|
全稱Distributed Denial of Service,中文意思為“分布式拒絕服務(wù)”,,就是利用大量合法的分布式服務(wù)器對(duì)目標(biāo)發(fā)送請(qǐng)求,,從而導(dǎo)致正常合法用戶無(wú)法獲得服務(wù)。通俗點(diǎn)講就是利用網(wǎng)絡(luò)節(jié)點(diǎn)資源如:IDC服務(wù)器,、個(gè)人PC,、手機(jī)、智能設(shè)備,、打印機(jī),、攝像頭等對(duì)目標(biāo)發(fā)起大量攻擊請(qǐng)求,從而導(dǎo)致服務(wù)器擁塞而無(wú)法對(duì)外提供正常服務(wù),,只能宣布game over,,詳細(xì)描述如下圖所示:
DDoS攻擊示意圖 2、黑客為什么選擇DDoS不同于其他惡意篡改數(shù)據(jù)或劫持類(lèi)攻擊,,DDoS簡(jiǎn)單粗暴,,可以達(dá)到直接摧毀目標(biāo)的目的。另外,,相對(duì)其他攻擊手段DDoS的技術(shù)要求和發(fā)動(dòng)攻擊的成本很低,,只需要購(gòu)買(mǎi)部分服務(wù)器權(quán)限或控制一批肉雞即可,而且攻擊相應(yīng)速度很快,,攻擊效果可視,。另一方面,DDoS具有攻擊易防守難的特征,服務(wù)提供商為了保證正??蛻舻男枨笮枰馁M(fèi)大量的資源才能和攻擊發(fā)起方進(jìn)行對(duì)抗,。這些特點(diǎn)使得DDoS成為黑客們手中的一把很好使的利劍,而且所向霹靂,。 從另一個(gè)方面看,,DDoS雖然可以侵蝕帶寬或資源,迫使服務(wù)中斷,,但這遠(yuǎn)遠(yuǎn)不是黑客的正真目的,。所謂沒(méi)有買(mǎi)賣(mài)就沒(méi)有殺害,DDoS只是黑客手中的一枚核武器,,他們的目的要么是敲詐勒索,、要么是商業(yè)競(jìng)爭(zhēng)、要么是要表達(dá)政治立場(chǎng),。在這種黑色利益的驅(qū)使下,,越來(lái)越多的人參與到這個(gè)行業(yè)并對(duì)攻擊手段進(jìn)行改進(jìn)升級(jí),致使DDoS在互聯(lián)網(wǎng)行業(yè)愈演愈烈,,并成為全球范圍內(nèi)無(wú)法攻克的一個(gè)頑疾,。 3、DDoS的攻擊方式一種服務(wù)需要面向大眾就需要提供用戶訪問(wèn)接口,,這些接口恰恰就給了黑客有可乘之機(jī),,如:可以利用TCP/IP協(xié)議握手缺陷消耗服務(wù)端的鏈接資源,可以利用UDP協(xié)議無(wú)狀態(tài)的機(jī)制偽造大量的UDP數(shù)據(jù)包阻塞通信信道……可以說(shuō),,互聯(lián)網(wǎng)的世界自誕生之日起就不缺乏被DDoS利用的攻擊點(diǎn),,從TCP/IP協(xié)議機(jī)制到CC、DNS,、NTP反射類(lèi)攻擊,,更有甚者利用各種應(yīng)用漏洞發(fā)起更高級(jí)更精確的攻擊。 從DDoS的危害性和攻擊行為來(lái)看,,我們可以將DDoS攻擊方式分為以下幾類(lèi): a)資源消耗類(lèi)攻擊 資源消耗類(lèi)是比較典型的DDoS攻擊,,最具代表性的包括:Syn Flood、Ack Flood,、UDP b)服務(wù)消耗性攻擊 相比資源消耗類(lèi)攻擊,服務(wù)消耗類(lèi)攻擊不需要太大的流量,,它主要是針對(duì)服務(wù)的特點(diǎn)進(jìn)行精確定點(diǎn)打擊,如web的CC,,數(shù)據(jù)服務(wù)的檢索,,文件服務(wù)的下載等,。這類(lèi)攻擊往往不是為了擁塞流量通道或協(xié)議處理通道,它們是讓服務(wù)端始終處理高消耗型的業(yè)務(wù)的忙碌狀態(tài),,進(jìn)而無(wú)法對(duì)正常業(yè)務(wù)進(jìn)行響應(yīng),,詳細(xì)示意圖如下:
服務(wù)消耗類(lèi)攻擊 c)反射類(lèi)攻擊 反射攻擊也叫放大攻擊,該類(lèi)攻擊以UDP協(xié)議為主,,一般請(qǐng)求回應(yīng)的流量遠(yuǎn)遠(yuǎn)大于請(qǐng)求本身流量的大小,。攻擊者通過(guò)流量被放大的特點(diǎn)以較小的流量帶寬就可以制造出大規(guī)模的流量源,從而對(duì)目標(biāo)發(fā)起攻擊,。反射類(lèi)攻擊嚴(yán)格意義上來(lái)說(shuō)不算是攻擊的一種,,它只是利用某些服務(wù)的業(yè)務(wù)特征來(lái)實(shí)現(xiàn)用更小的代價(jià)發(fā)動(dòng)Flood攻擊,詳細(xì)示意圖如下:
反射類(lèi)攻擊 d)混合型攻擊 混合型攻擊是結(jié)合上述幾種攻擊類(lèi)型,,并在攻擊過(guò)程中進(jìn)行探測(cè)選擇最佳的攻擊方式,。混合型攻擊往往伴隨這資源消耗和服務(wù)消耗兩種攻擊類(lèi)型特征,。 4,、DDoS防護(hù)困難一方面,在過(guò)去十幾年中,網(wǎng)絡(luò)基礎(chǔ)設(shè)施核心部件從未改變,這使得一些已經(jīng)發(fā)現(xiàn)和被利用的漏洞以及一些成成熟的攻擊工具生命周期很長(zhǎng),,即使放到今天也依然有效,。另一方面,互聯(lián)網(wǎng)七層模型應(yīng)用的迅猛發(fā)展,,使得DDoS的攻擊目標(biāo)多元化,從web到DNS,從三層網(wǎng)絡(luò)到七層應(yīng)用,,從協(xié)議棧到應(yīng)用App,層出不窮的新產(chǎn)品也給了黑客更多的機(jī)會(huì)和突破點(diǎn),。再者DDoS的防護(hù)是一個(gè)技術(shù)和成本不對(duì)等的工程,,往往一個(gè)業(yè)務(wù)的DDoS防御系統(tǒng)建設(shè)成本要比業(yè)務(wù)本身的成本或收益更加龐大,這使得很多創(chuàng)業(yè)公司或小型互聯(lián)網(wǎng)公司不愿意做更多的投入,。 5,、DDoS防護(hù)手段DDoS的防護(hù)系統(tǒng)本質(zhì)上是一個(gè)基于資源較量和規(guī)則過(guò)濾的智能化系統(tǒng),主要的防御手段和策略包括: a)資源隔離 資源隔離可以看作是用戶服務(wù)的一堵防護(hù)盾,,這套防護(hù)系統(tǒng)擁有無(wú)比強(qiáng)大的數(shù)據(jù)和流量處理能力,,為用戶過(guò)濾異常的流量和請(qǐng)求。如:針對(duì)Syn Flood,,防護(hù)盾會(huì)響應(yīng)Syn Cookie或Syn Reset認(rèn)證,,通過(guò)對(duì)數(shù)據(jù)源的認(rèn)證,過(guò)濾偽造源數(shù)據(jù)包或發(fā)功攻擊的攻擊,保護(hù)服務(wù)端不受惡意連接的侵蝕,。資源隔離系統(tǒng)主要針對(duì)ISO模型的第三層和第四層進(jìn)行防護(hù),。資源隔離示意圖如下:
資源隔離示意圖 b)用戶規(guī)則 從服務(wù)的角度來(lái)說(shuō)DDoS防護(hù)本質(zhì)上是一場(chǎng)以用戶為主體依賴抗D防護(hù)系統(tǒng)與黑客進(jìn)行較量的戰(zhàn)爭(zhēng),在整個(gè)數(shù)據(jù)對(duì)抗的過(guò)程中服務(wù)提供者往往具有絕對(duì)的主動(dòng)權(quán),,用戶可以基于抗D系統(tǒng)特定的規(guī)則,,如:流量類(lèi)型、請(qǐng)求頻率,、數(shù)據(jù)包特征,、正常業(yè)務(wù)之間的延時(shí)間隔等?;谶@些規(guī)則用戶可以在滿足正常服務(wù)本身的前提下更好地對(duì)抗七層類(lèi)的DDoS,,并減少服務(wù)端的資源開(kāi)銷(xiāo)。詳細(xì)示意圖如下:
用戶規(guī)則清洗 c)大數(shù)據(jù)智能分析 黑客為了構(gòu)造大量的數(shù)據(jù)流,,往往需要通過(guò)特定的工具來(lái)構(gòu)造請(qǐng)求數(shù)據(jù),,這些數(shù)據(jù)包不具有正常用戶的一些行為和特征。為了對(duì)抗這種攻擊,,可以基于對(duì)海量數(shù)據(jù)進(jìn)行分析,,進(jìn)而對(duì)合法用戶進(jìn)行模型化,并利用這些指紋特征,,如:Http模型特征,、數(shù)據(jù)來(lái)源、請(qǐng)求源等,,有效地對(duì)請(qǐng)求源進(jìn)行白名單過(guò)濾,,從而實(shí)現(xiàn)對(duì)DDoS流量的精確清洗。
指紋過(guò)濾清洗 d)資源對(duì)抗 資源對(duì)抗也叫“死扛”,,即通過(guò)大量服務(wù)器和帶寬資源的堆砌達(dá)到從容應(yīng)對(duì)DDoS流量的效果 |
|
|
