DDOS网络攻击中常见的攻击方式。在进行攻击的时候,这种方式可以对不同地点的大量计算机进行攻击,进行攻击的时候主要是对攻击的目标发送超过其处理能力的数据包,使攻击目标出现瘫痪的情况,不能提供正常的服务。
01、什么是DDOS攻击
分布式拒绝服务攻击(英文意思是Distributed Denial of Service,简称DDoS)是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击,或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点是分布在不同地方的,这类攻击称为分布式拒绝服务攻击,其中的攻击者可以有多个。
一个完整的DDoS攻击体系由攻击者、主控端、代理端和攻击目标四部分组成。主控端和代理端分别用于控制和实际发起攻击,其中主控端只发布命令而不参与实际的攻击,代理端发出DDoS的实际攻击包。对于主控端和代理端的计算机,攻击者有控制权或者部分控制权.它在攻击过程中会利用各种手段隐藏自己不被别人发现。真正的攻击者一旦将攻击的命令传送到主控端,攻击者就可以关闭或离开网络.而由主控端将命令发布到各个代理主机上。这样攻击者可以逃避追踪。每一个攻击代理主机都会向目标主机发送大量的服务请求数据包,这些数据包经过伪装,无法识别它的来源,而且这些数据包所请求的服务往往要消耗大量的系统资源,造成目标主机无法为用户提供正常服务。甚至导致系统崩溃。
02、事情大致经过
7月20日11点左右,某网站遭遇DDOS攻击,攻击峰值达200G以上,waf防火墙首当其冲,服务压力直线上升,高防的占用带宽曲线火箭式凸起,各种报警也如期而至,顿时如临大敌,……此处略去5000字……
03、攻击分析
从ddos攻击的原理可知,这是网络安全领域最难防的一种攻击方式,攻防之间的较量拼的是硬实力,100G的攻击需要用120G的防护,1000G的攻击需要1200G的防护,拼的就是谁的设备多,谁的硬件硬。而攻击者通过直接或间接控制网络中的终端(俗称肉鸡)发起攻击的前提是收购肉鸡,其实成本也是很高的,所以一般无利可图的情况下没必要发起这种攻击,它和那些新手蛋子整点小花样发起的sql注入、跨站以及远程脚步之类的攻击有本质的不同,所以如果遭受DDOS攻击,一般有以下几种原因:
1、绑架勒索。通过发起攻击再卖你安全防护产品,这和以前的杀毒软件先制毒一个道理。
2、同业竞争。这个很好理解,毕竟同业相轻,搞你几次坏你的名声,这样用户会对你产生负面看法,从而远离你到你的竞争对手那里,这种手段很卑劣,但是商场如战场,兵不厌诈,不过投产比也高不到哪里去,一般逼不到份上不会搞。
3、逼你扩容。这也是一种变相的绑架勒索,贼喊捉贼,告诉你增加设备,升级配置,增强防护,所谓家贼难防,这种是最恶心的,因为云计算也是另一种形式的中心化,家底都在服务商那里,真想搞你也是分分钟的事情。
4、散兵游勇。网络上的业余黑客也不少,抱着各种各样的心态刷存在感,时不时的弄几波攻击练练手是家常便饭,偶尔也会泛起点大风浪,不过一般不会持续太久,顶多算是过路“黑客”。
这几个情况也有可能是同时发生,比如同业竞争者自己的攻击水平不行,就找一些专业“杀手”代办,代理人乘机再勒索一把,两边收钱,确实没用职业道德,不过这些人本来干的就是见不得光的事情,谈职业道德就有点可笑了。
04、防范措施
DDOS攻击的最大特点是没有有效的防护措施(从性价比的角度),你可以弄个上千G带宽防护,那一年没有上千万的投入是不够的的,对一些小公司来说倒是有一些小技巧再一定程度上起到防范的效果。
1、隐藏真实的ip的地址。每一个域名都需要被解析后才能访问,这个被解析后的ip一定不要用真实的ip地址,如果加了waf防护,解析的是waf的ip,如果用了负载均衡地址,解析的是负载的ip,如果什么都没用,那就是实际的应用服务器的ip,无论是那种解析方式,其ip对应的设备都可能被攻击(因为这种解析是必须要做的,最终都必须要暴露一个ip),一旦waf或负载或服务器被攻击,最直接的结果就是waf失灵,负载失效,服务器崩溃,最有效的手段是弄一个高防的ip(专门清洗恶意流量的集群用于防护)分散攻击流量,后面再用上防火墙,负载等常规设备。
2、巧用CDN。安全产品的价格都是非常高的,一套标准的waf一年没有个10几万也拿不下来,更别说高防ip,那都是论月论天收费的。但是CDN基本是标配,成本相对来说要低很多,另外cdn本身具有分散,多点的特征,将全站直接解析到高防CDN上,即可以加速又可以防护,岂不是一箭双雕!不过,也别高兴的太早,有可能高防CDN只是加速行,安全防护却不在行,不过这是个思路,有兴趣的可以试试,万一可以呢!
建议cdn不要对任何静态文件进行加速,只利用其分流恶意流量,为后端服务器减压。
3、手动清洗。如果服务的中断不可避免,那么需要考虑的就是如何更快速的恢复服务,很多云服务提供商为了降低攻击对整个网络的影响,就直接粗暴的把你的服务拉入黑洞,并无法自动解除,只能等待,这个时候服务的中断时间就完全不可控了,而一旦采购了某个安全产品,就可以手动解除黑洞(其实是清洗恶意流量),这样基本确保可以10分20分钟就可以恢复服务。但是如果持续不间断的攻击,这种方法就不行了,因为解除黑洞是以攻击短期性为前提的,否则解除了又拉黑,就没有意义了。
05、写在最后
涛哥一直说IT之于业务就像空气之于生命,平时感觉不到它的存在,一旦失去,就会性命堪忧。对于IT来说,安全问题又何尝不是如此!