DDoS攻击几乎成为广大用户在网站使用过程中的绊脚石。下面将为您介绍这个攻击到底是什么、分为哪几种以及如何进行识别。
该攻击指的是分布式拒绝服务攻击,在攻击中,多个受感染的计算机系统攻击一个目标并导致目标资源的用户拒绝服务。该攻击的目标包括服务器、网站或其他网络资源。传入目标系统的大量消息、连接请求或格式错误的数据包迫使目标系统减速甚至崩溃和关闭,从而拒绝为合法用户或系统提供服务。
从个人犯罪黑客到有组织的犯罪团伙和政府机构,许多类型的威胁行为者都会进行DDoS攻击。在某些情况下——通常与糟糕的编码、缺少补丁或不稳定的系统有关——即使是对目标系统的合法、不协调的请求,当它们只是系统性能的巧合失误时,也可能看起来像DDoS攻击。
在典型的DDoS攻击中,攻击者利用一个计算机系统中的漏洞,使其成为DDoS主机。攻击主系统识别其他易受攻击的系统并通过使用恶意软件感染它们或通过猜测广泛使用的系统或设备上的默认密码等方法绕过身份验证控制来控制它们。
入侵者控制下的计算机或网络设备被称为僵尸或机器人。攻击者利用对于所谓的命令和控制服务器的创建来控制僵尸网络。这时候第一个被招入僵尸网络中的系统可被用于控制僵尸网络中其他系统的传播和活动。
僵尸网络可以由几乎任意数量的僵尸程序组成;具有数万或数十万节点的僵尸网络变得越来越普遍。它们的大小可能没有上限。僵尸网络组装完成后,攻击者可以使用受感染设备产生的流量来淹没目标域并使其脱机。
DDoS 攻击的目标并不总是唯一的受害者,因为DDoS攻击涉及并影响许多设备。用于将恶意流量路由到目标的设备也可能遭受服务降级,即使它们不是主要目标。
该攻击主要分为三种:
以网络为中心或容量攻击。这些通过使用数据包泛洪消耗可用带宽来使目标资源过载。此类攻击的一个示例是域名系统放大攻击,它使用目标的Internet 协议 (IP) 地址向DNS服务器发出请求。然后服务器用响应压倒目标。
协议攻击。这些目标网络层或传输层协议使用协议中的缺陷来压倒目标资源。例如,SYN泛洪攻击使用欺骗的源IP地址向目标IP地址发送大量“初始连接请求”数据包。这拖长了传输控制协议握手,由于不断涌入的请求,该握手永远无法完成。
应用层。在这里,应用程序服务或数据库因大量应用程序调用而过载。数据包的泛滥会导致拒绝服务。这方面的一个例子是超文本传输协议泛洪攻击,这相当于一次又一次地刷新许多网页。
DDoS攻击流量本质上会导致可用性问题。可用性和服务问题是网络上的正常现象。能够区分这些标准操作问题和 DDoS 攻击非常重要。
有时,DDoS攻击看起来很普通,因此了解要查找的内容很重要。需要进行详细的流量分析,以首先确定是否正在发生攻击,然后确定攻击的方法。
下面列出了可能指示DDoS攻击的网络和服务器行为示例。这些行为中的一种或多种应引起关注:
一个或多个特定 IP 地址在短时间内发出许多连续请求。
流量激增来自具有相似行为特征的用户。例如,如果大量流量来自类似设备、单个地理位置或相同浏览器的用户。
尝试使用Ping服务对其进行测试时,服务器超时。
服务器以503 HTTP错误进行响应,这意味着服务器过载或停机以进行维护。
日志显示带宽出现强烈且一致的峰值。即使对于正常运行的服务器,带宽也应该保持不变。
日志会在不寻常的时间或以通常的顺序显示流量峰值。
日志显示到一个端点或网页的流量出现异常大的峰值。
这些行为还可以帮助确定攻击的类型。如果它们在协议或网络级别——例如,503 错误——它们很可能是基于协议或以网络为中心的攻击。如果行为显示为应用程序或网页的流量,则可能更能表明应用程序级攻击。
在大多数情况下,一个人不可能跟踪确定攻击类型所需的所有变量,因此有必要使用网络和应用程序分析工具来自动化该过程。
综上所述,对于DDoS攻击的重视成为大势所趋,如何预防DDoS攻击或者如何选择提供DDoS防护服务的产品也成为了用户必须要了解的话题。