分布式拒绝服务 (DDoS) 攻击已成为当今企业最常见的问题。这些网络攻击在规模和复杂性上不断发展和扩大。近期的多项研究和备受瞩目的违规事件表明,DDoS 攻击的频率每年甚至每个季度都在上升。
根据威胁情报公司卡巴斯基的报告,2022 年第二季度,DDoS 攻击稳步增长,从 4 月的平均每天 731 次攻击增加到 5 月的 845 次和 6 月的 1195 次。 DDoS 攻击频率和影响的增加意味着所有企业都应该采取额外的预防措施来加强防御。
什么是DDoS 攻击?
DDoS 攻击是一种网络攻击形式,它通过淹没特定网络或服务器使其不堪重负并最终使其脱机。当服务器收到超出其容量的大量请求时,它无法响应合法请求,从而导致“拒绝服务”。
DDoS 攻击可以采取几种不同的形式。对它们进行分类的一种方法是基于 OSI 模型。 OSI(开放系统互连)模型是一个概念框架,描述了不同计算机系统之间应如何进行网络通信。该模型由国际标准化组织 (ISO) 在 1980 年代开发,由七层组成,每一层都有特定的功能。
应用层 DDoS 攻击
应用层负责为最终用户提供服务,例如电子邮件、网页浏览、文件传输和其他网络应用程序。这是消息和数据包创建开始的层,也是数据库访问所在的层。 FTP、SMTP、Telnet 和 RAS 等最终用户协议也在这一层工作。
DDoS 攻击可以针对 OSI 模型的应用层(第 7 层),目标是压倒 Web 服务器或应用程序。应用层DDoS攻击包括HTTP(超文本传输协议)GET、HTTP POST和基于网站表单的攻击。这些攻击可能导致该层最终达到其资源能力的极限。
例如,HTTP 慢速攻击(也称为 Slowloris 攻击)通过利用 HTTP 协议中的漏洞以 Web 服务器为目标。攻击的原理是向目标服务器发送大量不完整的 HTTP 请求,然后尽可能长时间地保持这些请求处于打开状态,而不会完成它们。
同时,HTTP 泛洪攻击通过向 Web 服务器发送大量 HTTP 请求来攻击它们,目的是使服务器不堪重负并使其对合法用户不可用。高流量会消耗服务器的资源,例如 CPU、内存和网络带宽,导致服务器变慢或崩溃。
网络层 DDoS 攻击
在 OSI 模型中,网络层是处理数据包在不同网络之间的路由和转发的层,它提供逻辑寻址和流量控制。
DDoS 攻击也可以针对 OSI 模型的这个网络层(第 3 层),目的是消耗目标的网络带宽。网络层 DDoS 攻击包括 ICMP(互联网控制消息协议)泛洪、ARP 泛洪和 IP(互联网协议)分片攻击等攻击。
ICMP 泛洪攻击 以 ICMP 协议为目标,该协议用于 IP 网络中的诊断和错误报告目的。在这种类型的攻击中,攻击者向目标系统或网络发送大量ICMP数据包,使系统资源不堪重负。
ARP(地址解析协议)泛洪针对 ARP 协议,该协议用于将 IP 地址映射到本地网络上的物理地址。在ARP 泛洪攻击中,攻击者发送大量的ARP 请求来淹没网络,使网络不可用。
IP 碎片攻击针对 IP 协议,该协议用于跨网络路由数据包。在这种攻击中,攻击者将数据包发送到目标系统或网络,这些数据包被故意分段,导致目标系统或网络使用过多的资源来重新组合它们。
这些攻击的最终结果是对防火墙施加额外负载并损害可用网络带宽。
基于流量的流量
在基于流量的 DDoS 攻击中,该方法依赖于超出网络带宽发送的绝对流量。用户数据报协议或 UDP 泛洪和互联网控制消息协议 (ICMP) 泛洪是容量攻击的两种常见形式。在UDP Flood攻击中,攻击者利用UDP格式跳过完整性检查,产生放大和反射攻击。
例如,DNS 放大攻击是一种容量 DDoS 攻击,攻击者在这种攻击中向一个开放的请求发出请求 域名服务器 具有(受害者的)IP 欺骗地址,并通过流量放大攻击使目标服务器不堪重负。 ICMP 洪水让攻击者向网络节点发送错误的错误请求,使其无法响应真实的请求。攻击者的目标是在短时间内从尽可能多的受感染设备发送尽可能多的请求。
DDoS 攻击的另一种分类涉及其预期结果。有些是为了防洪,有些是为了防撞。
泛洪 DDoS 攻击
这些攻击使用大量数据来攻击服务器,目的是将其关闭。例如,ICMP flood 或 ping flood 发送数据包以淹没计算机网络,使它们一起崩溃。上面描述的网络层攻击下的 SYN 泛洪也是在类似的基础上运行的。
崩溃的 DDoS 攻击
在这种类型的 DDoS 攻击中,攻击者将错误发送到受感染的系统,以利用系统基础架构中的薄弱环节。这暴露了在路由器和防火墙上没有补丁的情况下可以利用的缺陷,并导致系统崩溃。
传输层 DDoS 攻击
传输层确保在终端系统(例如计算机或服务器)之间可靠、无差错地传送数据。它还提供错误检测、流量控制和拥塞避免机制,并管理从第 1 层到第 3 层的消息传输。
这些攻击以 OSI 模型的传输层(第 4 层)为目标,目的是使目标的服务器或网络设备过载。传输层 DDoS 攻击包括 SYN(同步)泛洪、TCP(传输控制协议)泛洪和 UDP(用户数据报协议)泛洪。传输层攻击可能导致限制到达带宽或主机或网络设备的连接。
SYN 泛洪攻击以 TCP(传输控制协议)协议为目标,该协议用于在网络上的设备之间建立连接。在SYN 泛洪攻击中,攻击者向目标系统发送大量的TCP SYN 请求,但没有完成连接,使连接处于半开状态,使系统资源不堪重负。
类似地,TCP 泛洪攻击通过向目标系统或网络发送大量 TCP 数据包来针对 TCP 协议,以消耗系统资源并使其不可用。 UDP 泛洪攻击针对的是 UDP 协议,该协议用于低延迟、容错通信。
最常见的 DDoS 攻击类型是什么?
虽然所有三种类型的 DDoS 攻击在网络环境中都很普遍,但最常见的类型可能是网络层 DDoS 攻击。具体来说就是UDP泛洪,攻击者向目标系统或网络发送大量的UDP数据包。由于 UDP 是一种无连接协议,数据包不会被确认,攻击者可以以非常高的速率发送它们。这可能导致目标系统或网络被超过其处理能力的流量所淹没,从而导致合法用户无法使用。
DDoS 攻击造成的损害
DDoS 攻击可能具有很大的破坏性,具体取决于攻击的性质和规模,以及目标系统或网络处理攻击的能力。当以企业或政府机构为目标时,它们可能同样危险。
例如,近日黑客对德国军方和国防部网站发起DDoS攻击,导致其暂时无法访问。
根据卡巴斯基的数据,美国受到的 DDoS 攻击最多,在 2022 年第二季度占总数的份额小幅上升至 45.95%。在此期间,新加坡的独特目标份额 (3.22%) 也有所增长,比第一季度增加了一倍多2022 年,据罗马尼亚情报局 (SRI) 称,罗马尼亚、美国、爱沙尼亚、波兰和捷克共和国的机构也遭到了 DDoS 攻击。
DDoS 防护
DDoS 防护的关键是保持警惕并尽早开始检测过程。例如,寻找异常的 DDoS 特定症状,例如来自异常客户端的大量流量,例如具有相同或相似属性的客户端,无论是设备类型、IP 地址还是位置。此外,采用强大的网络流量监控和分析也很重要。这些有助于在发生入侵或异常流量负载时向您发出警报,并保护您免受 DDoS 攻击。
除此之外, CDNetworks 的 Flood Shield(DDoS云清洗)等工具可以进一步帮助您。 Flood Shield(DDoS云清洗)是一款基于云的 DDoS 防护服务,可实时提供 DDoS 防护。它还在您的源站和公共网络之间部署了防火墙,而速率限制、端口限制和威胁情报等技术为您提供了针对所有类型的 DDoS 攻击的额外措施。