一文摸透DDoS攻擊所有概念,值得收藏!

一、到底什麼是DDoS攻擊

DDoS是Distributed Denial of Service的簡稱,中文是分佈式拒絕服務。這有點拗口吧?這樣,我們先理解下DDoS的前身DoS(Denial of Service),即拒絕服務。

最基本的DoS攻擊就是攻擊者利用大量合理的服務請求來占用攻擊目標過多的服務資源,從而使合法用戶無法得到服務的響應。DoS攻擊一般是采用一對一方式的,當攻擊目標各項性能指標不高時(例如CPU速度低、內存小或者網絡帶寬小等等),它的效果是明顯的。

隨著計算機與網絡技術的發展,計算機的處理能力與網絡帶寬迅速增長。這使得DoS攻擊的困難程度大大增加瞭,因為攻擊目標對這些惡意服務請求的“消化能力”加強瞭很多。

既然一個攻擊者無法使目標“拒絕服務”,那麼就需要多個攻擊者同時發起分佈式攻擊瞭,這時DDoS攻擊也就應運而生瞭。

DDoS攻擊是指攻擊者控制僵屍網絡中的大量僵屍主機(肉雞)向攻擊目標發送大流量數據,耗盡攻擊目標的系統資源,導致其無法響應正常的服務請求。

如果大傢覺得以上描述很深奧,那麼我來換一種易懂的說法。小時候,我們都聽說過餐廳很難開,因為需要“白道黑道都有關系”。

如果一傢餐廳希望他的競爭對手無法正常營業,他們會采取什麼手段呢?(純屬虛構,請勿模仿)

首先他會雇傭一個惡霸,惡霸會找來一群小混混,讓他們扮作普通客戶一直占用對手餐廳的座位賴著不走,這樣真正的客戶就無法就餐瞭;

或者讓混混們總是和對手餐廳的服務員閑扯,讓服務員不能正常服務客戶;

也可以為對手餐廳的老板提供虛假信息,讓他們上上下下忙成一團之後卻發現是一場空,卻最終忽略瞭真正的客戶。

恩,這裡的惡霸就是攻擊者,小混混就是傀儡主機,對方餐廳就是攻擊目標,采取的種種手段就是DDoS攻擊,最終的結果是對方餐廳損失慘重,甚至關門大吉。

二、DDoS攻擊兩大特點

DDoS發起攻擊容易,攻擊者很容易從互聯網獲取各類DDoS攻擊工具,從而發起攻擊。

比較出名的免費工具有盧瓦(LOIC)、HOIC(LOIC升級版)、XOIC、Hulk、DAVOSET、黃金眼等。而且更絕妙的是,DDoS攻擊者往往可以借助正常的普通軟件或網站發起攻擊,例如歷史上著名的“暴風影音”事件和“搜狐視頻”事件。

DDoS攻擊受害者防禦難度大,攻擊會損害受害者的金錢、服務和信譽。報告顯示,65%以上的DDoS攻擊每小時給受害企業造成的損失高達一萬美金。

例如最近針對美國DNS服務提供商Dyn公司的一波DDoS攻擊導致Twitter、GitHub、BBC、華爾街日報、Xbox官網、CNN、HBO Now、星巴克、紐約時報、The Verge、金融時報等大量站點無法正常訪問。如下圖所示,這幾乎就是半個美國的互聯網都癱瘓瞭啊,那損失可不止每小時數萬美金,簡直是無法估量!

三、DDoS攻擊三大動機

一切事物出現都有其動機。欲破解DDoS攻擊,必先瞭解其動機。政治分歧、惡意競爭、敲詐勒索、經濟犯罪是DDoS攻擊的主要動機。

1、政治動機型攻擊慣於采用大規模網絡攻擊,攻擊目標一般是銀行和政府網站或者DNS服務器,影響范圍大,容易引起民眾大范圍恐慌,堪稱網絡攻擊的“核武器”。

例如“土耳其攻擊事件”, 著名黑客組織匿名者發佈視頻向土耳其宣戰譴責其支持某極端組織,由此引發針對土耳其DNS根服務器的大規模網絡攻擊,導致土耳其400,000個網站離線。

2、惡意競爭、敲詐勒索則屬於對特定業務系統的精準打擊,攻擊行為越來越像“特種部隊”。

例如“網遊大戰”事件,電競選手PhantomL0rd為瞭保住自己的“王”位,采用瞭惡意競爭手段。他勾結黑客組織DERP Trolling,每當自己遊戲即將失敗時,便召喚DERP Trolling使用DDoS攻擊攻癱遊戲服務器,導致遊戲異常終端。英雄聯盟、EA官網、暴雪戰網、DOTA2官網、企鵝俱樂部等等知名遊戲網站都因遭到DDoS攻擊而癱瘓。這真是赤裸裸的“打不過就拔網線啊!”

3、經濟犯罪則大多屬於聲東擊西式的“煙霧彈”,以大流量攻擊轉移安全人員的註意力,掩蓋其數據竊取的真實目的。當前比較流行的做法是黑客通過大流量DDoS攻擊吸引註意力,掩護潛伏的APT攻擊完成最後的數據竊取。

三、DDoS攻擊分類

知己知彼,百戰不殆。在前幾篇技術帖中,我們已經學習瞭幾種經典DDoS攻擊。在這裡我們再來系統總結下DDoS攻擊的種類。

DDoS攻擊按攻擊方式劃分有:泛洪攻擊(Flood)、畸形報文攻擊(Malformation)、掃描探測類攻擊(Scan&Probe)。

1、泛洪攻擊,也叫Flood攻擊,是指攻擊者通過僵屍網絡、代理或直接向攻擊目標發送大量的偽裝的請求服務報文,最終耗盡攻擊目標的資源。發送的大量報文可以是TCP的SYN和ACK報文、UDP報文、ICMP報文、DNS報文、HTTP/HTTPS報文等。

近年來,泛洪攻擊又發展出瞭一種高級形式,我們稱之為反射攻擊。顧名思義,反射攻擊並不是直接向攻擊目標發起大量服務請求,而是攻擊者控制僵屍網絡中的海量僵屍主機偽裝成攻擊目標,都以攻擊目標的身份向網絡中的服務器發起大量服務請求。網絡中的服務器會響應這些大量的服務請求,並發送大量的應答報文給攻擊目標,從而造成攻擊目標性能耗盡。

反射攻擊大多是由UDP Flood變種而來,反射的是UDP報文,例如NTP、DNS、SSDP、SMTP、Chargen等。為什麼選中UDP呢?因為UDP的響應(Reponse)報文大小要大於請求(request)報文,這樣攻擊者就實現瞭對攻擊流量的放大。以NTP報文為例,NTP的Monlist命令用來查詢主機最近所有和服務器通信的記錄,服務器會返回最多600個通信記錄,這樣流量就被放大瞭數百倍。如果攻擊者控制成千上萬的傀儡機偽裝成攻擊目標大量發送此命令給NTP服務器,那麼反射給攻擊目標的流量可想而知!

2、畸形或特殊報文攻擊通常指攻擊者發送大量有缺陷或特殊控制作用的報文,從而造成主機或服務器在處理這類報文時系統崩潰。畸形報文攻擊例如Smurf、Land、Fraggle、Teardrop、WinNuke攻擊等。特殊控制報文攻擊包括超大ICMP報文、ICMP重定向報文、ICMP不可達報文和各種帶選項的IP報文攻擊。

3、掃描探測類攻擊是一種潛在的攻擊行為,並不具備直接的破壞行為,通常是攻擊者發動真正攻擊前的網絡探測行為,例如IP地址掃描和端口掃描等。

四、DDoS攻擊天下大勢

通過以上描述,大傢應該對DDoS攻擊有瞭初步的瞭解。下面再為大傢分析下當前DDoS攻擊的“天下大勢”,讓大傢對我們當今所處網絡環境的DDoS攻擊有一個初步的認識。

根據華為未然實驗室現網攻擊事件統計數據顯示,SYN Flood、UDP Flood(包括UDP類反射放大攻擊)、HTTP Get Flood、DNS Query Flood依然是DDoS攻擊的慣用手段。

下面我就來一一點評下榜單上這些“大佬”們的上榜原因。

  • SYN Flood:SYN Flood是DDoS攻擊經典中的經典,是最古老和原始的DDoS攻擊。在網絡發展初期,SYN Flood攻擊簡直就是DDoS攻擊的代名詞。SYN Flood之所以經久不衰,是因為他完全秉承瞭DDoS攻擊的攻擊簡單、防禦難的特質。SYN Flood攻擊使用的是最簡單和常用的用於TCP三次握手的SYN報文,所以他發起攻擊十分簡單;而且由於SYN報文是正常報文,所以對於單個報文來看防禦設備是不會采取任何措施的。
  • UDP Flood:UDP Flood已經取代SYN Flood攻擊,成為DDoS攻擊中的“一哥”。其“成功”的原因主要有三點,一是UDP協議都是無連接的協議,不提供可靠性和完整性校驗,這就成為瞭攻擊者理想的利用對象;二是UDP協議種類繁多,五花八門,防禦起來難度更大;三也是徹底改變格局的是反射攻擊的流行。傳統UDP攻擊是攻防者帶寬的比拼,誰的帶寬大誰贏得勝利,而反射型的UDP攻擊讓攻防者不再對等,因為反射出來的攻擊流量要遠遠大於攻擊者投入的流量。
  • HTTP Flood:除瞭兩大傳統巨頭SYN Flood和UDP Flood外,DDoS攻擊榜探花的位置一直是競爭激烈的。HTTP Flood之所以能夠脫穎而出,一是因為HTTP協議應用實在是太廣泛瞭,他在我們的工作生活中無處不在。二是網頁和應用中的漏洞比較容易被攻擊者利用來構造HTTP反射類的攻擊。例如在海量訪問的網頁嵌入指向攻擊目標網站的惡意javaScript代碼,當互聯網用戶訪問該網頁時,則流量被反射到攻擊目標網站。
  • DNS Flood:攻擊DNS服務器的代價小,影響范圍廣,能夠造成恐慌,因此DNS Flood攻擊類型仍占有較大比例,是政治動機型DDoS攻擊的首選。

遊戲行業作為近幾年興起的新興行業,已經成為瞭DDoS攻擊的重災區。遊戲競爭行業也是競爭最激烈的行業之一,在線遊戲和直播網站,一旦被攻擊,將直接造成玩傢掉線,這個損失巨大到可能讓遊戲企業直接面臨死亡。而且遊戲行業用戶基數大、用戶類型多、在線維護難度大的特點,也使得遊戲行業成為極易受到攻擊的目標行業。另外,由於很多遊戲基於私有協議開發,傳統DDoS防禦手段在沒有貼合業務特性的情況下,防禦DDoS攻擊常常面臨較大困難。

最後,再來預測下DDoS攻擊的趨勢。總結起來主要有4點,如下圖所示。當然,每個人心中都有一個哈姆雷特,歡迎大傢來共同探討DDoS攻擊的趨勢。

  • 攻擊流量越來越大

當人們還在津津樂道2014年12月份阿裡雲遭受的史上最強DDoS攻擊流量達到453Gb/s時,DDoS的攻擊流量已經悄然進入500G時代。據報告顯示,2016年上半年,規模最大的DDoS攻擊流量已經達到579Gb/s。流量超過100Gb/s的DDoS攻擊274起,流量超過200Gb/s的DDoS攻擊46起。

另外,根據預測,2016年底DDoS平均攻擊流量將會達到1.15Gb/s。不要小看這個數據,其實,11 Gb/s的DDoS攻擊足以使大多數網絡組織完全離線。

  • 移動攻擊越來越多

隨著智能終端和4G移動網絡的普及,來自移動端的攻擊越來越多。移動終端的安全防護能力和用戶安全意識較弱,容易成為DDoS攻擊利用的對象。值得一提的是隨著物聯網的興起,基於物聯網協議SSDP(Simple Service Discovery Protocol)的反射攻擊頻率越來越多,明顯超越NTP、DNS等傳統反射攻擊,成為反射攻擊新寵。SSDP協議廣泛應用於網絡攝像頭和智能傢電,因此SSDP反射攻擊源數量非常龐大,而且網絡資源更加豐富。

  • 應用型攻擊越來越普遍

應用層的攻擊將會越來越普遍。據報告顯示,2015與2014相比,應用型攻擊增長瞭42%。其中HTTP Flood攻擊高達26%,混合型攻擊高達40%。

混合型攻擊是指攻擊者同時采取多種類型的攻擊報文來進行DDoS攻擊,例如傳輸層與應用層相結合的DDoS攻擊,應用層的HTTP Flood大流量攻擊與HTTP慢速小流量滲透攻擊相結合。混合型DDoS攻擊剛柔相繼,長短結合,讓普通的DDoS防禦設備難以防范,將成為今後主流的DDoS攻擊。

  • 更多從數據中心發起的攻擊

據報告顯示,由數據中心向外發起的DDoS攻擊呈增長趨勢;數據中心服務器被黑客控制淪為僵屍網絡的趨勢也與日劇增;超大流量的DDoS攻擊多數由數據中心發起。由此可見數據中心已經成為DDoS攻擊的溫床。

同時隨著雲計算的快速發展,互聯網業務越來越集中化,雲數據中心將面臨比傳統數據中心更加嚴峻的DDoS攻擊考驗。主要原因在於雲數據中心虛擬機的租戶身份難以有效識別、安全意識薄弱;虛擬機數量龐大,業務種類多,流量模型差別大,難以做到針對性的防護。

相信大傢在看完這篇帖子後會對DDoS攻擊的概念和大勢有瞭詳細的認識。

赞(0)