2016年5月,不法黑客针对全球范围内的多家银行网站发动了一系列的
DDoS攻击。导致约旦、韩国以及摩纳哥等央行网络系统陷入了半小时的瘫痪状态,无法进行正常工作。
2016年11月,俄罗斯五家主流银行遭遇长达两天的
DDoS攻击。来自30个国家2.4万台计算机构成的僵尸网络持续不断发动强大的DDOS攻击。
2017年4月初,江苏省某网络公司服务器频繁遭到DDoS流量攻击,导致挂载在服务器上的多个网站无法正常运营,损失严重。
2018年3月,Github遭受了迄今为止记录的最大的DDoS攻击。攻击者通过公共互联网发送小字节的基于UDP的数据包请求到配置错误的memcached服务器,作为回应,memcached服务器通过向Github发送大量不成比例的响应,形成巨大规模的DDoS攻击。
2019年9月初,北京市公安局网络安全保卫总队(以下简称“网安总队”)发起了针对“分布式拒绝服务攻击”类违法犯罪的全国性专项打击行动。三个月内,网安总队在全国范围内共抓获违法犯罪嫌疑人379名,清理在京被控主机7268台。
......
一、什么是DDOS攻击?
举个例子,我开了一家饭店,这家饭店可以容纳100人同时就餐,我的一个竞争对手在对门也开了一家饭店,竞争对手雇佣了300人来这个饭店坐着不吃不喝,导致饭店满满当当无法正常营业,这在计算机中的表现就是分布式拒绝服务。在计算机系统中它利用网络协议和操作系统的一些缺陷,采用欺骗和伪装的策略来进行网络攻击,使网站服务器充斥大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。
分布式拒绝服务攻击(英文意思是Distributed Denial of Service,简称DDoS)是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击,或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。
在进行攻击的时候,可以对源IP地址进行伪造,通常攻击者会在发起DDOS 攻击之前就控制着成千上万个存在漏洞的计算机,这些计算机我们称之为“肉鸡”,入侵者通过这些“肉鸡”向目标机器在相同时间内发起并发请求,导致目标机器的系统资源瞬间被打满,无法正常对外提供服务。
与DoS攻击由单台主机发起攻击相比较,分布式拒绝服务攻击DDoS是借助数百、甚至数千台被入侵后安装了攻击进程的主机同时发起的集团行为。
二、攻击方式
SYN Flood攻击
SYN Flood 攻击是当前网络上最为常见的DDoS攻击,它利用了TCP协议实现上的一个缺陷。通过向网络服务所在端口发送大量的伪造源地址的攻击报文,就可能造成目标服务器中的半开连接队列被占满,从而阻止其他合法用户进行访问。
UDP Flood攻击
UDP Flood 是日渐猖厥的流量型DDoS攻击,原理也很简单。常见的情况是利用大量UDP小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器。由于UDP协议是一种无连接的服务,在UDP Flood攻击中,攻击者可发送大量伪造源IP地址的小UDP包。
ICMP Flood攻击
ICMP Flood攻击属于流量型的攻击方式,是利用大的流量给服务器带来较大的负载,影响服务器的正常服务。由于目前很多防火墙直接过滤ICMP报文。因此ICMP Flood出现的频度较低。
Connection Flood攻击
Connection Flood是典型的利用小流量冲击大带宽网络服务的攻击方式,这种攻击的原理是利用真实的IP地址向服务器发起大量的连接。并且建立连接之后很长时间不释放,占用服务器的资源,造成服务器上残余连接(WAIT状态)过多,效率降低,甚至资源耗尽,无法响应其他客户所发起的链接。
HTTP Get攻击
这种攻击主要是针对存在ASP、JSP、PHP、CGI等脚本程序,特征是和服务器建立正常的TCP连接,并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用。这种攻击的特点是可以绕过普通的防火墙防护,可通过Proxy代理实施攻击,缺点是攻击静态页面的网站效果不佳,会暴露攻击者的lP地址。
UDP DNS Query Flood攻击
UDP DNS Query Flood攻击采用的方法是向被攻击的服务器发送大量的域名解析请求,通常请求解析的域名是随机生成或者是网络世界上根本不存在的域名。域名解析的过程给服务器带来了很大的负载,每秒钟域名解析请求超过一定的数星就会造成DNS服务器解析域名超时。
三、DDOS 的防范
通过 Linux 自带防火墙防范攻击
以 DDOS SYN Flood 攻击为例,我们可以通过系统自带的iptables 防火墙来进行防护。
第一种方式是禁止攻击来源IP,但是通常攻击源都不只一个IP,这种方式防护比较弱。
第二钟方式是 限制syn并发的次数以及同一个IP 新建连接数的数量。
通过专业的流量清洗系统来防范DDOS攻击
流量清洗服务是一种针对对其发起的DOS/DDOS攻击的监控、告警和防护的一种网络安全服务。在不影响正常业务的前提下,清洗掉异常流量。它会分析和过滤异常流量,将异常的攻击流量阻挡在门外,从而为正常的请求提供服务。