 IP 向服务器端发送大量 syn 包以建立虚假的半连接,从而让服务器无法处理真正的连接请求。其原理是利用 IPv4 中 TCP 协议的三次握手过程进行攻击。TCP 服务器收到 TCP SYN request 包时,在发送 TCP SYN + ACK 包回客户机前,会分配好一个数据区专门服务于这个即将形成的 TCP 连接。在最常见的 SYN Flood 攻击中,攻击者在短时间内发送大量的 TCP SYN 包给受害者,由于这些 SYN 包具有不同的源地址,会给 TCP 服务器造成很大的系统负担,最终导致系统不能正常工作。
SYN Cookie 是对 TCP 服务器端的三次握手做一些修改,专门用来防范 SYN Flood 攻击的一种手段。它的原理是,在 TCP 服务器接收到 TCP SYN 包并返回 TCP SYN + ACK 包时,不分配一个专门的数据区,而是根据这个 SYN 包计算出一个 cookie 值。这个 cookie 作为将要返回的 SYN ACK 包的初始序列号。当客户端返回一个 ACK 包时,根据包头信息计算 cookie,与返回的确认序列号进行对比,如果相同,则是一个正常连接,然后分配资源,建立连接。
(二)UDP Flood 攻击
攻击者向目标系统发送大量 UDP 数据包,占用目标网络带宽或使目标系统忙于处理无效 UDP 数据包而无法处理正常请求。UDP 协议无连接,更容易被滥用进行攻击。
攻击者通过向目标系统发送大量的 UDP 数据包,导致目标网络带宽被大量占用,或者目标系统忙于处理这些无效的 UDP 数据包而没法处理正常请求。UDP 协议是一种无连接的协议,相比 TCP 更容易被滥用进行攻击。例如,攻击者可以发送海量的 UDP 大包到目标服务器的某个端口,使其网络性能下降。
UDP Flood 攻击又称 UDP 淹没攻击,是流量型 DoS 攻击的一种,常常利用大量 UDP 小包冲击 DNS 服务器或 Radius 认证服务器、流媒体视频服务器。由于 UDP 协议是一种无连接状态的协议,并且 UDP 应用协议五花八门,差异极大,因此针对 UDP Flood 的防护非常困难。其防护要根据具体情况对待,可以在网络的关键之处使用防火墙对来源不明的有害数据进行过滤,禁用或过滤监控和响应服务、其它的 UDP 服务,对用户的网络进行监控以了解哪些系统在使用这些服务,并对滥用的迹象进行监控等。
(三)ICMP Flood 攻击
攻击者发送大量 ICMP 数据包(如 Ping 包)到目标主机,消耗目标网络带宽和系统资源,使目标主机无法正常提供服务。大量 Ping 包持续冲击目标系统,使其忙于处理而无法响应正常业务。
ICMP Flood 攻击是一种网络攻击方式,旨在通过发送大量虚假的 ICMP 回应消息来消耗目标系统的资源。攻击者发送大量的 Ping 请求消息给目标系统,使其无法正常响应合法请求,或者向广播地址发送大量的 ICMP Echo 请求消息,使得所有收到该消息的系统都向目标系统发送 ICMP Echo 回应消息,从而淹没目标系统的资源,还可以发送虚假的 ICMP Redirect 消息给目标系统,使其将数据包发送到错误的网关或主机,导致网络拥塞。
为了保护系统免受 ICMP Flood 攻击的影响,可以采取流量过滤、资源限制、反向路径验证等防护措施。
(四)HTTP Flood 攻击(CC 攻击)
攻击者模拟大量正常用户向目标网站发送 HTTP 请求,造成目标网站服务器资源耗尽,无法响应正常用户请求。请求通常针对消耗资源较大的页面或操作。
CC 攻击前身是一个名为 Fatboy 的攻击程序,也叫 HTTP-FLOOD,是针对 Web 服务在 OSI 协议第七层协议发起的攻击。攻击者控制多个主机节点组成一个 “僵尸网络”,向目标服务器发送大量的请求流量,使服务器资源耗尽,无法响应正常用户的请求。CC 攻击的种类有三种:直接攻击、肉鸡攻击、僵尸攻击、代理攻击。
HTTP/CC 攻击的特点是攻击的 ip 都是真实的、分散的,数据包都是正常的,请求都是有效请求且无法拒绝,网页访问不了,如果 IIS 一开,服务器很快就死,容易丢包。高效的 HTTP/CC 攻击应不断发出针对不同资源和页面的 HTTP 请求,并尽可能请求无法被缓存的资源,以加重服务器的负担。
CC 攻击防御主要通过缓存的方式进行,尽量由设备的缓存直接返回结果来保护后端业务。当高级攻击者穿透缓存时,清洗设备会截获 HTTP 请求做特殊处理。可以通过屏蔽固定的 Referer 或 UserAgent、利用 Token 等方式进行防御。
三、DDOS 攻击案例
(一)张某等人破坏计算机信息系统案
2017 年 3 月,被告人唐某某伙同被告人王某建立了一个具有会员充值、任务提交功能的 DDoS 网站。唐某某通过网络推广等方式吸收有 DDoS 攻击需求的人员在网站进行注册会员、充值及提交 DDoS 攻击任务。2017 年 9 月底开始,唐某某伙同被告人肖某对会员提交的攻击目标 IP 等内容进行 DDoS 攻击,致使被攻击的 IP 等内容的关联网站、服务器等计算机信息系统不能正常运行。截至案发,该网站接受会员充值总额为 176310 元。2018 年 1 月至 3 月期间,被告人张某等 4 人相继在上述网站注册会员充值,并提交 DDoS 攻击任务,由唐某某等进行操作,造成被攻击计算机信息系统不能正常运行的后果。江苏省南通市海门区人民法院于 2019 年 5 月 29 日作出刑事判决,以破坏计算机信息系统罪判处被告人唐某某、王某、肖某、张某等 7 人有期徒刑五年六个月至有期徒刑十个月不等。宣判后,被告人张某等人提出上诉。江苏省南通市中级人民法院于 2019 年 11 月 15 日作出刑事裁定:驳回上诉,维持原判。
(二)GitHub 遭受攻击
2018 年 2 月,知名代码托管网站 GitHub 遭受 Memcached DDoS 攻击。在攻击高峰时,以每秒 1.3Tbps 的速率传输流量,每秒 1.269 亿的速率发送数据包。攻击者使用名为 Memcached 的数据库辅导系统来增加 DDoS 攻击的效果,通过使用欺骗性请求充斥 Memcached 服务器,将攻击放大约 50000 倍。幸运的是,GitHub 正在使用 DDoS 防护服务,服务器在接受攻击后自动发出警报,GitHub 快速反应阻止了后续攻击。此次攻击的持续时间大约为 20 分钟。
(三)美国大面积断网
2016 年 10 月,美国一家域名服务器管理机构遭大规模 DDoS 攻击。此次攻击导致很多网站在美国无法进行访问,包括 Twitter、亚马逊、Netflix 等知名网站。断网时间持续约 6 小时,给美国带来近百亿美元经济损失。控制十多万台智能设备对域名服务器管理机构发起 DDoS 攻击就足以让大半个美国的互联网瘫痪。
(四)《黑神话:悟空》发行平台 Steam 遭 DDoS 攻击
2024 年 8 月 24 日晚,“Steam 崩了” 冲上社交平台热搜榜单,全球多国《黑神话:悟空》玩家纷纷反馈无法登录和进入游戏。Steam 中国区代理 —— 完美世界竞技平台公告称,此次 Steam 崩溃是由于 “受到大规模 DDoS 攻击” 导致。奇安信方面分析称,本次攻击较平时激增 2 万倍,动用 60 个僵尸网络,对 Steam 全球网站轮番攻击,涉及 13 个国家和地区的 107 个 Steam 服务器 IP。8 月 24 日 18 点开始,攻击者集中火力猛攻亚洲的新加坡节点机房,以及 Steam 中国区代理的完美世界机房,到 25 日上午又切换到美国机房。在时间的选择上,几乎和当地游戏高峰期(当地晚上和夜间)基本重合。由于 Steam 平台的突然崩溃,《黑神话:悟空》的实时在线人数一度骤降至百万以下。
四、DDOS 攻击的防范措施
(一)评估风险
企业在面对 DDoS 攻击的威胁时,首先应明确所使用的应用程序及其运行模式。这有助于企业更好地了解自身的网络架构和业务流程,从而能够更准确地识别异常活动并及时作出响应。建立具有高级缓解功能的可扩展 DDoS 保护系统是至关重要的。这个系统应包括流量监控,实时监测网络流量的变化,以便在攻击发生的早期阶段就能及时发现异常。自适应实时调节功能可以根据流量的变化自动调整防护策略,确保系统始终能够有效地应对不同规模的攻击。DDoS 防护遥测可以提供详细的攻击信息,帮助企业了解攻击的来源、类型和规模,以便采取更有针对性的防护措施。监控和警报功能能够在攻击发生时及时通知企业相关人员,以便迅速启动应急响应机制。快速响应小组则是在攻击发生时负责具体实施防护措施的团队,他们需要具备专业的技术知识和丰富的应急响应经验,能够迅速有效地应对各种类型的 DDoS 攻击。
(二)制定 DDoS 响应策略
组建 DDoS 快速响应团队是制定 DDoS 响应策略的关键步骤。这个团队应明确如何识别、缓解和监测攻击。在识别攻击方面,团队成员需要熟悉各种 DDoS 攻击的特征和表现形式,能够通过网络流量监测、服务器性能指标等多种方式及时发现攻击的迹象。在缓解攻击方面,团队应制定详细的应急响应计划,包括采取流量清洗、限制访问、启用备份服务器等措施,以尽快恢复系统的正常运行。在监测攻击方面,团队需要持续关注攻击的发展态势,及时调整防护策略,确保系统始终处于安全状态。
(三)识别潜在风险
通过模拟网络攻击评估系统安全防御质量是识别潜在攻击风险的有效方法。这种模拟测试应该是一个渐进的并且逐步深入的过程,不能影响业务系统正常运行。企业可以利用专业的安全测试工具和技术,模拟各种类型的 DDoS 攻击,以检验系统的防护能力。在测试过程中,企业可以发现系统中存在的安全漏洞和薄弱环节,并及时采取措施进行修复和加固。同时,企业还可以通过模拟测试了解不同防护措施的效果,以便优化防护策略,提高系统的安全性。
(四)及时更改安全策略
企业被 DDoS 攻击后,应进行攻击调查和分析,及时溯源。通过对攻击流量的分析,企业可以了解攻击的来源、类型和手段,为后续的防护措施提供依据。同时,企业应修改安全防御措施,提高 DDoS 响应策略的有效性。例如,企业可以调整流量监控的阈值、优化防护遥测的参数、加强快速响应小组的培训等。此外,企业还可以借助第三方供应商构建有效的安全防御体系。第三方供应商通常具有更专业的技术和更丰富的经验,能够为企业提供更全面的 DDoS 防护服务。企业可以选择与专业的安全服务提供商合作,利用他们
墨者安全 防护盾
墨者安全作为专业级别安全防护专家,在应对 Webshell 风险隐患方面展现出了卓越的能力。其拥有全面的检测机制,能够精准识别 Webshell 的各种类型和变体,无论是复杂的大马,还是隐蔽的内存马,都难逃其敏锐的监测。
墨者安全防护盾具备强大的实时监控功能,对服务器的各项活动进行 7*24 小时不间断的监视。一旦发现任何可疑的 Webshell 活动迹象,立即发出警报,并迅速采取隔离和清除措施,将风险扼杀在萌芽状态。
在防护策略上,墨者安全防护盾采用了多层次的防御体系。不仅能够在网络层面阻挡外部的恶意访问和攻击,还能深入系统内部,对服务器的文件系统、进程等进行深度检查和保护,确保 Webshell 无法植入和运行。
同时,墨者安全防护盾拥有快速的应急响应能力。当 Webshell 攻击事件发生时,专业的安全团队能够迅速介入,进行深入的分析和处理,最大程度减少攻击带来的损失,并帮助用户快速恢复服务器的正常运行。
墨者安全防护盾还注重用户教育和培训,为用户提供关于 Webshell 防范的专业知识和最佳实践,帮助用户提升自身的安全意识和防范能力,共同构建坚实的网络安全防线。