DDoS攻击与防御
一、DDOS介绍
要了解DDOS攻击是什么,首先要了解DOS 攻击的基本原理是至关重要的。
DDoS(即分布式拒绝服务)攻击是最先出现的一种网络攻击方式。它的基本原理就是直接对抗:谁的机器性能更好、运行速度更快就能发起攻击。然而,在当今科技高速发展的背景下,大多数网站主机都部署了十几台服务器(通常配置有十几台服务器),而这些服务器的处理能力、内存大小以及网络传输速度都得到了显著提升——有的甚至达到了上千兆的速度。这样一来,在一对一的直接对抗中就失去了实际效果,并可能出现严重的后果:比如你机器发送10个数据包/秒的数据流量被对方接收端能够处理100个数据包/秒的顶级机器轻松压制,则你的这种1对1式的DDoS攻击就失去了实际效果,并可能出现严重死机的风险——你需要知道的是,在这种情况下你的CPU占用率会达到90%以上!如果你的机器配置较低的话,则会面临更大的风险!
然而随着技术的发展 随着科技的进步 人类社会正在经历前所未有的变革 各类网络安全威胁也随之出现 这些威胁往往源于传统安全防护体系中存在的一些固有缺陷 这使得网络空间成为了一个充满挑战性的新战场 恐怕没有哪个国家和地区能够完全避免网络安全威胁的影响 网络安全问题已经成为国家安全的重要组成部分
DDoS(Distributed Denial of Service)是一种网络攻击方式...它通常指利用多台设备协同作用来破坏目标服务器的安全性...其中常见的类型包括CC攻击、NTP攻击、SYN攻击和DNS攻击等...当网站遭受DDoS攻击时...通常会遇到以下问题:网页无法正常加载、浏览器提示服务器不可用、服务器运行速度显著下降以及内存占用急剧上升等现象发生。
被DDoS攻击时的现象:
被攻击主机上有大量等待的TCP连接。
网络中充斥着大量的无用的数据包,源地址为假。
制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯。
由于受害计算机系统存在服务或传输协议漏洞,在遭受攻击后会高频次发送特定类型的服务请求至受害者服务器端口或通道上,在短时间内导致其在短时间内无法响应并处理所有正常的请求
严重时会造成系统死机。
2、DDoS的类型及原理
DDOS攻击主要分为三类:流量型攻击;连接型攻击;特殊协议缺陷。
2.1 Ip lood
攻击原理:该攻击方式通过向目的主机发送多种随机或特定的源IP地址对应的大量数据包(即大流量多源数据包),导致目标主机无法接收其他正常的IP数据包
原理图:
2.1 Syn Flood
该方法基于TCP协议中的三次握手机制展开工作。该攻击向目标主机传输了多个随机源主机地址的SYN包,并在接收到目标主机的SYN+ACK包后并未进行响应处理。这种行为导致目标主机持续创建大量连接队列以等待ACK包的到来,在未收到ACK的情况下始终保持这些连接队列活跃状态而造成资源消耗过多的问题无法为正常的请求提供服务。类似的方式包括ACKFLOOD、S-ACKFLOOD、FINFLOOD、RSTFLOUD以及TCPFLOUD等。
原理图:
2.3 Udp 反射 Flood
该协议允许受保护设备与外部公用网络设备之间通过UDP协议实现数据传输需求。
在某些情况下, 受保护设备可能会主动或被动地与外部公用网络设备建立UDP连接, 从而为网络管理员提供一个监控和管理远程设备的有效手段。
原理图:
2.4 Dns Query Flood
攻击原理:利用大量DNS请求使得DNS服务器无法正确处理普通用户的请求,并使普通用户无法解析DNS进而无法获得所需服务。
原理图:
2.5 Dns Reply Flood
攻击原理:攻击方生成大量虚假的DNS应答数据包,并使DNS服务器因过载而无法响应常规用户提交的请求。常规用户因此无法解析DNS信息进而导致这些服务无法被访问。
原理图:
2.6 Http Flood
本原理阐述了一种主要针对Web服务器上的网页访问服务的网络安全威胁。该类威胁通常表现为持续性高频率网络攻击模式,在遭受该类持续性高频率网络攻击时,系统会被迅速要求处理海量的数据包请求。在这种高强度的压力下,Web服务器被迫承受来自外部网络的巨大流量压力,并无法及时完成正常的合法用户请求处理任务。
2.7 Https Flood
此攻击类型的主要目标是针对使用HTTPS协议的Web服务器上的各种访问服务功能。当该攻击发生时, 攻击者会向被目标服务器发送成百上千条高频率的请求数据包, 使得服务器被迫集中处理来自众多不同客户端的巨大流量, 因此无法像正常情况下那样及时满足合法客户端的常规请求需求。
2.8 Sip Invite Flood
攻击原理:SIP协议是专为网络视频电话会议设计的UDP协议。当遭受DDoS(分布式拒绝服务)攻击时,在一段时间内会有成百上千的攻击者连续发出大量SIP邀请请求至目标服务器端点。这种持续不断的请求使得目标服务器无法接收正常的用户发起的报文报文队列被阻塞而得不到应答从而形成了典型的基于流量注入的DDoS SIP洪水攻击
原理图:
2.9 Sip Register Flood
攻击原理基于SIP协议(sip protocol),该技术适用于网络视频电话会议系统中的 UDP 协议场景。当遭受DDoS 攻击时,在线服务会因为大量发起了 numerous SIP registration 请求而被迫暂停响应正常的 registration 请求处理工作。这种行为不仅导致相关 SIP 服务器被 bandwidth-intensive attacks 占据,并且使得这些 servers 在短时间内无法完成 normal registration request 的处理任务。最终的结果是形成 massive SIP registration flooding attacks 的效果。
原理图:
2.10 Connection Flood
攻击原理:通过代理服务器或广告页面向服务器发送真实IP地址(如代理服务器、广告页面),在服务器上创建大量连接,并使处于等待状态(WAIT)的连接过多导致效率低下甚至资源耗尽而无法响应; 在蠕虫传播过程中会出现大量具有相同源IP地址的数据包,在TCP协议下的蠕虫则会表现出进行大范围扫描的行为; 病毒会占用骨干设备如防火墙上的连接数目。
原理图:
2.11 CC攻击
攻击原理:借助代理服务器发送大量的GET HTTP请求;主要针对动态网页进行访问,并与数据库相关操作频繁发生;导致databases负载异常高且连接池也处于满负荷状态,在处理大量常规请求时出现性能瓶颈。
原理图:
2.12 http slow header慢速攻击
攻击原理:HTTP协议明确规定,在首部信息中以连续相连的"\r\n\r\n"作为结束标志标识完毕。多数Web服务器在接收HTTP请求头信息时会采用延迟模式处理方式,在等待头信息传输完毕后再进行后续处理操作。因此,在未接收到完整的首部信息前(即未接收到连续"\r\n\r\n"),Web服务器将一直持续接收数据流,并维持与客户端之间的连接状态。Slow-header漏洞的具体机制是攻击者通过缓慢发送无意义Header字段的方式绕过正常的数据传输流程,并刻意避免发送完整的"\r\n\r\n"终止标记序列。Web服务器通常只能处理有限数量的同时在线连接请求(即并发连接数),当大量受控设备向其发送这类不完整或异常的数据包时(即持续占用这些连接通道),最终会导致Web服务器资源被耗尽而无法正常服务客户端设备
原理图:
2.13 http slow post慢速攻击
攻击机制基于HTTP POST方法,在某些配置下允许客户端在HTTP头部设置Content-Length字段来指定消息实体的数据量。当Web服务器接收到来自客户端包含Content-Length字段的数据时,则将其值作为响应体的数据量设定,并持续接收数据直至达到指定长度后再进行实体内容处理。Slow-HTTP则会完整地发送包含Header信息的数据包,并会在开始处理数据前等待客户端继续提供Body部分的内容输入。攻击者则通过保持长时间连接并在未接收到完整Body前以每秒10到100个字节的速度向服务器发送数据增量式填充资源带宽需求。随着这种模式的应用次数增多 server端资源会被持续耗尽
原理图:
2.14 Https-ssl-dos攻击
攻击原理:在SSL数据传输前需先完成一次SSl握手流程,在此过程中双方通过协商确定合适的加密算法并交换密钥以实现身份认证。一般而言这一过程仅需执行一次即可但如果采用支持重negotiation协议的SSL版本则可以在握手过程中动态调整密钥参数从而建立新的密钥体系。值得注意的是在完成初始握手时服务器端会消耗较高的计算资源用于加解密操作以及对传输数据的有效性进行完整性验证工作。从技术角度来看这种攻击手段的本质在于利用高带宽连接对目标服务器施加持续的压力使得其处理流量的能力接近饱和状态。具体而言攻击者会在同一连接中持续不断地发起重negotiation请求其CPU开销是客户端的15倍左右而当同时建立多个这样的连接时会对服务器端造成更大的压力
原理图完整的SSL连接过程:
原理图
2.15 Dns NX攻击
DNS NX攻击是一种DNS查询泛洪攻击的变种方式,在这种情况下,目标是通过向DNS服务器发送大量请求来干扰其正常运作。其区别在于目标请求的对象不同:DNS QF攻击针对的是真实存在的域名,而DNS NX攻击则针对的是不存在的虚拟域名。在执行DNS NX攻击时,受攻 DNS 服务器会发起多次域名查询操作。当其无法获得指定域名对应的解析信息时(即该域名未被正确注册),该服务系统会立即转向进行递归查询操作,并向上一级 DNS 服务器发送新的解析请求以获取相关信息。这一过程重复执行会导致 DNS 服务器资源消耗显著增加。此外,在处理大量NX domain请求的过程中,“空闲”状态下的 DNS 缓存也会被大量填充(记录了大量的无效或不存在的域名),这不仅会延迟对正常用户的 DNS 解析请求响应速度,并且还可能引发其他相关问题。
原理图:
2.16 DNS投毒
攻击原理:一台DNS服务器仅负责存储本地资源的所有授权服务器的IP地址信息。当客户端尝试访问非本地域的主机时(如银行网站),系统会主动将该查询请求转发给对应的授权DNS服务器进行处理。为了优化性能,在未收到响应前不会立即回复客户端查询结果;相反地,在每次新查询到来之前会先检查缓存区是否存在已知的有效数据条目,并利用缓存结果减少网络请求次数。当缓存期满后又无响应时,则重新发起查询请求并获取最新结果)。DNS缓存投毒攻击机制的核心在于:通过向DNS缓存空间注入虚假的数据项(即用虚假的IP地址替换掉真实主机对应的IP地址),使得依赖该DNS服务器的应用程序或服务被错误地引导到其他位置(例如将搜索引擎导航至商业广告网站)。这种类型的典型应用场景就是钓鱼攻击场景)。
原理图:
3、DNS的防御
3.1 基本防御
首先提出建议:企业实施基础架构的风险分析是一项值得重视的工作。
其次,在对许多企业的攻击中取得了巨大的成功,
匿名攻击并非因为其手段如何先进,
而是因为基础架构本身存在明显的缺陷。
其次,在网络环境中限制非必要的服务配置的目的在于使开放端口的数量最少化,并最终降低潜在的入侵威胁以及减少利用现有安全漏洞的风险。
第三步骤:对每台软件应用补丁更新以保持其最新版本状态,这将有助于减少整体系统中的漏洞数量.
第四,在网络防护方面应避免过度依赖防火墙。防火墙能够抵御来自特定端口的流量攻击,并不能阻挡基于Web的应用通信。
此外,如果禁用了IP广播,就可以阻止基于ICMP的攻击,如死亡之ping攻击。
这些主要是从总体上保护网络,并且能够抵御一般的DDoS攻击的方法,在面对一些高阶的DDoS攻击手段时显得力有未逮。而对于专门的DDoS防御需求来说,则需要采取更加有效的措施——建议企业采用基于IP包过滤的技术来应对专门的DDoS防御需求。
3.2 包过滤
这种方法相对容易实现:识别通过网络传输的数据包,并辨别这些数据包的来源是否为正常的用户设备。如果发现这些数据包来自被感染的机器,则将其丢弃。实际操作起来确实存在一定的难度。
这种方法相对容易实现:识别通过网络传输的数据包,并辨别这些数据包的来源是否为正常的用户设备。如果发现这些数据包来自被感染的机器,则将其丢弃。实际操作起来确实存在一定的难度。
企业往往部署能够识别非法通信的过滤设备。然而这一做法面临两个主要挑战:一是如何有效区分攻击流量与合法请求流量;二是由于攻击目标是正在扫描通信设备的数据包数量过于庞大导致网络防御系统难以应对这些威胁。为此建议采用基于路由器的流量过滤技术如识别并拦截假冒IP包的方式这种技术可以通过跟踪通信中的源地址来检测异常流量从而判断是否存在欺诈行为进而丢弃这些数据包。目前虽然这种方法在早期阶段被广泛应用但随着高级威胁的发展这种简单手段已难以应对日益复杂的网络攻击情况因此单纯的流量过滤已经无法满足现代网络安全需求
3.3 抵制僵尸网络的攻击
但这一新型威胁更具危害性:当被感染的计算机以僵尸网络的身份参与协同攻击时,在发送的数据包中其来源IP地址真实可靠。
针对僵尸网络攻击的一种更为科学有效的IP过滤策略是采用了一种更为科学有效的策略来识别并拦截恶意流量。该技术旨在通过学习正常用户的数据包来识别异常行为,并进而识别出恶意流量。随后系统会仅允许来自预设安全来源的数据包通过网络连接到目标服务器,在这种情况下当这种情况发生时,边缘路由器会参考一个包含了典型访问者IP地址列表的数据库来进行判断和管理。当这种情况发生时边缘路由器会参考一个包含了典型访问者IP地址列表的数据库来进行判断和管理
受历史数据过滤机制影响的一个关键问题是:它如何运作?当边缘路由器处理获取善意地址的过程耗时较多时(即网络受到持续威胁),网络响应速度会显著下降。与此同时,在攻击持续进行的情况下(即网络受到持续威胁),网络响应速度会显著下降。这种现象与当前的攻击活动之间有何关联?
该过滤方案还存在一个局限性:如果攻击者掌握了基于历史行为的过滤机制,并希望使僵尸计算机的IP地址合法化以便访问目标网站,则容易通过引导僵尸计算机转向目标网站来规避该过滤措施。这将导致过滤系统误以为更多来自“熟悉”来源的DDoS流量来源于这些僵尸节点,并相应地调整其防护策略。
3.4 虚拟路由器和安全设备
除了现有的过滤措施之外
彻底清除DDoS路径的道路漫长且曲折,并非易事。由于互联网存在大量未加防护且易受感染的设备,在遭受攻击后容易成为僵尸节点的一部分。尽管现有的对抗DDoS的技术手段极为强大,并能有效遏制大部分攻击行为;然而它们往往具有很强的目标性,在面对成千上万同时仍需逐一应对这一特点使其难以应对大规模群体攻击;因此单一防御手段显得力有未逮必须构建多层次防护体系形成协同防御机制才能有效遏制此类网络威胁对社会及经济活动造成的危害
3.5 其它方法
除了另外两种技术之外,保护公司网络还有其他两种方法可用。首先,在提高网络带宽的同时能够更加有效地处理小型DDoS攻击的数据传输问题。其次,在遭受攻击时及时切换至备用网络连接能够确保企业仍能持续开展互联网服务工作,并作为灾难恢复方案的一部分发挥作用以保障业务连续性
3.6 小结
DDoS攻击不断演进中,在呈现越来越强大力量的同时也愈发隐蔽化;展现出更强的针对性和复杂性;对电子商务公司而言已构成严重威胁;对抗这种攻击是一项系统性工程;需要从多个层面进行综合治理和协同应对措施;具体而言可以从法律层面进行规范管理;技术层面则不限于传统的IT技术;还要涵盖ISP服务提供商;企业自身以及广大用户等多个维度;特别强调通过加强个人用户的安全意识教育来培养良好的网络安全习惯;从而有效防止潜在风险进一步演变为僵尸网络的危害