资讯>产品动态>DDoS攻击的趋势与防御策略

DDoS攻击的趋势与防御策略

全速云2016-05-16阅读量:1660点赞数:1

一、DDoS攻击趋势

2015825日晚,锤子科技坚果手机发布会推迟了近40分钟,因为在发布会进行的同时,锤子科技的电商网站受到了大规模的DDoS攻击,导致用户无法登录购买,这些意外引起广泛关注。不只罗永浩,全世界都在承受DDoS攻击之痛。同年,BBC成为了史上最大DDoS攻击的对象,没有之一。这次攻击发生在2015年的最后一天,BBC的网站应声瘫痪了好几个小时。但是当时他们没有想到自己竟然如此荣幸,承受了世界纪录级别的602Gbps惨烈攻击

从这一系列DDoS攻击大事件来看,大多数DDos攻击目的是为了展示网络罪犯的攻击能力,而排在第二位和第三位的是网络游戏相关商业竞争和敲诈勒索为目的的攻击,黑客攻击变得更加专业化、工具化、系统化。



二、分布式阻断服务(Distributed Denial of Service)

DDoS 则是 DoS 的特例,黑客利用多台机器同时攻击来达到妨碍正常使用者使用服务的目的。黑客预先入侵大量主机以后,在被害主机上安装 DDoS 攻击程控被害主机对攻击目标展开攻击;有些 DDoS 工具采用多层次的架构,甚至可以一次控制高达上千台电脑(肉机)展开攻击,利用这样的方式可以有效产生极大的网络流量以瘫痪攻击目标。早在2000年就发生过针对Yahoo, eBay, Buy.com CNN 等知名网站的DDoS攻击,阻止了合法的网络流量长达数个小时。


DDoS 攻击程序的分类,可以依照几种方式分类,以自动化程度可分为手动、半自动与自动攻击。早期的 DDoS 攻击程序多半属于手动攻击,黑客手动寻找可入侵的计算机入侵并植入攻击程序,再下指令攻击目标;半自动的攻击程序则多半具有 handler 控制攻击用的agent 程序,黑客散布自动化的入侵工具植入 agent 程序,然后使用 handler 控制所有agents 对目标发动 DDoS 攻击;自动攻击更进一步自动化整个攻击程序,将攻击的目标、时间和方式都事先写在攻击程序里,黑客散布攻击程序以后就会自动扫描可入侵的主机植入 agent 并在预定的时间对指定目标发起攻击,例如近期的 W32/Blaster 网虫即属于此类。

若以攻击的弱点分类则可以分为协议攻击和暴力攻击两种。协议攻击是指黑客利用某个网络协议设计上的弱点或执行上的 bug 消耗大量资源,例如 TCP SYN 攻击、对认证伺服器的攻击等;暴力攻击则是黑客使用大量正常的联机消耗被害目标的资源,由于黑客会预备多台主机发起 DDoS 攻击目标,只要单位时间内攻击方发出的网络流量高于目标所能处理速度,即可消耗掉目标的处理能力而使得正常的使用者无法使用服务。

若以攻击频率区分则可分成持续攻击和变动频率攻击两种。持续攻击是当攻击指令下达以后,攻击主机就全力持续攻击,因此会瞬间产生大量流量阻断目标的服 务,也因此很轻易被侦测到;变动频率攻击则较为谨慎,攻击的频率可能从慢速渐渐增加或频率高低变化,利用这样的方式延缓攻击被侦测的时间。

三、预防DDoS攻击

DDoS 必须透过网络上各个团体和使用者的共同合作,制定更严格的网络标准来解决。每台网络设备或主机都需要随时更新其系统漏洞、关闭不需要的服务、安装必要的防毒和防火墙软件、随时注重系统安全,避免被黑客和自动化的 DDoS 程序植入攻击程序,以免成为黑客攻击的帮凶。

有些 DDoS 会伪装攻击来源,假造封包的来源 IP,使人难以追查,这个部份可以透过设定路由器的过滤功能来防止,只要网域内的封包来源是其网域以外的 IP,就应该直接丢弃此封包而不应该再送出去,假如网管设备都支持这项功能,网管人员都能够正确设定过滤掉假造的封包,也可以大量减少调查和追踪的时间。

网域之间保持联络是很重要的,如此才能有效早期预警和防治 DDoS 攻击,有些 ISP会在一些网络节点上放置感应器侦测忽然的巨大流量,以提早警告和隔绝 DDoS 的受害区域,降低顾客的受害程度。

对于容易遭受DDoS攻击的网站,为了保证服务质量,尽快选择一款安全防护产品,帮助清洗异常流量,避免网站瘫痪,保证访问可用性;同时实现网页加速,提升访问体验。

四、从 DDoS 攻击下存活

那么当遭受 DDoS 攻击的时候要如何设法存活并继续提供正常服务呢?由先前的介绍可以知道,若黑客攻击规模远高于你的网络频宽、设备或主机所能处理的能力,其实是很难以反抗攻击的,但仍然有一些方法可以减轻攻击所造成的影响。

首先是调查攻击来源,由于黑客经由入侵机器进行攻击,因此你可能无法查出黑客是由哪里发动攻击,我们必须一步一步从被攻击目标往回推,先调查攻击是由管辖网络的哪些边界路由器进来,上一步是外界哪台路由器,连络这些路由器的治理者(可能是某个ISP或电信公司)并寻求他们协助阻挡或查出攻击来源,而在他们处理之前可以进行哪些处理呢?

假如被攻击的目标只是单一IP,那么试图改个IP并更改其 DNS mapping或许可以避开攻击,这是最快速而有效的方式;但是攻击的目的就是要使正常使用者无法使用服务,更改IP的方式虽然避开攻击,以另一角度来看黑客也达到了他的目的。此外,假如攻击的手法较为单纯,可以由产生的流量找出其规则,那么利用路由器的 ACLs(Access Control Lists)或防火墙规则也许可以阻挡,若可以发现流量都是来自同一来源或核心路由器,可以考虑暂时将那边的流量挡起来,当然这还是有可能将正常和异常的流量都一并挡掉,但至少其它来源可以得到正常的服务,这有时是不得已的牺牲。假如行有余力,则可以考虑增加机器或频宽作为被攻击的缓冲之用,但这只是治标不治本的做法。最重要的是必须立即着手调查,并寻求安全防护方案,保证网站正常服务。  


全球1000+节点
实时网络监控
稳定的云服务
超强后备资源