DDoS 就是分布式拒绝服务攻击,这种网络攻击形式尝试用恶意流量淹没网站或网络资源,从而导致网站或网络资源无法正常运行。
在分布式拒绝服务 (DDoS) 攻击中,攻击者发出海量实际上并不需要的互联网流量,耗尽其目标的资源,造成正常流量无法到达其预定目的地。
但是这到底意味着什么呢?不妨设想一下您喜爱的僵尸片。成群结队的受感染生物有着相同的目标 - 传播“僵尸瘟疫”,摧毁文明世界。它们让执法机构的资源不堪重负,耗尽了军事力量,并破坏了医疗服务。然后人们为了逃生而涌向高速公路,造成不可避免的严重交通堵塞。DDoS 攻击也是如此:网络世界里的“僵尸启示录”。只不过威胁并非僵尸,而是大量受到感染的电脑,它们同时攻击目标网站,将人类和企业赶走。
针对一家公司的网站、Web 应用程序、API、网络或数据中心基础架构的发起的 DDoS 攻击会造成停机,导致合法用户无法购买产品、使用服务、获取信息或者进行其他正常访问。
在 DDoS 攻击中,攻击者利用大量遭遇入侵的机器和接入互联网的设备,包括物联网 (IoT) 设备、智能手机、个人电脑和网络服务器,向目标发送大量流量。
DDoS 攻击利用接入互联网上的设备构成的彼此连接的网络,切断用户与服务器或网络资源(比如用户经常访问的网站或者应用程序)的联系。
为了发动 DDoS 攻击,攻击者会使用恶意软件或利用安全漏洞,恶意感染机器和设备,并获得其控制权。每台电脑或者受到感染的设备都称之为“爬虫程序”或“僵尸”,它们能够进一步传播恶意软件并参与 DDoS 攻击。这些爬虫程序共同构成了称为“僵尸网络”的僵尸军团,利用数量优势扩大攻击规模。此外,人们往往不会注意到物联网设备受感染,这很像是僵尸恐怖片里经常会有的那只麻烦的僵尸,主角们根本不知道它已经被感染了,而在物联网设备中,这会造成合法的设备所有者成为次要受害者或不知情的参与者,而受害企业仍然难以分辨攻击者的身份。
在攻击者成功建立起僵尸网络之后,就可以远程对每个爬虫程序发号施令,
发起对于目标系统的 DDoS 攻击。在僵尸网络攻击某个网络或服务器时,攻击者会指示僵尸向受害者的 IP 地址发送请求。我们每个人都有独一无二的指纹,而设备也有类似的特征,每台设备都有一个唯一的地址,可以用来在互联网或本地网络上识别它们。流量过大造成拒绝服务,使正常流量无法访问网站、Web 应用、API 或网络。
有时,僵尸网络及其中的爬虫程序会通过“雇佣攻击”服务的形式出租给其他有意发起攻击的人。这让那些没有接受过训练、缺乏经验的恶意攻击者也能轻松自行发动 DDoS 攻击。
DDoS 攻击分为许多不同类型,攻击者经常混合使用多种攻击来给目标造成严重破坏。其中三种关键类型是容积攻击、协议攻击和应用层攻击。所有攻击的目的都是为了严重拖慢合法流量的速度,或者阻止合法流量到达其预定目的地。例如,这可能意味着用户无法正常访问网站、购买产品或服务、观看视频,或者无法在社交媒体上进行互动。此外,DDoS 会造成资源不可用或性能下降,导致业务陷入停滞。它可能导致员工无法访问电子邮件、Web 应用,或让他们无法照常处理工作。
为了进一步探究 DDoS 攻击的工作原理,我们来具体分析一下攻击者可能采取的不同攻击途径。开放系统互连模型也叫做“OSI 模型”,它是各种网络标准的分层式框架,包含七个不同层次。OSI 模型的每一层都有独特的用途,就像一栋办公楼中每个楼层都有不同的业务功能。攻击者根据他们想要破坏的网络或面向互联网的资产类型,针对不同的层次发起攻击。
应用层位于 OSI 模型的顶端,最靠近最终用户。它是人与电脑和设备对接的位置,也是网络与应用程序连接的地方。
数据加密和解密都在表示层中发生,从而实现安全传输。
会话层允许设备、电脑或服务器彼此通信,并控制端口和会话。
在传输层,数据通过传输控制协议 (TCP) 进行通信,该协议基于互联网协议 (IP),也称为 TCP/IP。
网络层决定了数据到达目的地的物理路径。
数据链路层提供了一种在网络实体之间传输数据的方式。它也用来检测和纠正物理层可能发生的错误。
第 1 层叫做物理层,也是最低的一层,在这里,原始比特位通过连接各个网络节点的物理数据链路传输。
容积型 DDoS 攻击的目的是用海量流量充塞网络,耗尽预期受害方资源的带宽。海量攻击流量阻断了合法用户对应用程序或服务的访问,造成流量无法正常流入或流出。根据目标的不同,阻止合法流量可能意味着银行客户无法按时支付账单、电商购物者无法完成在线交易、医院患者无法查看其病历,公民无法查看自己在政府机构处的纳税记录。无论受到攻击的是什么企业,只要人们无法使用他们期望通过网络使用的服务,就会产生负面影响。
容积攻击使用的攻击途径是由一种恶意软件感染的众多系统和设备组成的僵尸网络。在攻击者的控制下,爬虫程序发出恶意流量,耗尽所有可用带宽,造成攻击目标与互联网之间的连接拥塞。
不可预见的僵尸流量造成的冲击可能大大减慢或阻止对于 Web 资源或面向互联网的服务的访问。由于爬虫程序会取代合法设备,以放大带宽密集型 DDoS 攻击,但用户往往毫不知情,因此受害企业很难发现恶意流量。
恶意攻击者使用的容积 DDoS 攻击媒介分为很多种。许多攻击者都利用反射和放大技术来造成目标网络或服务不堪重负。
UDP 泛洪攻击经常被选择用于带宽较大的 DDoS 攻击。攻击者会试图用包含无状态 UDP 协议的 IP 数据包充塞目标主机上的端口。随后,受害主机寻找与 UDP 数据包相关的应用程序,如果没有找到,就向发送者回发一条“目标不可达”消息。攻击者经常通过冒用 IP 地址来隐藏自己的身份,一旦目标主机被攻击流量淹没,系统就会失去响应,造成合法用户无法正常使用。
DNS 反射攻击是一种常见的攻击媒介,网络犯罪分子通过伪装其目标的 IP 地址,向开放的 DNS 服务器发送大量请求。作为回应,这些 DNS 服务器通过伪造的 IP 地址响应恶意请求,大量的 DNS 答复形成洪流,从而构成预定目标的攻击。很快,通过 DNS 答复产生的大量流量就会造成受害企业的服务不堪重负、无法使用,并造成合法流量无法到达其预定目的地。
互联网控制消息协议 (ICMP) 主要用于错误信息传递,通常不会在系统之间交换数据。ICMP 数据包可能与传输控制协议 TCP 数据包一同传输,让应用程序和计算设备在连接到服务器时可以通过网络交换信息。ICMP 泛洪攻击是一种第 3 层基础架构 DDoS 攻击方法,它使用 ICMP 消息来造成目标网络带宽超载。
协议攻击通过尝试利用协议通信的恶意连接请求来消耗并耗尽各种网络基础架构资源(如服务器或防火墙)的计算容量。同步 (SYN) 泛洪攻击和 Smurf DDoS 是基于协议的 DDoS 攻击的两种常见类型。协议攻击可以用每秒数据包数量 (pps) 和每秒比特数 (bps) 来衡量。
人们连接到互联网应用的主要方式之一是通过传输控制协议 (TCP)。这种连接需要从 TCP 服务(如 Web 服务器)进行三方握手,涉及到从用户连接到服务器的位置发送所谓的 SYN(同步)数据包,然后服务器返回一个 SYN-ACK(同步确认)数据包,最终通过最后的 ACK(确认)通信作为应答,以此完成 TCP 握手。
在 SYN 泛洪攻击中,恶意客户端发送大量 SYN 数据包(通常在握手的第一部分),但永远不会发送确认以完成握手。这使得服务器一直等待对于这些半开放的 TCP 连接的响应,而这些连接最终会耗尽容量,造成服务器无法接受跟踪连接状态的新连接。
SYN 泛洪攻击就好像一所大型高中里,整个毕业班的一场可怕恶作剧 - 所有学生在同一时间段内打电话给同一家披萨店,每个人都要订个披萨。在送餐员备货时,她会发现收到了太多的披萨订单,外卖车根本装不下,而且订单上也没有地址,所以所有送餐都会停止。
这种 DDoS 攻击的名称来源是:众多规模较小的攻击者可以凭借纯粹的数量优势来压倒更大规模的对手,就像幻想故事里的蓝精灵 (Smurf) 一样。
在 Smurf 分布式拒绝服务攻击中,攻击者使用某个 IP 广播地址,向计算机网络广播大量带有目标仿冒源 IP 的互联网控制消息协议 (ICMP) 数据包。默认情况下,网络上的大多数设备将通过向该源 IP 地址发送回复的方式来做出响应。根据网络上机器数量的不同,受害计算机的速度可能会因为流量泛洪而被严重拖慢。
应用层攻击是通过向应用程序发送大量恶意请求实现的,以每秒请求数 (RPS) 来衡量。这类攻击也称为第 7 层 DDoS 攻击,针对并破坏特定的网络应用程序,而不是整个网络。虽然这类 DDoS 攻击难以预防和抵御,但发动起来却相对比较容易。
打个比方来说,惊吓一群马并让它们到处乱跑容易,但要再次将它们控制起来几乎很难实现。应用层攻击就是这样:容易实施,但难以减缓或阻止,而且特定于某个目标。
分布式拒绝服务攻击 (DDoS) 试图通过多个来源的恶意流量造成在线服务、网站和网络应用程序不堪重负,或者耗尽目标资产的计算资源并且使之因此而陷入瘫痪。攻击者的目标是让合法用户无法正常使用该目标,它的目的只有一个——就是破坏。DDoS 攻击的目标是人们日常生活中依赖的各种资源,包括金融服务、医疗信息、新闻机构、教育系统和网络购物。
在发起旨在给企业造成破坏的 DDoS 攻击时,攻击者的动机不一而足。常见的动机可能包括:
出于政治或社会原因而进行黑客攻击
民族国家攻击者试图造成经济或社会混乱
造成竞争对手的服务或产品不可用,并尝试借机招揽业务
将 DDoS 攻击用作“烟幕”,转移紧急事件响应小组对更不易察觉的复杂攻击的注意力
通过敲诈勒索来谋取经济利益
近来, DDoS 敲诈攻击 已成为网络犯罪分子间一个极为常见的动机。DDoS 敲诈攻击也叫做 DDoS 勒索 (RDDoS) 攻击,在此类攻击中,威胁攻击者团体(比如 Copycats 等)用 DDoS 事件威胁企业,要求企业支付赎金或满足敲诈勒索最后通牒中的要求,否则就会发动 DDoS 攻击。通常情况下,这些犯罪份子会先给一个下马威,证明他们有能力造成破坏,并提高成为攻击目标的公司支付赎金的可能性。为了避免被抓,攻击者往往坚持要求被勒索者通过比特币等加密货币付款。
DDoS 勒索攻击的目的就是索要赎金,就好像小学生被霸凌者偷走了作业,霸凌者要求小学生交出午餐钱来换回作业一样。在复杂的网络霸凌世界中,赎金采用数字化形式,无法追踪。
借助强大的 DDoS 抵御策略和行动手册,企业可以抵御 DDoS 攻击并降低其造成的破坏程度。各种云端解决方案提供的大容量、高性能和始终开启的 DDoS 防护措施可以防止恶意流量经由 Web API 进入网站或干扰通信。基于云的净化服务可以快速抵御针对非 Web 资产(如网络基础架构)发起的大规模攻击。
在动态多变的攻击环境中,通过采取深度防御方法的抵御方案提供商所提供的DDoS 防护服务可以为企业和最终用户保驾护航。DDoS 抵御服务将会尽快检测到并阻止 DDoS 攻击,理想情况下,这应该在攻击流量到达抵御提供商净化中心后的当下或几秒钟内完成。由于攻击媒介不断变化、攻击规模不断扩大,为了实现理想 DDoS 防护效果,供应商必须不断投资加强防御能力。为了跟上规模庞大、复杂度高的攻击的步调,必需具备正确的技术来检测恶意流量,也要着手实施强有力的防御性对策,以便快速抵御攻击。
DDoS 抵御提供商可以过滤掉恶意流量,防止其到达作为攻击目标的资产。攻击流量会被 DDoS 净化服务、基于云的 DNS 服务或基于 CDN 的 Web 保护服务所拦截。基于云的抵御机制会移除攻击流量,使其无法到达目标。
DDoS 净化可以让您的在线业务保持正常运转,即使在攻击期间也不例外。与基于 CDN 的抵御措施不同,DDoS 净化服务可以保护数据中心的所有端口、协议和应用程序,包括基于 Web 和 IP 的服务。企业以两种方式之一引导其网络流量:通过边界网关协议 (BGP) 的路由通告更改或 DNS 重定向(A 记录或 CNAME)到抵御提供商的净化基础架构。净化服务会对流量进行监测和检查,从而发现恶意活动,一旦发现 DDoS 攻击,则实施抵御措施。通常情况下,这类服务的提供商都支持按需和不间断的配置,具体选择哪种配置取决于企业偏好的安全态势,不过就目前而言,比以往更多的企业正在改为采用不间断部署模式,以获得更快的防御响应。
配置得当的高级内容交付网络 (CDN) 有助于抵御 DDoS 攻击。在网站保护服务提供商使用其 CDN 专门加速使用 HTTP 和 HTTPS 协议的流量时,所有针对该 URL 发动的 DDoS 攻击流量都会在网络边缘被丢弃。这意味着第 3 层和第 4 层 DDoS 攻击会立即得到抵御,因为这种类型的流量并非以 Web 端口 80 和 443 为目标。该网络采用云端代理的形式,布设在客户的 IT 基础架构前方,将来自最终用户的流量传送到网站和应用程序。由于这些解决方案采用内嵌运作模式,面向 Web 的资产将会始终受到保护,不需要人工干预,也不会受到网络层 DDoS 攻击。对于应用层防御,企业应考虑部署Web 应用程序防火墙,以对抗高级攻击,包括某些类型的 DDoS 攻击,比如旨在破坏 OSI 模型第 7 层应用程序处理的 HTTP GET 和 HTTP POST 泛洪攻击。
通过部署针对 DDoS 的安全防控措施,企业就能减小自身的攻击面,同时缩短业务停运时间并降低中断风险。这种类型的防御可以有效阻止攻击,同时让合法访问者能正常在线访问您的企业。DDoS 防护可以防止恶意流量到达目标,限制攻击的影响,同时允许正常流量通过,保持业务正常运转。
在抵御过程中,您的 DDoS 保护提供商将部署一系列的应对措施,以阻止分布式拒绝服务 (DDoS) 攻击并降低其影响。随着现代攻击变得越来越先进,基于云的 DDoS 抵御保护措施有助于通过大规模深度防御保障安全,保持后端基础架构和面向互联网的服务的可用性和出色性能。
防止影响业务的停机时间
提高对 DDoS 事件的响应速度,优化事件响应资源
缩短了解和调查服务中断的时间
防止员工生产力损失
更迅速地部署应对措施,以抵御 DDoS 攻击
防止品牌声誉和利益遭受损失
保护整个数字资产环境,保持应用程序正常运行时间和性能
最大程度地降低与 Web 安全相关的成本
抵御新型及不断发展变化的威胁
Akamai 通过专用边缘、分布式 DNS 和云端净化防御构成的透明网格,提供深度 DDoS 防御。这些专门构建的云端解决方案旨在改善 DDoS 安全态势,同时缩小攻击面、提高抵御质量、减少误报,并且提高在遭遇量级较高、复杂性较高的攻击时的韧性。
此外,这些解决方案还可以进行调优,以满足您的 Web 应用程序和基于互联网的服务的特定要求。
Akamai 将其全球分布式智能边缘平台设计成一个反向代理,只接受通过 80 和 443 端口传输的流量。该平台可立即在边缘消除所有网络层 DDoS 攻击,并提供零秒 SLA。这意味着发起网络层 DDoS 攻击的攻击者不再有机会发动攻击。
针对应用层 DDoS 攻击,包括通过 API 发起的攻击,Kona Site Defender可以检测并抵御攻击,同时支持合法用户正常访问。
Akamai 的权威 DNS 服务Edge DNS也会在边缘处过滤流量。不同于其他 DNS 解决方案,Akamai Edge DNS 的架构经过专门设计,旨在保证用户在面对 DDoS 攻击时的可用性和韧性。Edge DNS 还有着卓越的性能,提供多个层面上的架构冗余,包括名称服务器、入网点、网络,甚至是分段式 IP Anycast 云。
Prolexic 通过 20 个全球净化中心和超过 10 Tbps 的专用 DDoS 防御,保护整个数据中心和混合基础架构抵御 DDoS 攻击,并且覆盖所有端口和协议。这样的能力旨在保持面向互联网的资产的可用性,而这正是任何信息安全计划的基石。
作为一项完全托管式服务,Prolexic可以建立主动和被动安全模式。该服务整合了自动防御机制,以及由全球超过 225 位 Akamai 一线 SOCC 响应人员提供的专家协助式抵御服务。Prolexic 还通过主动防御控制措施来提供业界卓越的零秒抵御 SLA,让数据中心基础架构和基于互联网的服务得到妥善保护,保持出色可用性。
