網(wǎng)絡(luò)攻擊恐怖DDoS
先說(shuō)說(shuō)近年來(lái)發(fā)生的大規(guī)模。DDoS攻擊
2013年3月�,歐洲反垃圾郵件Spamhaus遭遇300G攻擊;
2013年8月中國(guó)互聯(lián)網(wǎng)信息中心CNNIC(ChinaInternetNetworkInformationCenter)歷史上最大的遭遇DDoS部分.cn域名分析受到影響�����,導(dǎo)致訪問緩慢或中斷���;
2014年2月����,美國(guó)著名科技公司Cloudflare遭遇400G的DDoS攻擊��,大約78.5萬(wàn)網(wǎng)站受到影響��,其中包括維基百科�;
2014年12月,部署在阿里云上的一家知名游戲公司截至當(dāng)年最大DDoS攻擊����,攻擊超過(guò)14小時(shí)����,峰值流量達(dá)到453.8G����;
2015年12月�,英國(guó)廣播公司BBC遇到幾個(gè)小時(shí)DDoS攻擊,602峰值流量G����,當(dāng)年可以進(jìn)入前5名;
2016年5月����,非法黑客推出了一系列針對(duì)全球多家銀行網(wǎng)站的銀行網(wǎng)站DDoS攻擊�����。約旦���、韓國(guó)����、摩納哥等央行網(wǎng)絡(luò)系統(tǒng)癱瘓半小時(shí),無(wú)法正常工作���。
美國(guó)是2016年10月最重要的DNS服務(wù)商Dyn遇到大規(guī)模的DDoS攻擊����,攻擊約1000萬(wàn)IP美國(guó)東海岸大面積斷網(wǎng)���;
2016年11月�,俄羅斯五家主流銀行遭遇為期兩天的痛苦DDoS攻擊.由4萬(wàn)臺(tái)計(jì)算機(jī)組成的僵尸網(wǎng)絡(luò)繼續(xù)強(qiáng)大發(fā)動(dòng)DDOS攻擊���。
2018年3月��,Github到目前為止��,它遭受了最大的記錄DDoS攻擊��。攻擊者通過(guò)公共互聯(lián)網(wǎng)發(fā)送小字節(jié)的基于UDP要求數(shù)據(jù)包配置錯(cuò)誤memcached作為回應(yīng)�����,服務(wù)器���,memcached服務(wù)器通過(guò)方向Github發(fā)送大量不成比例的響應(yīng)����,形成大規(guī)模的響應(yīng)DDoS攻擊����。
DDoS什么是攻擊?
比如會(huì)更生動(dòng)�。我開了一家重慶火鍋店,的重慶火鍋店�����,因?yàn)椴馁|(zhì)上乘���,童老無(wú)欺�。平時(shí)門庭若市��,生意特別紅火�,而對(duì)面二狗家的火鍋店卻無(wú)人問津���。為了對(duì)付我��,二狗想了個(gè)辦法����,叫了50個(gè)人坐在我的火鍋店里卻不點(diǎn)菜,讓其他客人吃不下��。上面的例子是典型的DDoS攻擊����,全稱是DistributedDenialofService,將中文翻譯成分布式拒絕服務(wù)��。一般來(lái)說(shuō)����,攻擊者的使用“肉雞”對(duì)目標(biāo)網(wǎng)站在較短的時(shí)間內(nèi)發(fā)起大量請(qǐng)求,大規(guī)模消耗目標(biāo)網(wǎng)站的主機(jī)資源�����,讓它無(wú)法正常服務(wù)���。在線游戲�、互聯(lián)網(wǎng)金融等領(lǐng)域DDoS攻擊性高發(fā)行業(yè)。
DDoS的危害
無(wú)法訪問網(wǎng)站�����,消耗大量帶寬和內(nèi)存�,只有幾種處理方法:
1.拿出你的money,買帶寬�;
2.封ip,寧可錯(cuò)“殺”一千��,不能放過(guò)一個(gè)�;
3.找出誰(shuí)做了,弄丫(提醒:不要違法)
網(wǎng)站比較小的站長(zhǎng)基本沒辦法����,DDoS一般來(lái)說(shuō),它們來(lái)勢(shì)洶洶�,基本上沒有時(shí)間給你反應(yīng)。大量的流量突然涌入你的網(wǎng)站��,這是不可預(yù)測(cè)的��。
DDoS攻擊有哪些
1.ICMPFlood
ICMP(Internet控制報(bào)文協(xié)議IP控制信息在主機(jī)和路由器之間傳輸��,控制信息是指網(wǎng)絡(luò)本身的信息,如網(wǎng)絡(luò)是否連接��,主機(jī)是否可用���,路由是否可用。雖然用戶數(shù)據(jù)沒有傳輸�,但它在用戶數(shù)據(jù)的傳輸中起著重要的作用。通過(guò)向目標(biāo)系統(tǒng)發(fā)送大量的數(shù)據(jù)包���,目標(biāo)主機(jī)可以癱瘓�����,如果大量的發(fā)送成為洪水攻擊�。
2.UDPFlood
UDP在UDPFlood攻擊者通常會(huì)發(fā)送大量的偽造源IP地址的小UDP包沖擊DNS服務(wù)器或Radius認(rèn)證服務(wù)器����,流媒體視頻服務(wù)器。kbps的UDPFlood防火墻等線路骨干設(shè)備經(jīng)常癱瘓�,導(dǎo)致整個(gè)網(wǎng)段癱瘓。
傳統(tǒng)的流量攻擊方法技術(shù)含量低�����,傷害1000人��,損失800人���。攻擊效果通常取決于控制主機(jī)本身的網(wǎng)絡(luò)性能����,而且很容易找到攻擊源���,單獨(dú)使用并不常見���。因此,反射性放大攻擊具有四到兩千斤的效果��。
4.NTPFlood
NTP是標(biāo)準(zhǔn)的基礎(chǔ)UDP由于協(xié)議傳輸?shù)木W(wǎng)絡(luò)時(shí)間同步協(xié)議����,UDP無(wú)連接協(xié)議,方便偽造源地址�。攻擊者使用特殊的數(shù)據(jù)包��,即IP作為反射器的服務(wù)器�,地址指向源IP地址成攻擊目標(biāo)的地址IP����,當(dāng)反射器收到數(shù)據(jù)包時(shí)���,它會(huì)被欺騙����,并將響應(yīng)數(shù)據(jù)發(fā)送給攻擊目標(biāo),耗盡目標(biāo)網(wǎng)絡(luò)的帶寬資源。一般的NTP服務(wù)器有很大的帶寬����,攻擊者可能只需要1Mbps欺騙上傳帶寬NTP服務(wù)器可以給目標(biāo)服務(wù)器帶來(lái)數(shù)百個(gè)Mbps攻擊流量��。
因此���,“問-答”該方法的協(xié)議可用于反射攻擊�����。將詢問數(shù)據(jù)包的地址偽造成攻擊目標(biāo)地址,響應(yīng)數(shù)據(jù)包將發(fā)送到目標(biāo)��。一旦協(xié)議具有遞歸效果��,流量將顯著放大��,這可以稱為一種“借刀殺人”流量攻擊����。
5.SYNFlood
這是一種利用TCP協(xié)議缺陷,發(fā)送大量偽造TCP連接請(qǐng)求耗盡了被攻擊方的資源(CPU全負(fù)荷或內(nèi)存不足)的攻擊方法���。TCP連接�,需要三次握手——客戶端發(fā)送SYN服務(wù)端收到請(qǐng)求并返回報(bào)告接受����,客戶端也返回確認(rèn)并完成連接��。
SYNFlood也就是說(shuō)��,如果用戶在向服務(wù)器發(fā)送報(bào)告后突然死亡或掉線�����,服務(wù)器在發(fā)送響應(yīng)報(bào)告后無(wú)法收到客戶端的確認(rèn)報(bào)告(第三次握手無(wú)法完成)��。此時(shí)����,服務(wù)器端通常會(huì)在丟棄未完成的連接之前重試并等待一段時(shí)間��。用戶異常導(dǎo)致服務(wù)器線程等待一段時(shí)間不是大問題��,但惡意攻擊者大量模擬這種情況���,服務(wù)器端消耗大量資源來(lái)維持成千上萬(wàn)的半連接,結(jié)果往往沒有時(shí)間忽略客戶的正常要求���,甚至崩潰��。從正?����?蛻舻慕嵌葋?lái)看����,網(wǎng)站失去了響應(yīng),無(wú)法訪問��。
6.CC攻擊
CC攻擊是目前應(yīng)用層攻擊的主要手段之一�����。借助代理服務(wù)器生成指向目標(biāo)系統(tǒng)的法律請(qǐng)求��,實(shí)現(xiàn)偽裝和DDoS�。我們都有訪問靜態(tài)頁(yè)面的經(jīng)驗(yàn),即使有很多人�����,也不需要太長(zhǎng)時(shí)間����,但如果你在高峰時(shí)間訪問論壇、酒吧等,那就很慢了����,因?yàn)榉?wù)器系統(tǒng)需要去數(shù)據(jù)庫(kù)來(lái)判斷訪問者是否有權(quán)閱讀帖子和發(fā)言。訪問者越多�,論壇頁(yè)面越多,數(shù)據(jù)庫(kù)壓力越大�����,訪問頻率越高�,占用的系統(tǒng)資源也相當(dāng)可觀。
CC攻擊充分利用這一特點(diǎn)��,模擬多個(gè)正常用戶不斷訪問需要大量數(shù)據(jù)操作的頁(yè)面��,如論壇�����,造成服務(wù)器資源浪費(fèi)�����,CPU長(zhǎng)期處于100%,總有無(wú)窮無(wú)盡的要求�,網(wǎng)絡(luò)擁堵����,正常訪問暫停。這種攻擊技術(shù)含量高�,看不到真正的來(lái)源IP,沒有特別大的異常流量����,但服務(wù)器無(wú)法正常連接����。
之所以選擇代理服務(wù)器�����,是因?yàn)榇砜梢杂行щ[藏自己的身份�,繞過(guò)防火墻,因?yàn)榛旧纤械姆阑饓Χ紩?huì)并發(fā)檢測(cè)TCP/IP如果連接數(shù)超過(guò)一定數(shù)量和一定頻率�,將被視為Connection-Flood。當(dāng)然���,肉雞也可以用來(lái)發(fā)動(dòng)CC攻擊���,攻擊者使用CC攻擊軟件控制大量肉雞攻擊�����,肉雞可以模擬正常用戶訪問網(wǎng)站的請(qǐng)求����,偽造成合法數(shù)據(jù)包�����,比前者更難防御���。
CC攻擊是針對(duì)Web服務(wù)于第七層協(xié)議發(fā)起的攻擊���,并在上層協(xié)議發(fā)起DDoS攻擊越難防御,上層協(xié)議與業(yè)務(wù)關(guān)系越密切���,防御系統(tǒng)面臨的情況就越復(fù)雜��。比如CC攻擊中最重要的方法之一HTTPFlood��,不僅會(huì)直接導(dǎo)致攻擊Web前端響應(yīng)緩慢�,對(duì)業(yè)務(wù)產(chǎn)生致命影響��,也可能導(dǎo)致連鎖反應(yīng)�,間接攻擊后端Java業(yè)務(wù)層邏輯和后端數(shù)據(jù)庫(kù)服務(wù)。
由于CC攻擊成本低�,威力大,80%DDoS攻擊都是CC攻擊��。嚴(yán)重消耗帶寬資源��,網(wǎng)站癱瘓���;CPU�����、內(nèi)存利用率飆升�����,主機(jī)癱瘓���;瞬間快速打擊�����,無(wú)法快速響應(yīng)��。
7.DNSQueryFlood
DNS作為互聯(lián)網(wǎng)的核心服務(wù)之一�����,它自然是DDoS攻擊的主要目標(biāo)之一��。DNSQueryFlood該方法是操縱大量傀儡機(jī)��,并向目標(biāo)服務(wù)器發(fā)送大量域名分析請(qǐng)求�。當(dāng)服務(wù)器收到域名分析請(qǐng)求時(shí)����,它首先會(huì)在服務(wù)器上找到是否有相應(yīng)的緩存。如果找不到�,域名不能直接分析����,它會(huì)到上層DNS域名信息由服務(wù)器遞歸查詢���。
通常,攻擊者要求分析的域名是隨機(jī)生成的或網(wǎng)絡(luò)上根本不存在的域名。由于相應(yīng)的結(jié)果無(wú)法在當(dāng)?shù)卣业?���,服?wù)器必須使用遞歸查詢向上域名服務(wù)器提交分析請(qǐng)求,以引起連鎖反應(yīng)����。分析過(guò)程給服務(wù)器帶來(lái)了很大的負(fù)載����。如果域名分析請(qǐng)求每秒超過(guò)一定數(shù)量DNS超時(shí)服務(wù)器解析域名����。
根據(jù)微軟的統(tǒng)計(jì)數(shù)據(jù)���,一個(gè)DNS動(dòng)態(tài)域名查詢的上限是每秒9000個(gè)請(qǐng)求��。P3的PC機(jī)器可以輕松構(gòu)建每秒數(shù)萬(wàn)個(gè)域名分析請(qǐng)求�,足以使硬件配置極高DNS由此可見�����,服務(wù)器癱瘓DNS服務(wù)器的脆弱性��。
8.混合攻擊
在實(shí)際情況下,攻擊者只是為了達(dá)到打敗對(duì)方的目的��,到目前為止����,高級(jí)攻擊者不傾向于使用單一的攻擊手段�����,而是根據(jù)目標(biāo)系統(tǒng)的特定環(huán)境���,啟動(dòng)各種攻擊手段��,不僅流量大����,而且利用協(xié)議�、系統(tǒng)缺陷,盡可能進(jìn)行攻擊。
面對(duì)不同協(xié)議���、不同資源的分布式攻擊��,分析�����、響應(yīng)和處理的成本將大大增加�����。
如何應(yīng)對(duì)DDoS攻擊
1.高防服務(wù)器
以重慶火鍋店為例。高防御服務(wù)器是我在重慶火鍋店增加了兩名保安�����。這兩名保安可以保護(hù)商店免受流氓騷擾���,并定期在商店周圍巡邏,以防止流氓騷擾�����。高防御服務(wù)器主要是指獨(dú)立的硬防御50Gbps以上服務(wù)器可以幫助網(wǎng)站拒絕服務(wù)攻擊��,定期掃描網(wǎng)絡(luò)主節(jié)點(diǎn)��。這個(gè)東西很好�����,很貴~
2.黑名單
面對(duì)火鍋店里的流氓,我生氣地拍了他們的照片��,禁止他們進(jìn)入商店,但有時(shí)當(dāng)我遇到像樣的人時(shí),我禁止他進(jìn)入商店。這是一個(gè)黑名單,這種方法堅(jiān)持“錯(cuò)殺一千�����,也不放一百”正常流量會(huì)被封鎖����,影響正常業(yè)務(wù)�����。
3.DDoS清洗
DDos打掃衛(wèi)生��,就是我發(fā)現(xiàn)客人進(jìn)店幾分鐘后��,但一直不點(diǎn)菜�����,我就把他踢出店里��。
DDoS清潔將實(shí)時(shí)監(jiān)控用戶要求的數(shù)據(jù)�,及時(shí)發(fā)現(xiàn)DDoS這些異常流量在不影響正常業(yè)務(wù)發(fā)展的情況下被沖走����。
4.CDN加速
CDN加速�����,我們可以理解:為了減少流氓騷擾��,我只是在網(wǎng)上開火鍋店,承擔(dān)外賣服務(wù)����,這樣流氓就找不到商店在哪里���,也不能玩流氓。在現(xiàn)實(shí)中����,CDN服務(wù)將網(wǎng)站訪問流量分配到每個(gè)節(jié)點(diǎn)����,一方面隱藏了網(wǎng)站的真實(shí)性IP����,另一方面�,即使遇到DDoS還可以將流量分散到各個(gè)節(jié)點(diǎn)��,防止源站崩潰���。
5.ddos高防IP
高防IP它在互聯(lián)網(wǎng)服務(wù)器中遭受了大流量DDoS在攻擊導(dǎo)致服務(wù)不可用的情況下��,用戶可以御服務(wù)IP�,將攻擊流引流到高防IP�,確保源站穩(wěn)定可靠���。
高防IP是指由高防機(jī)房提供的IP段落主要用于防御互聯(lián)網(wǎng)DDoS攻擊����。在互聯(lián)網(wǎng)世界里,IP相當(dāng)于服務(wù)器的門牌號(hào),無(wú)論是訪問還是管理的門牌號(hào)IP來(lái)進(jìn)行����。同理,如果一個(gè)網(wǎng)絡(luò)攻擊者想對(duì)目標(biāo)進(jìn)行DDoS攻擊需要知道目標(biāo)IP地址,使用大量無(wú)效流量數(shù)據(jù)IP服務(wù)器提交請(qǐng)求���,導(dǎo)致服務(wù)器資源被大量占用�����,無(wú)法響應(yīng)正確的請(qǐng)求�。與此同時(shí),這些大量的無(wú)效數(shù)據(jù)也會(huì)占它IP服務(wù)器的帶寬資源導(dǎo)致信息堵塞���。此時(shí)可配置高防IP���,將攻擊流引流到高防IP,確保源站穩(wěn)定正常運(yùn)行���。
咨詢熱線:
400-996-8756
產(chǎn)品詳情頁(yè)
0371-89913000
