DDoS攻击,互联网的洪水猛兽

文章正文
发布时间:2017-11-04 04:54

每一次大规模DDoS,总能闹出大动静

· 2000年2月,雅虎、CNN、亚马逊、eBay、ZDNet等网站24小时内遭受DDoS攻击,部分网站瘫痪,仅亚马逊和雅虎损失高达110万美元。

· 2007年5月,爱沙尼亚三周内遭遇三轮DDoS攻击,总统府、议会、政府部门、主要政党、主流媒体和大型银行网站均陷入瘫痪,北约顶级反网络恐怖主义专家前往救援。

· 2016年10月,美国DNS服务商Dyn遭遇DDoS攻击,包括Twitter、Spotify、Airbnb、Visa等网站无法访问,大半个美国集体断网,媒体形容此次事件为“史上最严重DDoS攻击”。

DDoS很常见,甚至被称为黑客圈子的准入技能。DDoS又很凶猛,搞起事来几乎压垮一方网络。

什么是DDoS?

DDoS(Distributed Denial of Service)意为分布式拒绝服务攻击,攻击者利用大量“肉鸡”对攻击目标发动大量的正常或非正常请求,耗尽目标主机资源或网络资源,从而使被攻击者不能为合法用户提供服务。

换句话说——老张的饭店(被攻击目标)可接待100个顾客同时就餐,隔壁老王(攻击者)雇佣了200个人(肉鸡),进饭店霸占位置却不吃不喝(非正常请求),饭店被挤得满满当当(资源耗尽),而真正要吃饭的顾客却进不来,饭店无法正常营业(DDoS攻击达成)。

那么问题来了,老张该怎么办?

当然是,轰出去!

发现来者不善,老张派手下把这些影响生意的人都撵出去了,并且告诉服务员,盯紧这群兔崽子(添加过滤规则和黑名单),再来捣乱乱棍伺候。这下,饭店营业又恢复了正常(防御成功)

然而,隔壁老王也不是吃素的,这一次,他请了2000个人分批次来捣乱。刚把一群不速之客赶走,另一批又接踵而来,进门时看上去就像正常的顾客,服务员根本没办法辨认。无奈之下,老张暂时关闭了店铺。

如此可见,当DDoS攻击流量达到一定程度,靠常规的过滤规则和黑名单机制根本无法抵挡如洪水一般的恶意访问。国内大多数中小网站带宽规模仅10M、100M,知名企业带宽能超过1G,当超大流量打过来,企业自身一般都抵挡不住。

DDoS攻击方式?

为了长时间地扰乱饭店经营,这2000个人使出了浑身解数。他们有的只看菜单却不点餐;有的在门口搭讪收银小妹;有的闹着要去后厨看看卫生条件;还有的就堵在门口围观。

同样的,DDoS攻击方式是多种多样的,表现形式主要有两种,一种为流量攻击,主要是针对网络带宽的攻击,即大量攻击包导致网络带宽被阻塞,合法网络包被虚假的攻击包淹没而无法到达主机。这种DDoS粗暴至极,一个个服务器、路由器就此沦陷。但有些攻击不只有蛮力,比如DNS、NTP反射攻击,可以将流量放大数百倍,达到四两拨千斤的效果。

另一种为资源耗尽攻击,主要是针对服务器主机的攻击,即通过大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网络服务。这种DDoS用的是巧劲,利用TCP、HTTP等协议定义的行为来不断占用计算资源以阻止它们处理正常事务和请求,比如典型的CC攻击,模拟多个正常用户,不停地进行访问如论坛等需要大量数据操作的页面,造成服务器资源的浪费,CPU长时间处于100%,永远都有处理不完的请求,网络拥塞,正常访问被中止。

发展到现在,DDoS攻击趋向于多元化混合攻击,攻击时长也有增加的趋势。

谁是肉鸡?谁被攻击?

老张特别纳闷,我规规矩矩地做生意,招谁惹谁了?原来,隔壁老王在街对面也开了一家饭店,但生意一直很惨淡。急红了眼,老王就想出了雇人捣乱的招。

· 竞争:当在行业里形成了一定的影响力,竞争对手想要故意搞垮你。

一直混迹于这个街区的土霸王老K看着老王赚得满盆金箔,曾上门吃霸王餐让老张给保护费。被轰走后,老K就联合老王召集了更多的人来捣乱。

· 勒索:钱多自然有人眼红,DDoS攻击就是有效的勒索工具之一。

当2000人涌入老张饭店时,场面过度混乱,旁边店铺的生意也受到了影响。

· 躺枪:大流量的DDoS攻击会带来“连带效应”,被攻击者的相关用户的业务也会受影响。

从历史案件分析,互联网金融、游戏、博彩、电商、教育培训、竞价排名、医疗等行业最容易发生DDoS攻击。

那这些捣乱的人,都是哪来的?

老张店里的“食客”,是对手花钱雇来的。而黑客圈子里的“肉鸡”,是指被黑客远程控制的机器,它可能是服务器,也可能是个人电脑、路由器等。“养鸡”可以靠诱导用户点击、攻击系统漏洞等黑客手段,当然也可以直接“买鸡”或“抓鸡”。

黑产从业者受利益驱动,或被雇佣去攻击一些高盈利行业。DDoS攻击已经形成了完整的产业链,一些黑客明码标价,比如打1G流量到一个网站一小时,报价只需50元。



被攻击了会怎样?

显而易见,DDoS攻击直接造成了服务器瘫痪,而其破坏性的后果,远不止是短时间内的无法访问。

· 收入锐减

电商、借贷、游戏等网站,没有客户访问就没有收入,DDoS攻击让企业失去业务机会。有调查数据显示,损失合同或运营终止是DDoS攻击的最严重后果,在遭遇过攻击的企业中,26%将其视为最大的风险。

· 信誉损失

糟糕的客户体验会让潜在客户和已有的合作伙伴重新考量、审查企业,新的销售机会和品牌形象大受打击。作为老张的顾客,看到店内乌七八糟,也会为自己下次就餐产生深深的担忧。

· 资料外泄

如今使用DDoS 作为其他网络犯罪活动掩护的情况越来越多,当网站被打到快瘫痪时,维护人员的全部精力都在抗DDoS上面,攻击者窃取数据、感染病毒、恶意欺骗等犯罪活动更容易得手。有研究表明,30%的美国金融从业者反馈他们遭受DDoS 攻击后发现系统被感染恶意软件或者病毒。



DDoS攻击怎么破?

第一次捣乱事件后,老张暂时关闭了店铺避风头,的确,对非重要业务可以暂时下线服务,但这并不是长久之计。

长教训之后老张制定了一系列机制,点单不能超过十分钟,就餐不能超过两小时,恶意占位将永不接待,并且安装摄像头,遇到无赖就连同证据一起交给警察。保证充足的网络带宽、安装多节点防火墙、过滤不必要的服务和端口、对访问来源做适当的限制、增强操作系统的TCP/IP栈等等防御手段和机制,就是网站的保护伞。

面对多次大规模的捣乱,老张索性将饭店经营规模扩大,可同时容纳一万人就餐,这样即使2000人进来坐着不消费,饭店的正常营业也不会受影响。对于网站而言,增加带宽硬防是一个理论上比较有效的办法,但实际上,对于大流量的渗透来说实在太过烧钱,硬件能不能跟上也是个问题,高昂的成本和技术的挑战让人望而却步。

而CDN的出现无疑是一大福音,CDN系统能够实时地根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户最近的服务节点上。用户可就近取得所需内容,解决 Internet网络拥挤的状况,提高用户访问网站的响应速度。新兴的CDN抗D可以说是众多中小企业普遍认同的解决方案,用户不容易直接获取真实IP,可以多节点抵御DDoS攻击。



那么问题来了,并不是每个中小企业都有专门的安全维护团队,并不是每个站长都精通种种打怪手段。扩张一个万人饭店谈何容易,但将网站接入保护,却有便利之路。知道创宇DDoS流量清洗服务——抗D保,专注于特大流量DDoS攻击防御,最大防御能力超过2TB。

使用腾讯宙斯盾流量清洗设备和知道创宇祝融智能攻击识别引擎,100%清洗SYN Flood、UDP Flood、ICMP Flood等攻击流量;根据访问者的URL、频率、行为等访问特征,迅速识别出CC攻击,100%拦截无漏传;有效解决突发的大量随机HOST A记录查询攻击、递归DNS穿透攻击、DNS流量攻击等多种针对域名解析的攻击请求。

抗D保为最容易遭受攻击的金融借贷平台、游戏、电商、教育培训、竞价排名、医疗等高危网站制定专属策略,为网络安全保驾护航。



肉鸡来了,扔给他一剂抗D保。

文章评论
—— 标签 ——
首页
评论
分享
Top