|
全稱Distributed Denial of Service���,中文意思為“分布式拒絕服務”�����,就是利用大量合法的分布式服務器對目標發(fā)送請求����,從而導致正常合法用戶無法獲得服務�����。通俗點講就是利用網(wǎng)絡節(jié)點資源如:IDC服務器�����、個人PC、手機�、智能設備、打印機���、攝像頭等對目標發(fā)起大量攻擊請求��,從而導致服務器擁塞而無法對外提供正常服務����,只能宣布game over���,詳細描述如下圖所示: 
DDoS攻擊示意圖 2、黑客為什么選擇DDoS不同于其他惡意篡改數(shù)據(jù)或劫持類攻擊�����,DDoS簡單粗暴�,可以達到直接摧毀目標的目的。另外���,相對其他攻擊手段DDoS的技術要求和發(fā)動攻擊的成本很低��,只需要購買部分服務器權限或控制一批肉雞即可�����,而且攻擊相應速度很快��,攻擊效果可視��。另一方面����,DDoS具有攻擊易防守難的特征,服務提供商為了保證正?����?蛻舻男枨笮枰馁M大量的資源才能和攻擊發(fā)起方進行對抗����。這些特點使得DDoS成為黑客們手中的一把很好使的利劍,而且所向霹靂����。 從另一個方面看,DDoS雖然可以侵蝕帶寬或資源��,迫使服務中斷���,但這遠遠不是黑客的正真目的�。所謂沒有買賣就沒有殺害,DDoS只是黑客手中的一枚核武器�����,他們的目的要么是敲詐勒索��、要么是商業(yè)競爭���、要么是要表達政治立場�����。在這種黑色利益的驅(qū)使下���,越來越多的人參與到這個行業(yè)并對攻擊手段進行改進升級����,致使DDoS在互聯(lián)網(wǎng)行業(yè)愈演愈烈,并成為全球范圍內(nèi)無法攻克的一個頑疾���。 3��、DDoS的攻擊方式一種服務需要面向大眾就需要提供用戶訪問接口��,這些接口恰恰就給了黑客有可乘之機��,如:可以利用TCP/IP協(xié)議握手缺陷消耗服務端的鏈接資源���,可以利用UDP協(xié)議無狀態(tài)的機制偽造大量的UDP數(shù)據(jù)包阻塞通信信道……可以說����,互聯(lián)網(wǎng)的世界自誕生之日起就不缺乏被DDoS利用的攻擊點���,從TCP/IP協(xié)議機制到CC�����、DNS�����、NTP反射類攻擊�����,更有甚者利用各種應用漏洞發(fā)起更高級更精確的攻擊��。 從DDoS的危害性和攻擊行為來看�,我們可以將DDoS攻擊方式分為以下幾類: a)資源消耗類攻擊 資源消耗類是比較典型的DDoS攻擊,最具代表性的包括:Syn Flood��、Ack Flood��、UDP
Flood����。這類攻擊的目標很簡單,就是通過大量請求消耗正常的帶寬和協(xié)議棧處理資源的能力����,從而達到服務端無法正常工作的目的。 b)服務消耗性攻擊 相比資源消耗類攻擊����,服務消耗類攻擊不需要太大的流量,它主要是針對服務的特點進行精確定點打擊����,如web的CC����,數(shù)據(jù)服務的檢索����,文件服務的下載等�。這類攻擊往往不是為了擁塞流量通道或協(xié)議處理通道,它們是讓服務端始終處理高消耗型的業(yè)務的忙碌狀態(tài)�,進而無法對正常業(yè)務進行響應,詳細示意圖如下: 
服務消耗類攻擊 c)反射類攻擊 反射攻擊也叫放大攻擊���,該類攻擊以UDP協(xié)議為主����,一般請求回應的流量遠遠大于請求本身流量的大小�。攻擊者通過流量被放大的特點以較小的流量帶寬就可以制造出大規(guī)模的流量源,從而對目標發(fā)起攻擊��。反射類攻擊嚴格意義上來說不算是攻擊的一種����,它只是利用某些服務的業(yè)務特征來實現(xiàn)用更小的代價發(fā)動Flood攻擊,詳細示意圖如下: 
反射類攻擊 d)混合型攻擊 混合型攻擊是結(jié)合上述幾種攻擊類型����,并在攻擊過程中進行探測選擇最佳的攻擊方式?��;旌闲凸敉殡S這資源消耗和服務消耗兩種攻擊類型特征���。 4����、DDoS防護困難一方面����,在過去十幾年中,網(wǎng)絡基礎設施核心部件從未改變����,這使得一些已經(jīng)發(fā)現(xiàn)和被利用的漏洞以及一些成成熟的攻擊工具生命周期很長,即使放到今天也依然有效����。另一方面,互聯(lián)網(wǎng)七層模型應用的迅猛發(fā)展���,使得DDoS的攻擊目標多元化���,從web到DNS,從三層網(wǎng)絡到七層應用����,從協(xié)議棧到應用App,層出不窮的新產(chǎn)品也給了黑客更多的機會和突破點����。再者DDoS的防護是一個技術和成本不對等的工程,往往一個業(yè)務的DDoS防御系統(tǒng)建設成本要比業(yè)務本身的成本或收益更加龐大�,這使得很多創(chuàng)業(yè)公司或小型互聯(lián)網(wǎng)公司不愿意做更多的投入。 5�、DDoS防護手段DDoS的防護系統(tǒng)本質(zhì)上是一個基于資源較量和規(guī)則過濾的智能化系統(tǒng),主要的防御手段和策略包括: a)資源隔離 資源隔離可以看作是用戶服務的一堵防護盾��,這套防護系統(tǒng)擁有無比強大的數(shù)據(jù)和流量處理能力��,為用戶過濾異常的流量和請求����。如:針對Syn Flood,防護盾會響應Syn Cookie或Syn Reset認證����,通過對數(shù)據(jù)源的認證,過濾偽造源數(shù)據(jù)包或發(fā)功攻擊的攻擊�,保護服務端不受惡意連接的侵蝕。資源隔離系統(tǒng)主要針對ISO模型的第三層和第四層進行防護��。資源隔離示意圖如下: 
資源隔離示意圖 b)用戶規(guī)則 從服務的角度來說DDoS防護本質(zhì)上是一場以用戶為主體依賴抗D防護系統(tǒng)與黑客進行較量的戰(zhàn)爭,在整個數(shù)據(jù)對抗的過程中服務提供者往往具有絕對的主動權���,用戶可以基于抗D系統(tǒng)特定的規(guī)則�,如:流量類型���、請求頻率�����、數(shù)據(jù)包特征����、正常業(yè)務之間的延時間隔等���?��;谶@些規(guī)則用戶可以在滿足正常服務本身的前提下更好地對抗七層類的DDoS,并減少服務端的資源開銷�����。詳細示意圖如下: 
用戶規(guī)則清洗
c)大數(shù)據(jù)智能分析 黑客為了構造大量的數(shù)據(jù)流,往往需要通過特定的工具來構造請求數(shù)據(jù)����,這些數(shù)據(jù)包不具有正常用戶的一些行為和特征。為了對抗這種攻擊��,可以基于對海量數(shù)據(jù)進行分析�,進而對合法用戶進行模型化��,并利用這些指紋特征��,如:Http模型特征�、數(shù)據(jù)來源、請求源等�����,有效地對請求源進行白名單過濾��,從而實現(xiàn)對DDoS流量的精確清洗���。 
指紋過濾清洗 d)資源對抗 資源對抗也叫“死扛”���,即通過大量服務器和帶寬資源的堆砌達到從容應對DDoS流量的效果
|
