自1966年分布式拒绝服务(DDoS)攻击诞生以来,一直困扰着网络安全,尤其是随着新技术的不断涌现,导致各种类型的DDoS攻击结合新技术不断演进。DDoS攻击作为黑灰生产的手段之一,给很多企业和国家造成了巨大的损失。爱沙尼亚网络战2007年4月,爱沙尼亚遭受大规模DDoS攻击。黑客针对的网站包括国会、政府部门、银行和媒体。攻击广泛而深入。这次袭击是为了回应第二次世界大战纪念馆“塔林的青铜战士”搬迁引起的政治冲突。该事件引起国际军事界的广泛关注,被军事专家普遍认为是国家层面的第一次网络战争。攻击的第一个高峰出现在5月3日,当时莫斯科爆发了最激烈的抵抗。另一个高峰是在5月8日和9日,欧洲国家纪念战胜纳粹德国之际,袭击事件同步升级,至少有6个政府网站被迫关闭,包括外交部和司法部。上一次攻击高峰发生在15日,当时该国几家最大的银行被迫暂停对外联系。爱沙尼亚两大报之一的《邮政时报》编辑指出:“毫无疑问,这次网络攻击源自俄罗斯,这是一次政治攻击。”不过,俄罗斯一再否认与该事件有任何牵连,并批评爱沙尼亚编造指控。这次攻击导致了关于网络战的国际法的制定。最大的DDoS攻击-GitHub受到攻击GitHub吉祥物是迄今为止最大的DDoS攻击,发生在2018年2月。该攻击针对GitHub,这是一种流行的在线代码管理服务,被数百万开发人员使用。在此高峰期,攻击以每秒1.3太字节(Tbps)的速度传输流量,以每秒1.269亿个数据包的速度发送数据包。攻击者利用了一种名为Memcached的流行数据库缓存系统的放大效应。通过用欺骗性请求淹没Memcached服务器,攻击者能够将攻击放大大约50,000倍。幸运的是,GitHub使用DDoS保护服务,该服务会在攻击开始后10分钟内自动发出警报。此警报触发了缓解过程,GitHub能够迅速阻止攻击。最终,这场全球最大的DDoS攻击只持续了大约20分钟。根据国际知名公司NETSCOUT的调查结果,2021年上半年,网络犯罪分子发起了约540万次分布式拒绝服务(DDoS)攻击,相比2020年上半年增长了11%。分布式拒绝服务(DistributedDenialofService,DDoS)攻击是针对网络设施的缺陷,攻击者可以伪造IP地址,间接增加攻击流量。通过欺骗源IP地址,受害者误认为有大量主机在与自己通信。黑客还会利用IP协议的缺陷对一个或多个目标进行攻击,消耗网络带宽和系统资源,使合法用户无法获得正常服务。伪造IP地址发起攻击的成本远低于设置僵尸主机,技术成本要求低,使得伪造IP地址的DDoS攻击异常活跃。鉴于分布式拒绝服务(DistributedDenialofService,DDoS)攻击具有分布性、欺骗性、隐蔽性等特点,难以追踪和防范。攻击原理及特点,请点击此链接查看本文https://www.toutiao.com/i7023179182515634701/)随着技术的不断进步,攻击源跟踪技术在跟踪速度、自动化程度、跟踪精度等方面都有所提升。取得了重大进展,DDoS网络层攻击检测也分为多种方法。那么如何从IP源地址的角度来防范DDoS攻击呢?当DDoS攻击发生或结束时,可以根据相关信息定位攻击源,找到攻击者所在位置或攻击源。IP地址源定位是DDoS攻击防御过程中的一个重要环节,具有承前启后的关键作用。准确的IP地址定位结果,不仅可以为进一步追踪真正的攻击者提供线索,也可以为其他防御措施,如流量限速、过滤等措施提供信息,也可以为追究攻击者的责任提供法律依据。基于IP源地址数量和分布的变化,根据《Proactively Detecting Distributed Denial of Service Attacks Using Source IP Address Monitoring》研究报告,为了隐藏DDoS攻击,攻击者会降低攻击率,使攻击流量率接近访问速率正常,从而增加检测难度,但在DDoS攻击时,访问IP数量的显着增加是该攻击的一个明显特征。而且这个功能是无法隐藏的。基于此特性,如果能够对IP地址进行实时监控和判断,则可以有效检测DDoS攻击,尤其是攻击源地址分布均匀的DDoS攻击。以新源地址出现率作为攻击发生率,通过监测访问流量的变化,可以有效区分FlashCrowd和DDoS攻击。同时,根据《An Entropy Based Method to Detect Spoofed Denial of Service (Dos) Attacks》的研究报告,当发生伪造的源地址DDoS攻击时,IP源地址的流量熵和目的地址的流量熵的熵值会发生较大变化,而大量流的聚集会导致目的地址的熵值急剧下降,攻击流的均匀性会增加源地址的熵。通过训练好的阈值,可以检测到DDoS攻击。当没有发生攻击时,某个目标地址的源地址分布是稳定的,通常呈簇状分布,但当发生DDoS攻击时,IP源地址的分布趋于离散。根据IP源地址的特征可以识别DDoS攻击的方法。DDoS、蠕虫和病毒(垃圾邮件)邮件是影响骨干网安全的三大主要因素。从行为模式来看,三者有着明显的区别:DDoS表现为多个地址向一个IP地址发送数据;蠕虫表现为一个IP地址通过一个或多个端口向多个IP地址发送数据包;病毒邮件是通过端口25向多个IP地址发送数据包的地址。WChen和DYYeung将这三种行为模型称为威胁利益关系(TIR)模型。通过监控源地址、目的地址和端口,构建TIR树,可以有效识别三种攻击。对于一个服务器,访问过的用户往往会再次出现。当DDoS发生时,为这些用户提供服务可以有效抵御攻击。基于此原理,历史IP过滤方法(history-IPfiltering)根据正常访问源地址的频次和对应的数据包数量建立IP地址数据库,采用滑动窗口剔除过期地址。艾凡科技IP应用场景数据库包含43亿全IP数据,可有效识别机器、爬虫流量、“非人类用户”等各类网络风险。当发生DDoS攻击时,根据IP地址数据库提供的数据服务,直接识别风险IP,从IP源地址开始保障网络安全。在21世纪的今天,DDoS攻击仍然是互联网安全的重要威胁之一。及时更新网络安全设备和软件,检查计算机漏洞,可以有效监控恶意软件,降低操作系统被感染的风险。同时,也要提高个人电脑安全保护意识,营造安全的电脑环境。
