DDoS是什么?一篇看懂黑客爱用的DDoS攻击方式及如何防范!
说到DDoS攻击,不论企业组织的规模大小,都可能成为网络攻击的目标。甚至早在2020年,AWS(Amazon Web Services)也曾经阻挡过一次重大的攻击事件!因此,无论你是何种行业,所有企业都应该具备保护网站免受于DDoS攻击的能力,尤其是那些存在安全性缺口或弱点的企业,将会面临更大的风险。在本文中,我们将深入探讨DDoS是什么?探讨黑客最常使用的攻击方式,并提出预防这些攻击的解决方法,让我们一同深入探讨这个至关重要的网络安全主题!
DDoS是什么?
DDoS是什么?全名为Distributed Denial-of-Service,中文又称为「分散式阻断服务」,这是一种极为常见的网路威胁,它可能会对你的业务运营、线上安全性、销售业绩,以及商誉造成严重威胁!攻击者会在背后操控异常流量涌入目标网站,为了破坏网路服务,通过耗尽应用程式的资源,使网站和伺服器无法正常运作,甚至直接将其下线。
为什么要发动DDoS攻击?
DDoS攻击的受害者相当广泛,经常针对知名网站或金融服务体系进行攻击,包括全球各种产业的公司。其中,游戏业、电子商务和电信业等,最容易成为攻击目标,受到攻击的次数明显高于其他行业!至于为什么要发动DDoS攻击?常见的攻击原因有骇客勒索、竞争对手的攻击、资料窃取和纯粹的恶作剧等。
DDoS攻击的原理?有哪些攻击现象?
想要更清楚知道DDoS是什么?你可以这样理解,DDoS(分散式阻断服务)就是DoS(阻断服务)的攻击升级版本。因此,在DDoS攻击中,骇客通常会派发大量的服务请求或网路封包,导致受害方的系统主机发生网路频宽超出负荷,或是资源被耗尽。通常会有一连串的机器人或僵尸网路,透过HTTP请求和流量涌入特定网站或服务,强迫网页或游戏伺服器中断服务,让用户无法正常使用。
这种拒绝服务攻击可以持续数小时,甚至是数天。无论是个人还是企业设备,都可能成为这类攻击的受害者!如果你想要检查自己的系统是否受到了DDoS攻击,以下是一些常见的攻击征兆,可以帮助你快速识别DDoS攻击:
- 网路速度异常缓慢:打开档案或造访网站时,如果网路表现明显迟缓,可能是DDoS攻击的征兆。
- 来自单个IP地址或IP范围的可疑流量:当来自特定IP地址或IP范围的流量显著增加,特别是在短时间内,可能表明遭受了攻击。
- 大量流量来自具有相似行为特征的用户:突然间大量流量来自拥有相似的地理位置、设备类型,或是相同Web浏览器版本的用户,可能是DDoS攻击者的手法。
- 请求突然激增且无法解释:突然对特定的单一页面或端点的请求激增,而且难以解释激增的原因,这可能就是DDoS攻击的迹象之一。
- 奇怪的流量模式:在非正常时段的流量突然激增,或者出现不寻常的模式,像是每10分钟一次就定期的激增,都可能表明受到攻击。
DDoS常见的攻击类型
DDoS攻击呈现多样化的威胁,包含各种攻击类型,其中「频宽消耗型」和「资源消耗型」是最为常见且广受黑客喜爱的DDoS攻击。尽管这两者的攻击手法有所不同,但目标都是让企业无法正常提供服务。下方深入研究这两种主要的DDoS攻击方式,以助你更全面了解这项网路安全挑战。
一、频宽消耗型
了解频宽消耗型的DDoS是什么特别重要,因为这是DDoS最常见的攻击类型之一!这种攻击会透过发送大量且无效的数据请求,试图淹没目标伺服器的频宽,故意让频宽达到饱和的状态,进而让正常用户无法进入,严重的甚至导致网页崩溃,形成一种瘫痪攻击。下方为频宽消耗型的常见攻击手法:
1. Memcached 放大攻击
专注于企业攻击的黑客,往往会选择使用Memcached进行DDoS攻击,因为会使用Memcached服务的伺服器,大多都属于商用型server,具有较宽大的服务频宽。然而,这种情境反而为DDoS攻击提供了优势,攻击者通常会利用UDP封包来传送资料,更利于伪造封包。
2. NTP 放大攻击
NTP放大式攻击是针对NTP伺服器的弱点进行攻击,台湾有许多家证券商公司都遭受这类型的DDoS攻击,过往曾经受害的证券商有凯基证券、元大证券、亚东证券等,而这些攻击主要以NTP攻击为主,会使原本网站的流量突然大幅增加。
3. DNS 放大攻击
攻击者会向目标主机发送大量的UDP封包,借此阻断目标主机的正常服务。这种攻击被称为DNS放大攻击,因为受害的DNS主机回传到「目标主机的封包大小」会大于「攻击者所发送的封包大小」,这导致攻击过程中的流量呈现放大效果。如果目标主机没有做好相应的防护措施,网路环境就会很容易被攻击者瘫痪!
二、资源消耗型
资源消耗型的DDoS是什么?与宽频消耗型的DDoS攻击不同,这种攻击类型是为了使受害方的伺服器持续进行反覆且无效的操作,进而耗尽网页资源,最终无法回应正常用户的请求或提供服务。资源消耗型的常见攻击手法,分成以下两种攻击模式:
1. SYN Flood攻击
SYN Flood是目前最盛行的DDoS攻击方式之一,它会利用TCP协议上的缺陷,大量发送伪造的TCP连接请求。如此一来,攻击目标的资源,像是CPU或记忆体就会被消耗殆尽,从而实现攻击的目的。
2. Slow Attack 低速缓慢攻击
低速缓慢攻击和一般的大规模DDoS攻击不同,它利用极度缓慢的HTTP或TCP流量,对Web服务进行阻止,其特点是难以被察觉,而且只需要一台攻击者的机器,就足以成功发起低速缓慢攻击。
企业该如何防范DDoS攻击?
DDoS攻击经常让企业损失惨重,不仅可能面临高额庞大的赎金勒索,还可能因资料外泄而导致客户对企业的信任丧失。因此,防范DDoS成为每一间企业必须面对的挑战,可以从以下4大方向做好DDOS防护策略!
一、防火墙
防火墙是系统中最基本的防护工具之一,主要用于对抗资源消耗型的DDoS攻击,例如:SYN Flood攻击、应用层DDoS攻击等。防火墙的作用在于辨识流量中的攻击封包,并将其隔离,以有效降低DDoS攻击的威胁。
二、交换器与路由器
大部分的交换器和路由器,都具有速率限制和存取控制(ACL)的防护机制。交换器的特点在于它可以进行Traffic Shaping机制,这有助于防范低速缓慢攻击和SYN Flood攻击;而路由器则可以启用入口过滤(Ingress Filtering)机制,以防范伪造IP位址的SYN Flood等攻击。当这两者同时使用时,能够实现「检测和过滤封包的来源IP位址」的功能。
三、网路流量清洗
网路流量清洗服务主要分为两种:常驻防御、动态防御。在常驻防御中,企业所有的流量都被引导到清洗中心,全天候进行分析;而在动态防御中,平时不将流量引入,但一旦检测到攻击发生,即时引导流量进行分析。目前,大多数服务商已经能够针对Memcached DDoS攻击、NTP DDoS攻击,以及DNS放大攻击等提供清洗和防护。
四、入侵防御系统(IPS)
这种防御系统的全名是Intrusion-Prevention Systems,可以针对异常流量进行特殊的特征比对,如果发现异常流量就会进行阻挡和服防护。它能够针对不同特性和特定通讯协定方式的DDoS攻击,例如:SYN Flood、应用层DDoS攻击等,提供有效的防护。
结论
现今的DDoS攻击呈现多样化的种类、数量和手法,使得企业难以仅依赖单一机制或系统达到全面的防范,该怎么有效防范DDoS攻击呢?别担心!启恒国际为各大企业提供一站式解决方案,透过Microud不限流量云主机,专注于网路安全环境及系统网站建置,提供业务发展所需的服务,例如:ECS安全组强化(虚拟防火墙)具备状态检测包的过滤功能,可以有效过滤所有隐患,以及DDoS WAF可以保护应用程式、网站、API,再也不怕针对网路和应用程式层的恶意流量威胁!若您有建置云端主机的需求,欢迎与我们联络。
