網路使用者和網路管理員需要警惕的網路威脅有很多,但對於服務主要線上運作的組織來說,由於分散式阻斷服務 (DDoS) 攻擊日益盛行,因此需要注意的最重要的攻擊之一是分散式阻斷服務 (DDoS) 攻擊。但是什麼是拒絕服務攻擊,它們是如何運作的,以及有沒有辦法防止它們?
DDoS 分散式阻斷服務:定義
什麼是 DDoS 攻擊? 這種類型的網路攻擊有時被稱為分散式網路攻擊,它利用適用於任何網路資源(例如支援公司網站的基礎設施)的特定容量限制。DDoS 攻擊會向被攻擊的網路資源發送多個請求,目的是超出網站處理多個請求的能力並阻止網站正常運作。DDoS 攻擊的典型目標包括電子商務網站和任何提供線上服務的組織。
它是如何運作?
了解 DDoS 攻擊的一個重要部分是了解這些攻擊的工作原理。網路資源(例如 Web 伺服器)對其可以同時服務的請求數量有有限的限制。除了伺服器本身的容量限制之外,伺服器連接到網際網路的通道也會有有限的頻寬或容量。每當請求數量超過基礎設施任何組件的容量限制時,服務水準就可能受到影響。
通常,在任何 DDoS 攻擊範例中,攻擊者的目的都是壓垮 Web 資源的伺服器,阻止正常運作並導致完全拒絕服務。攻擊者還可能要求付款以阻止攻擊。在某些情況下,DDoS 攻擊甚至可能是為了詆毀或損害競爭對手的業務。
為了實施攻擊,攻擊者透過感染惡意軟體來控制網路或設備,從而創建殭屍網路。然後,他們透過向機器人發送特定指令來發動攻擊。反過來,殭屍網路開始透過目標伺服器的IP 位址發出請求,使其不堪重負並導致其常規流量拒絕服務。
DDoS 攻擊範例:有哪些不同類型的攻擊?
了解 DDoS 的含義以及這些攻擊的工作原理是預防 DDoS 攻擊的一步,但了解 DDoS 攻擊的不同類型也至關重要。這首先取決於概述網路連接是如何形成的。
由國際標準化組織開發的開放系統互連 (OSI) 模型定義了構成互聯網網路連接的七個不同層。這些包括實體層、資料鏈結層、網路層、傳輸層、會話層、表示層和應用層。
許多 DDoS 攻擊範例因其所針對的連接層不同而有所差異。以下是一些最常見的例子。
應用層攻擊
有時被稱為第 7 層攻擊(因為它針對 OSI 模型的第7 層(應用程式),這些攻擊使用 DDoS 網站耗盡目標伺服器的資源。第七層是伺服器回應 HTTP 請求產生網頁。攻擊者執行大量 HTTP 請求,透過載入大量檔案並執行建立網頁所需的資料庫查詢,使目標伺服器不堪重負。
HTTP洪水
可以想像這些 DDoS 攻擊就像在許多電腦上多次刷新 Web 瀏覽器一樣。這會導致 HTTP 請求“氾濫”,從而導致拒絕服務。這些攻擊的實作可以很簡單——使用一個具有較窄 IP 位址範圍的 URL——也可以很複雜,使用一系列 IP 位址和隨機 URL。
協定攻擊
這些 DDoS 攻擊通常被稱為狀態耗盡攻擊,利用 OSI 模型第3 層和第4 層(網路層和傳輸層)中的漏洞。這些攻擊透過壓倒性的伺服器資源或網路設備資源(例如防火牆)造成拒絕服務。協定攻擊有多種類型,包括 SYN 洪水攻擊。這些攻擊利用 TCP(傳輸控制協定)握手,允許兩者建立網路連接,從虛假 IP 位址發送難以管理的 TCP「初始連接請求」。
容量耗盡攻擊
這些 DDoS 攻擊範例透過發送大量資料來造成伺服器流量激增,從而利用目標伺服器上所有可用頻寬造成拒絕服務。
DNS放大
這是一種基於反射的攻擊,其中從欺騙的 IP 位址(目標伺服器的 IP 位址)向 DNS 伺服器發送請求,促使 DNS 伺服器「呼叫」目標伺服器來驗證請求。透過使用殭屍網絡,這一行動得到了放大,迅速壓垮了目標伺服器的資源。
識別 DDoS 攻擊
DDoS 攻擊很難識別,因為它們可能模仿傳統的服務問題並且越來越複雜。然而,某些跡象可能表明系統或網路已成為 DDoS 攻擊的受害者。其中一些措施包括:
- 來自未知 IP 位址的流量突然激增
- 來自具有特定相似之處(例如地理位置或 Web 瀏覽器版本)的眾多用戶的流量
- 單一頁面請求量莫名其妙地增加
- 不尋常的交通模式
- 網路效能緩慢
- 無緣無故突然離線的服務或網站
DDoS 攻擊預防和緩解
雖然 DDoS 攻擊很難檢測,但可以實施多種措施來嘗試防止此類網路攻擊並在發生攻擊時減輕任何損害。對於想知道如何防止 DDoS 攻擊的用戶來說,關鍵是製定行動計劃,以保護系統並在遭受攻擊時減輕損害。總的來說,為企業實施像卡巴斯基 DDoS 防護這樣的解決方案是有益的,它可以持續分析和重定向惡意流量。此外,以下一般建議可以幫助您進一步增強防禦能力:
- 評估目前的系統設定(包括軟體、設備、伺服器和網路),以識別安全風險和潛在威脅,然後採取措施降低這些風險和威脅;定期進行風險評估。
- 保持所有軟體和技術為最新版本,以確保它們運行最新的安全性修補程式。
- 制定可行的 DDoS 攻擊預防、偵測和緩解策略。
- 確保參與攻擊預防計劃的任何人都了解 DDoS 攻擊的含義及其分配的角色。
如果發生攻擊,這些措施可能會起到一些緩解作用:
- 任播網路:使用任播網路重新分配流量有助於在解決問題時保持伺服器可用性,確保伺服器不需要完全關閉。
- 黑洞路由:在這種情況下,ISP 的網路管理員將來自目標伺服器的所有流量重新路由到黑洞路由(目標 IP 位址),將其從網路中刪除並保持其完整性。然而,這可能是一個極端的舉措,因為它也會阻止合法流量。
- 速率限制:這限制了伺服器在任何時候可以接受的請求數量。雖然它本身不會非常有效,但它可以作為更大策略的一部分發揮作用。
- 防火牆:組織可以使用 Web 應用程式防火牆 (WAF) 作為反向代理來保護其伺服器。WAF 可以設定規則來過濾流量,如果管理員懷疑有 DDoS 攻擊,可以即時修改規則。
相關文章和連結:
相關產品和服務:
