什么是DDoS攻击?让我们开门见山。举个例子,我开了一家50个座位的重庆火锅店。平时,菜市场人很多,生意特别红火,却没人理会对面二狗家的火锅店。为了对付我,二狗想了一个办法,叫50个人到我的火锅店坐下,不点菜,其他顾客就吃不下了。上面的例子是一个典型的DDoS攻击。全称DistributedDenialofService,中文翻译为分布式拒绝服务。一般来说,是指攻击者使用“肉鸡”(所谓的bot是网络上被攻陷的计算机)在短时间内向目标网站发起大量请求,消耗有限的网络资源和服务器系统资源大量无用数据,使目标网站无法正常服务(或网络拥堵,或服务器系统崩溃,导致崩溃)。网络游戏、互联网金融等领域是DDoS攻击的高发行业。在黑色DDoS产业链中,角色是如何划分的?DDoS攻击犯罪已经进入产业化时代。从需要专业的非法黑客进行整个攻击过程的行为,发展成为由发行者、攻击实施者、肉鸡经销商、出口商、非法黑客攻击软件作者、担保人组成的多层次网络。犯罪个体共同参与实施的产业化犯罪行为。Issuer:DDoS攻击黑色产业链中最顶端的角色,即对特定网站或服务器贡献和发出攻击需求的人计算机信息系统的实施者,或买卖权利的中间人被入侵的计算机系统。贩运者:控制服务器和网络流量的人。他们具有一定的技术能力,可以租用专用服务器,自行配置攻击软件,以获得流量保证人:在业界具有较高“知名度”的非法黑客。由于交易双方往往互不认识,他们会找一个“担保人”负责买卖双方之间的资金划转,担保人可以从中提取一定的收益费。DDoS攻击的具体方法有哪些?ICMPFloodICMP用于在IP主机和路由器之间传输控制消息。控制消息是指关于网络本身的消息,比如网络是否不可达、主机是否可达、路由是否可用等。虽然它不传输用户数据,但对于用户数据的传输很重要。它起着重要作用。通过向目标系统发送大量数据包,可以使目标主机瘫痪。如果发送大量的数据包,就会变成洪水攻击。UDPFloodUDP协议是一种无连接服务,很容易伪造源地址。在UDPFlood中,攻击者通常会发送大量带有伪造源IP地址的小UDP报文来影响DNS服务器、Radius认证服务器和流媒体服务器。100kbps的UDPFlood往往会使防火墙等线路上的骨干设备瘫痪,导致整个网段瘫痪。以上两种传统的基于流量的攻击方式,技术含量低,伤害一千八百。攻击效果通常取决于被控主机自身的网络性能,很容易找到攻击源。单独使用它并不常见。于是,四两拉一千斤效果的辐射型增幅攻击出现了。NTPFloodNTP是一种基于UDP协议传输的标准网络时间同步协议。由于UDP协议的无连接特性,很容易伪造源地址。攻击者使用一个特殊的数据包,即IP地址指向作为反射器的服务器。源IP地址被伪造为攻击目标的IP。当反射器接收到数据包时,它被欺骗并将响应数据发送给被攻击的服务器。目标,耗尽目标网络的带宽资源。一般NTP服务器的带宽都比较大,攻击者可能只需要1Mbps的上传带宽就可以欺骗NTP服务器,就可以给目标服务器带来数百甚至上千Mbps的攻击流量。因此,反射攻击可以利用“问答”协议,将挑战包的地址伪造为攻击目标的地址,并将响应包发送给目标。一旦协议产生递归效应,流量就会被明显放大,堪称“借刀杀人”的流量型攻击。SYNFlood这是一种利用TCP协议缺陷发送大量伪造的TCP连接请求,从而耗尽被攻击方资源(CPU满或内存不足)的攻击方式。建立TCP连接需要三次握手:客户端发送SYN报文,服务器收到请求并返回消息表示接受,客户端也返回确认完成连接。SYNFlood是攻击者客户端在短时间内伪造大量不存在的IP地址,不断向目标服务器发送SYN包,服务器回复确认包,等待客户端确认。这些虚假的SYN包会长期占据半连接队列,导致正常的SYN请求因为队列满而被丢弃,造成网络拥塞甚至系统故障。CC攻击CC攻击是目前应用层攻击的主要手段之一。它利用【代理服务器】向目标系统产生合法请求,实现伪装和DDoS。我们都有这样的经历。访问一个静态页面,即使人多也不会花太长时间,但是如果在高峰期访问论坛、贴吧等,就会很慢,因为服务器系统需要去数据库判断访问者是否有看帖、发言等权限,访问的人越多,论坛页面越多,数据库压力越大,访问频率越高,占用的系统资源相当可观.CC攻击充分利用了这一特性,模拟多个正常用户连续访问论坛等需要大量数据操作(HTTPFlood)的页面,造成服务器资源浪费。CPU长期处于100%,总会有失败完成的请求,网络拥塞,正常访问被挂起。这种攻击技术性很强,看不到真正的源IP和异常大的流量,服务器就是无法正常连接。之所以选择代理服务器,是因为代理可以有效隐藏身份,绕过防火墙,因为基本上所有的防火墙都会检测TCP/IP并发连接数,如果超过一定的数量和频率,就会被认为作为连接洪水。当然,也可以利用bot来发起CC攻击。攻击者使用CC攻击软件控制大量的Bot进行攻击。锅炉可以模拟正常用户访问网站的请求,伪造合法数据包,防御难度较大。CC攻击是针对Web服务在应用层发起的攻击。防御针对上层协议发起的DDoS攻击难度更大。上层协议与业务的关系越密切,防御系统面临的情况就越复杂。由于CC攻击成本低、威力大,80%的DDoS攻击都是CC攻击。DNSQueryFloodDNS作为互联网的核心服务之一,自然也是DDoS攻击的主要目标。DNSQueryFlood采用的方法是操纵大量傀儡机向目标服务器发送大量域名解析请求。当服务器收到域名解析请求时,会先检查服务器上是否有对应的缓存。如果找不到,无法直接解析域名,就会递归向上级DNS服务器查询域名信息。通常,攻击者请求的域名是随机生成的,或者在网络上不存在。由于在本地找不到对应的结果,服务器必须使用递归查询向上级域名服务器提交解析请求,造成连锁反应。解析过程给服务器带来很大的负载,如果每秒的域名解析请求数超过一定数量,DNS服务器在解析域名时就会超时。据微软统计,一台DNS服务器所能承受的动态域名查询上限为每秒9000次请求。而一台P3PC每秒可以轻松构建上万个域名解析请求,足以让一台硬件配置极高的DNS服务器瘫痪,可见DNS服务器的脆弱性。在混合攻击的实际情况下,攻击者只是寻求击败对手。时至今日,高级攻击者不再倾向于使用单一的攻击方式进行打击,而是根据目标系统的具体环境发起多种攻击。该方法不仅流量大,而且利用协议和系统的缺陷尽可能地发动进攻。对于被攻击目标,需要面对不同协议、不同资源的分布式攻击,分析、响应和处理的成本会大大增加。如何应对DDoS攻击?高防服务器还是以重庆火锅店为例。高防服务器给重庆火锅店增加了两名保安。这两名保安可以保护店铺免受流氓骚扰,并且会定期在店铺周围巡逻,防止流氓骚扰。.高防服务器主要是指能够独立硬防50Gbps以上的服务器,可以帮助网站进行拒绝服务攻击,定时扫描网络主节点。老板会给他们拍照存入档案,禁止他们进店,但有时候遇到长得像他的人,也会被禁止进店。这是设置黑名单。此法秉承“错杀一千,百不放过”的原则。会阻塞正常的交通,影响正常的业务。DDoS清洗DDoS清洗就是当我发现一个顾客进店几分钟,但他还没有点餐,我就会把他赶出店。DDoS清洗会实时监控用户请求数据,及时发现DOS攻击等异常流量,在不影响正常业务开展的情况下清洗这些异常流量。CDN加速CDN加速,我们可以这样理解:为了减少小流氓的骚扰,我索性把火锅店在线上开了,承接外卖服务,让小流氓找不到店在哪,就可以'不要耍流氓。现实中,CDN服务将网站访问流量分发到各个节点,这样一方面隐藏了网站的真实IP,另一方面即使遇到DDoS攻击,也可以将流量分发到每个节点以防止源站点崩溃。
