<var id="1dltj"><strike id="1dltj"></strike></var>
<var id="1dltj"></var>
<var id="1dltj"></var>
<var id="1dltj"></var>
<menuitem id="1dltj"></menuitem>
<var id="1dltj"></var> <var id="1dltj"><strike id="1dltj"></strike></var>
<var id="1dltj"><strike id="1dltj"></strike></var>
<menuitem id="1dltj"></menuitem> <var id="1dltj"></var>
<cite id="1dltj"></cite>
<cite id="1dltj"></cite>
<var id="1dltj"></var><menuitem id="1dltj"></menuitem>
<var id="1dltj"></var>

淺析網絡戰爭中最具破壞力的DDoS 攻擊及防御

2020-06-17

如今,信息技術的發展為人們帶來了諸多便利,無論是個人社交行為,還是商業活動都離不開網絡。但是,網絡空間在創造機遇的同時,也帶來了威脅,其中 DDoS 就是最具破壞力的攻擊。經過這些年的不斷發展,它已經成為不同組織和個人的攻擊形式之一,用于網絡中的勒索、報復,甚至網絡戰爭。

先聊聊 DDoS 的概念和發展

在講發展前,我們先對分布式拒絕服務(DDoS)的基本概念有個大體了解。

何為“拒絕服務”攻擊?

其實可以簡單理解為:讓一個公開網站無法訪問。要實現這個目的,方法也很簡單:不斷地提出服務請求,讓合法用戶的請求無法及時處理。

何為“分布式”?

隨著網絡發展,很多大型企業具備較強的服務提供能力,所以應付單個請求的攻擊已經不是問題?!暗栏咭怀?,魔高一丈”,攻擊者就組織很多同伙,同時提出服務請求,直到服務無法訪問,這就叫“分布式”。但是,在現實中,一般的攻擊者無法組織各地伙伴協同“作戰”,所以會使用“僵尸網絡”來控制 N 多計算機進行攻擊。

何為“僵尸網絡”?

就是數量龐大的僵尸程序(Bot)通過一定方式組合,出于惡意目的,采用一對多的方式進行控制的大型網絡,也可以說是一種復合性攻擊方式。因為僵尸主機的數量很大而且分布廣泛,所以危害程度和防御難度都很大。
僵尸網絡具備高可控性,控制者可以在發布指令后,就斷開與僵尸網絡的連接,而控制指令會自動在僵尸程序間傳播執行。


image

這就像個生態系統一樣。對安全研究人員來說,通過捕獲一個節點雖然可以發現此僵尸網絡的許多僵尸主機,但很難窺其全貌,而且即便封殺一些僵尸主機,也不會影響整個僵尸網絡的生存。

DDoS 的發展怎么樣?

正所謂“以史為鑒,可以知興替”。既然大概了解了 DDoS,咱們說說它的歷史發展。最早的時候,黑客們大都是為了炫耀個人技能,所以攻擊目標選擇都很隨意,娛樂性比較強。后來,有一些宗教組織和商業組織發現了這個攻擊效果,就以勒索、報復等方式為目的,對特定目標進行攻擊,并開發一些相應的工具,保證攻擊成本降低。當國家級政治勢力意識到這個價值的時候,DDoS 就開始被武器化,很容易就被用于精確目標的網絡戰爭中。


image

根據綠盟科技 2015 年的 DDoS 態勢分析,從全球流量分布來看,中國和美國是 DDoS 受災的重災區。

談談 DDoS 的攻擊方式

分布式拒絕服務攻擊的精髓是:利用分布式的客戶端,向目標發起大量看上去合法的請求,消耗或者占用大量資源,從而達到拒絕服務的目的。

其主要攻擊方法有 4 種:

1. 攻擊帶寬

跟交通堵塞情況一樣,大家都應該清楚:當網絡數據包的數量達到或者超過上限時,會出現網絡擁堵、響應緩慢的情況。DDoS 就是利用這個原理,發送大量網絡數據包,占滿被攻擊目標的全部帶寬,從而造成正常請求失效,達到拒絕服務的目的。

攻擊者可以使用 ICMP 洪水攻擊(即發送大量 ICMP 相關報文)、或者 UDP 洪水攻擊(即發送用戶數據報協議的大包或小包),使用偽造源 IP 地址方式進行隱匿,并對網絡造成擁堵和服務器響應速度變慢等影響。

但是,這種直接方式通常依靠受控主機本身的網絡性能,所以效果不是很好,還容易被查到攻擊源頭。于是反射攻擊就出現,攻擊者使用特殊的數據包,即 IP 地址指向作為反射器的服務器,源 IP 地址被偽造成攻擊目標的 IP,反射器接收到數據包的時候就被騙了,會將響應數據發送給被攻擊目標,然后就會耗盡目標網絡的帶寬資源。

2. 攻擊系統

創建 TCP 連接需要客戶端與服務器進行三次交互,也就是常說的“三次握手”。這個信息通常被保存在連接表結構中,但是表的大小有限,所以當超過存儲量,服務器就無法創建新的 TCP 連接。

攻擊者利用這一點,用受控主機建立大量惡意的 TCP 連接,占滿被攻擊目標的連接表,使其無法接受新的 TCP 連接請求。如果攻擊者發送了大量的 TCP SYN 報文,讓服務器在短時間內產生大量的半開連接,連接表也會被很快占滿,導致無法建立新的 TCP 連接,這個方式是 SYN 洪水攻擊,很多攻擊者都比較常用。


image

3. 攻擊應用

由于 DNS 和 Web 服務的廣泛性和重要性,這兩種服務就成為消耗應用資源的分布式拒絕服務攻擊的主要目標。

比如,向 DNS 服務器發送大量查詢請求,從而達到拒絕服務的效果,如果每一個 DNS 解析請求所查詢的域名都是不同的,那么就有效避開服務器緩存的解析記錄,達到更好的資源消耗效果。當 DNS 服務的可用性受到威脅,互聯網上大量的設備都會受到影響而無法正常使用。

近些年,Web 技術發展非常迅速,如果攻擊者利用大量的受控主機不斷地向 Web 服務器惡意發送大量 HTTP 請求,要求 Web 服務器處理,就會完全占用服務器資源,讓正常用戶的 Web 訪問請求得不到處理,導致拒絕服務。一旦 Web 服務受到這種攻擊,就會對其承載的業務造成致命的影響。

4. 混合攻擊

在實際的生活中,攻擊者并不關心使用的哪種攻擊方法管用,只要能夠達到目的,一般就會發動其所有的攻擊手段,盡其所能的展開攻勢。對于被攻擊目標來說,需要面對不同的協議、不同資源的分布式拒絕服務攻擊,分析、響應和處理的成本就會大大增加。

隨著僵尸網絡向小型化的趨勢發展,為降低攻擊成本,有效隱藏攻擊源,躲避安全設備,同時保證攻擊效果,針對應用層的小流量慢速攻擊已經逐步發展壯大起來。因此,從另一個角度來說,DDoS 攻擊方面目前主要是兩個方面:一是 UDP 及反射式大流量高速攻擊,二是多協議小流量及慢速攻擊。

說說 DDoS 的攻擊工具

國人講究:工欲善其事必先利其器。隨著開源的 DDoS 工具撲面而來,網絡攻擊變得越來越容易,威脅也越來越嚴重。 工具有很多,簡單介紹幾款知名的,讓大家有個簡單了解。

1. LOIC

LOIC 是一個頗受歡迎的 DOS 攻擊的淹沒式工具,會產生大量流量,可以在多種平臺運行,包括 Linux、Windows、Mac OS、Android 等。早在 2010 年,黑客組織對反對維基解密的公司和機構的攻擊活動中,該工具被下載了 3 萬次以上。

LOIC 界面友好,易于使用,初學者也可以很快上手。但是由于該工具需要使用真實 IP 地址,現在已經停用。

2. HULK (HTTP Unbearable Load King)

HULK 是另一個 DOS 攻擊工具,這個工具使用 UserAgent 的偽造,來避免攻擊檢測,可以通過啟動 500 線程對目標發起高頻率 HTTP GET FLOOD 請求,更可怕的是每一次請求都是獨立的,可以繞過服務端的緩存措施,讓所有請求得到處理。HULK 是用 Python 語言編寫,對獲得的源碼進行更改也非常方便。

3. R.U.D.Y.

R-U-Dead-Yet 是一款采用慢速 HTTP POST 請求方式進行 DOS 攻擊的工具,它提供了一個交互式控制臺菜單,檢測給定的 URL,并允許用戶選擇哪些表格和字段應用于 POST-based DOS 攻擊,操作非常簡單。

而且,它也使用的是 Python 語言編寫,可移植性非常好。R.U.D.Y. 能夠對所有類型的 Web 服務端軟件造成影響,因此攻擊的威脅非常大。這些工具在保持攻擊力的同時還再加強易用性,而免費和開源降低了使用門檻。隨著攻防對抗的升級,工具會越來越智能化。

最后聊聊 DDoS 的防御

我的導師教過我:DDoS 攻擊只是手段,最終目的是永遠的利益。而未來網絡戰爭將出現更加廣泛的、更加頻繁的和更加精準的攻擊。面對這些攻擊來臨時,我們應如何應對?

1. 設置高性能設備

要保證網絡設備不能成為瓶頸,因此選擇路由器、交換機、硬件防火墻等設備時要盡量選用知名度高、口碑好的產品。并且,假如和網絡提供商有特殊關系或協議的話就更好了,當大量攻擊發生時請他們在網絡接點處做一下流量限制來對抗某些種類的 DDoS 攻擊是非常有效的。

2. 帶寬得保證

網絡帶寬直接決定了能抗受攻擊的能力,假若僅僅只有 10M 帶寬的話,無論采取什么措施都很難對抗現在的 SYN Flood 攻擊。所以,最好選擇 100M 的共享帶寬,當然是掛在 1000M 的主干上了。

3. 不要忘記升級

在有網絡帶寬保證的前提下,請盡量提升硬件配置,要有效對抗每秒 10 萬個 SYN 攻擊包。而且最好可以進行優化資源使用,提高 web server 的負載能力。

4. 異常流量的清洗

通過 DDoS 硬件防火墻對異常流量的清洗過濾,通過數據包的規則過濾、數據流指紋檢測過濾、及數據包內容定制過濾等頂尖技術能準確判斷外來訪問流量是否正常,進一步將異常流量禁止過濾。

5. 考慮把網站做成靜態頁面

將網站盡可能做成靜態頁面,不僅能大大提高抗攻擊能力,而且還給黑客入侵帶來不少麻煩,最好在需要調用數據庫的腳本中,拒絕使用代理的訪問,經驗表明,使用代理訪問你網站的 80% 屬于惡意行為。

6. 分布式集群防御

這是目前網絡安全界防御大規模 DDoS 攻擊的一種有效辦法。分布式集群防御的特點是在每個節點服務器配置多個 IP 地址,并且每個節點能承受不低于 10G 的 DDoS 攻擊,如一個節點受攻擊無法提供服務,系統將會根據優先級設置自動切換另一個節點,并將攻擊者的數據包全部返回發送點,使攻擊源成為癱瘓狀態,從更為深度的安全防護角度去影響企業的安全執行決策。

就 DDoS 防御方面來說,目前主要是兩個方面,大流量攻擊可以交給運營商及云端清洗,小流量攻擊可以在企業本地進行設備防護,這個分界點根據行業及業務特性的不同會有所差異,大概的量級應該在百兆 BPS 左右。相關的緩解與治理,有興趣的童鞋可以看看鮑旭華的《破壞之王》,會有不小的啟示。

其實,對抗 DDoS 攻擊是一個涉及多個層面的問題,在有的環節,有效性和收益率并不對等。所以需要各方面合作,用戶也可以多多聽聽專家意見,針對攻擊事先做好應對的應急方案。有句話說:“god helps those who help themselves?!?翻譯過來就是,天助自助者,因此面對 DDoS 攻擊,大家需要具備安全意識,完善自身的安全防護體系才是正解。

寫在最后

隨著全球互聯網業務的快速發展和云計算的發展浪潮,可以預見到,針對云數據中心的 DDoS 攻擊頻率還會大幅度增長,攻擊手段也會更加復雜。安全工作是一個長期持續性而非階段性的工作,所以需要時刻保持一種警覺。此外,網絡安全不僅僅是某個企業的責任,更是全社會的共同責任,需要大家共同努力。


原文發布時間:2020-06-15
本文作者:綠盟科技



電話

24小時熱線:

4006-371-379

咨詢電話:

0371-55056677

0371-55056699


舉報

“掃黃打非”舉報專區:


您可以通過郵箱舉報的方式向我們舉報不良信息,將舉報類型、舉報網址、舉報IP、舉報描述、違法截圖以及您的聯系方式等信息發送至我們的郵箱:

support@htuidc.com

又大又粗欧美黑人A片