DDoS攻击方式和原理

什么是DDoS攻击?

分布式拒绝服务(DDoS)攻击是一种恶意企图,通过大量互联网流量压倒目标或其周围的基础架构来破坏目标服务器,服务或网络的正常流量。DDoS攻击通过利用多个受损计算机系统作为攻击流量来源来实现有效性。被利用的机器可以包括计算机和其他网络资源,例如物联网设备。从高层次来看,DDoS攻击就像堵塞高速公路的交通堵塞,阻止了常规交通到达其所需的目的地。

DDoS攻击如何工作?

DDoS攻击需要攻击者控制在线计算机网络才能进行攻击。计算机和其他计算机(如物联网设备)感染了恶意软件,将每个计算机转变为机器人(或僵尸)。然后,攻击者可以远程控制僵尸程序组,这称为僵尸网络

一旦僵尸网络建立,攻击者就可以通过远程控制方法向每个机器人发送更新的指令来指导机器。受害者IP地址被僵尸网络作为目标时,每个僵尸程序将通过向目标发送请求来响应,可能导致目标服务器或网络溢出容量,从而导致对正常流量拒绝服务由于每个机器人都是合法的Internet设备,因此将攻击流量与正常流量分开可能很困难。

什么是常见类型的DDoS攻击?

不同的DDoS攻击向量针对网络连接的不同组件。为了理解不同的DDoS攻击是如何工作的,有必要知道如何建立网络连接。因特网上的网络连接由许多不同的组件或“层”组成。就像从头开始建造房屋一样,模型中的每一步都有不同的目的。OSI模型,如下所示,是用来描述在7不同的层的网络连接的概念框架

虽然几乎所有DDoS攻击都涉及压倒目标设备或网络流量,但攻击可分为三类。攻击者可以使用一个或多个不同的攻击向量,或者可能基于目标采取的反制措施来循环攻击向量。

应用层攻击

攻击的目标:

有时被称为第7层DDoS攻击(参考OSI模型的第7层),这些攻击的目标是耗尽目标的资源。攻击的目标是在服务器上生成网页并响应HTTP请求而传递的层单个HTTP请求在客户端执行起来很便宜,并且目标服务器响应起来可能很昂贵,因为服务器通常必须加载多个文件并运行数据库查询才能创建网页。第7层攻击难以防御,因为流量很难被标记为恶意攻击。

应用层攻击示例:HTTP Flood

此攻击类似于同时在多个不同计算机上反复按Web浏览器中的刷新 - 大量HTTP请求泛滥服务器,导致拒绝服务。

这种类型的攻击范围从简单到复杂。更简单的实现可以访问具有相同范围的攻击IP地址,引用者和用户代理的一个URL。复杂版本可能使用大量攻击性IP地址,并使用随机引用和用户代理来定位随机URL。

协议攻击

攻击的目标:

协议攻击(也称为状态耗尽攻击)通过消耗Web应用程序服务器或防火墙和负载平衡器等中间资源的所有可用状态表容量来导致服务中断。协议攻击利用协议栈的第3层和第4层中的弱点来使目标不可访问。

协议攻击示例:

SYN Flood

SYN Flood类似于接收来自商店前面的请求的供应室中的工作人员。工作人员收到请求,去取得包裹,并在将包裹拿出前等待确认。然后,工作人员在没有确认的情况下获得更多的包请求,直到他们无法携带更多的包,变得不堪重负,并且请求开始无人接听。

此攻击通过向目标发送具有欺骗性源IP地址的大量TCP“初始连接请求”SYN数据包来利用TCP握手目标机器响应每个连接请求,然后等待握手中的最后一步,这一步从未发生过,耗尽了进程中的目标资源。

容量攻击

攻击的目标:

此类攻击试图通过消耗目标与较大Internet之间的所有可用带宽来创建拥塞。通过使用放大形式或其他创建大量流量的方式(例如来自僵尸网络的请求)将大量数据发送到目标。

扩增示例:

DNS放大

一个DNS放大就像如果有人打电话给餐厅和说:“我所拥有的一切的一个,请给我打电话,告诉我,我的整个秩序,”他们给回调的电话号码是目标的数量。只需很少的努力,就会产生很长的响应。

通过向具有欺骗IP地址(目标的真实IP地址)的开放DNS服务器发出请求,目标IP地址然后从服务器接收响应。攻击者构造请求,以便DNS服务器以大量数据响应目标。结果,目标接收到攻击者初始查询的放大。

减轻DDoS攻击的过程是什么?

减轻DDoS攻击的关键问题是区分攻击和正常流量。例如,如果产品发布的公司网站被热切的客户所淹没,那么切断所有流量是错误的。如果该公司突然出现来自已知不良行为者的流量激增,则可能需要努力减轻攻击。困难在于它将真实客户和攻击流量区分开来。

在现代互联网中,DDoS流量有多种形式。设计的流量可以从未欺骗的单一来源攻击到复杂的自适应多向量攻击。多向量DDoS攻击使用多个攻击路径以不同方式压倒目标,可能会分散任何一条轨迹上的缓解措施。同时针对协议栈的多个层的攻击,例如与HTTP泛洪(目标层7)耦合的DNS放大(目标层3/4)是多向量DDoS的示例。

减轻多向量DDoS攻击需要各种策略以对抗不同的轨迹。一般来说,攻击越复杂,流量越难以与正常流量分离 - 攻击者的目标是尽可能地混合,使缓解尽可能低效。涉及不加选择地丢弃或限制流量的缓解尝试可能会带来良好的流量,并且攻击也可以修改和适应以规避对策。为了克服复杂的破坏尝试,分层解决方案将带来最大的好处。

黑洞布线

几乎所有网络管理员都可以使用的一种解决方案是创建黑洞路由并将流量汇集到该路由中。在最简单的形式中,当在没有特定限制标准的情况下实施黑洞过滤时,合法和恶意网络流量都被路由到空路由或黑洞并从网络中丢弃。如果Internet属性遇到DDoS攻击,则该属性的Internet服务提供商(ISP)可能会将所有站点的流量发送到黑洞作为防御。

限速

限制服务器在特定时间窗口内接受的请求数量也是减轻拒绝服务攻击的一种方法。虽然速率限制有助于减缓网络抓取工具窃取内容和减少强力登录尝试,但仅凭它可能不足以有效地处理复杂的DDoS攻击。然而,速率限制是有效DDoS缓解策略中的有用组件。了解Cloudflare的速率限制

Web应用防火墙

Web应用防火墙(WAF)是一种工具,可以有助于减轻层7 DDoS攻击。通过在Internet和源服务器之间放置WAF,WAF可以充当反向代理,保护目标服务器免受某些类型的恶意流量的影响。通过基于用于识别DDoS工具的一系列规则过滤请求,可以阻止第7层攻击。有效WAF的一个关键值是能够快速实施自定义规则以响应攻击。了解Cloudflare的WAF

任播网络扩散

此缓解方法使用Anycast网络将攻击流量分散到分布式服务器网络中,直至网络吸收流量。就像将湍急的河流引入不同的较小通道一样,这种方法可以将分布式攻击流量的影响扩展到可管理的程度,从而扩散任何破坏性功能。

Anycast网络缓解DDoS攻击的可靠性取决于攻击的大小以及网络的规模和效率。Cloudflare实施的DDoS缓解的一个重要部分是使用Anycast分布式网络。Cloudflare具有15 Tbps网络,比记录的最大DDoS攻击大一个数量级。

如果您目前处于攻击状态,可以采取措施摆脱压力。如果您已经使用Cloudflare,则可以按照以下步骤缓解攻击。我们在Cloudflare实施的DDoS保护是多方面的,以减轻许多可能的攻击媒介。了解有关Cloudflare DDoS保护及其工作原理的更多信息。



你可能感兴趣的:(DDoS攻击方式和原理)