DDoS是什麼?一篇看懂黑客愛用的DDoS攻擊方式及如何防範!
說到DDoS攻擊,不論企業組織的規模大小,都可能成為網路攻擊的目標。甚至早在2020年,AWS(Amazon Web Services)也曾經阻擋過一次重大的攻擊事件!因此,無論你是何種行業,所有企業都應該具備保護網站免受於DDoS攻擊的能力,尤其是那些存在安全性缺口或弱點的企業,將會面臨更大的風險。在本文中,我們將深入探討DDoS是什麼?探討黑客最常使用的攻擊方式,並提出預防這些攻擊的解決方法,讓我們一同深入探討這個至關重要的網絡安全主題!
DDoS是什麼?
DDoS是什麼?全名為Distributed Denial-of-Service,中文又稱為「分散式阻斷服務」,這是一種極為常見的網路威脅,它可能會對你的業務運營、線上安全性、銷售業績,以及商譽造成嚴重威脅!攻擊者會在背後操控異常流量湧入目標網站,為了破壞網路服務,通過耗盡應用程式的資源,使網站和伺服器無法正常運作,甚至直接將其下線。
為什麼要發動DDoS攻擊?
DDoS攻擊的受害者相當廣泛,經常針對知名網站或金融服務體系進行攻擊,包括全球各種產業的公司。其中,遊戲業、電子商務和電信業等,最容易成為攻擊目標,受到攻擊的次數明顯高於其他行業!至於為什麼要發動DDoS攻擊?常見的攻擊原因有駭客勒索、競爭對手的攻擊、資料竊取和純粹的惡作劇等。
DDoS攻擊的原理?有哪些攻擊現象?
想要更清楚知道DDoS是什麼?你可以這樣理解,DDoS(分散式阻斷服務)就是DoS(阻斷服務)的攻擊升級版本。因此,在DDoS攻擊中,駭客通常會派發大量的服務請求或網路封包,導致受害方的系統主機發生網路頻寬超出負荷,或是資源被耗盡。通常會有一連串的機器人或殭屍網路,透過HTTP請求和流量湧入特定網站或服務,強迫網頁或遊戲伺服器中斷服務,讓用戶無法正常使用。
這種拒絕服務攻擊可以持續數小時,甚至是數天。無論是個人還是企業設備,都可能成為這類攻擊的受害者!如果你想要檢查自己的系統是否受到了DDoS攻擊,以下是一些常見的攻擊徵兆,可以幫助你快速識別DDoS攻擊:
- 網路速度異常緩慢:打開檔案或造訪網站時,如果網路表現明顯遲緩,可能是DDoS攻擊的徵兆。
- 來自單個IP地址或IP範圍的可疑流量:當來自特定IP地址或IP範圍的流量顯著增加,特別是在短時間內,可能表明遭受了攻擊。
- 大量流量來自具有相似行為特徵的用戶:突然間大量流量來自擁有相似的地理位置、設備類型,或是相同Web瀏覽器版本的用戶,可能是DDoS攻擊者的手法。
- 請求突然激增且無法解釋:突然對特定的單一頁面或端點的請求激增,而且難以解釋激增的原因,這可能就是DDoS攻擊的跡象之一。
- 奇怪的流量模式:在非正常時段的流量突然激增,或者出現不尋常的模式,像是每10分鐘一次就定期的激增,都可能表明受到攻擊。
DDoS常見的攻擊類型
DDoS攻擊呈現多樣化的威脅,包含各種攻擊類型,其中「頻寬消耗型」和「資源消耗型」是最為常見且廣受黑客喜愛的DDoS攻擊。儘管這兩者的攻擊手法有所不同,但目標都是讓企業無法正常提供服務。下方深入研究這兩種主要的DDoS攻擊方式,以助你更全面了解這項網路安全挑戰。
一、頻寬消耗型
了解頻寬消耗型的DDoS是什麼特別重要,因為這是DDoS最常見的攻擊類型之一!這種攻擊會透過發送大量且無效的數據請求,試圖淹沒目標伺服器的頻寬,故意讓頻寬達到飽和的狀態,進而讓正常用戶無法進入,嚴重的甚至導致網頁崩潰,形成一種癱瘓攻擊。下方為頻寬消耗型的常見攻擊手法:
1. Memcached 放大攻擊
專注於企業攻擊的黑客,往往會選擇使用Memcached進行DDoS攻擊,因為會使用Memcached服務的伺服器,大多都屬於商用型server,具有較寬大的服務頻寬。然而,這種情境反而為DDoS攻擊提供了優勢,攻擊者通常會利用UDP封包來傳送資料,更利於偽造封包。
2. NTP 放大攻擊
NTP放大式攻擊是針對NTP伺服器的弱點進行攻擊,台灣有許多家證券商公司都遭受這類型的DDoS攻擊,過往曾經受害的證券商有凱基證券、元大證券、亞東證券等,而這些攻擊主要以NTP攻擊為主,會使原本網站的流量突然大幅增加。
3. DNS 放大攻擊
攻擊者會向目標主機發送大量的UDP封包,藉此阻斷目標主機的正常服務。這種攻擊被稱為DNS放大攻擊,因為受害的DNS主機回傳到「目標主機的封包大小」會大於「攻擊者所發送的封包大小」,這導致攻擊過程中的流量呈現放大效果。如果目標主機沒有做好相應的防護措施,網路環境就會很容易被攻擊者癱瘓!
二、資源消耗型
資源消耗型的DDoS是什麼?與寬頻消耗型的DDoS攻擊不同,這種攻擊類型是為了使受害方的伺服器持續進行反覆且無效的操作,進而耗盡網頁資源,最終無法回應正常用戶的請求或提供服務。資源消耗型的常見攻擊手法,分成以下兩種攻擊模式:
1. SYN Flood攻擊
SYN Flood是目前最盛行的DDoS攻擊方式之一,它會利用TCP協議上的缺陷,大量發送偽造的TCP連接請求。如此一來,攻擊目標的資源,像是CPU或記憶體就會被消耗殆盡,從而實現攻擊的目的。
2. Slow Attack 低速緩慢攻擊
低速緩慢攻擊和一般的大規模DDoS攻擊不同,它利用極度緩慢的HTTP或TCP流量,對Web服務進行阻止,其特點是難以被察覺,而且只需要一台攻擊者的機器,就足以成功發起低速緩慢攻擊。
企業該如何防範DDoS攻擊?
DDoS攻擊經常讓企業損失慘重,不僅可能面臨高額龐大的贖金勒索,還可能因資料外洩而導致客戶對企業的信任喪失。因此,防範DDoS成為每一間企業必須面對的挑戰,可以從以下4大方向做好DDOS防護策略!
一、防火牆
防火牆是系統中最基本的防護工具之一,主要用於對抗資源消耗型的DDoS攻擊,例如:SYN Flood攻擊、應用層DDoS攻擊等。防火牆的作用在於辨識流量中的攻擊封包,並將其隔離,以有效降低DDoS攻擊的威脅。
二、交換器與路由器
大部分的交換器和路由器,都具有速率限制和存取控制(ACL)的防護機制。交換器的特點在於它可以進行Traffic Shaping機制,這有助於防範低速緩慢攻擊和SYN Flood攻擊;而路由器則可以啟用入口過濾(Ingress Filtering)機制,以防範偽造IP位址的SYN Flood等攻擊。當這兩者同時使用時,能夠實現「檢測和過濾封包的來源IP位址」的功能。
三、網路流量清洗
網路流量清洗服務主要分為兩種:常駐防禦、動態防禦。在常駐防禦中,企業所有的流量都被引導到清洗中心,全天候進行分析;而在動態防禦中,平時不將流量引入,但一旦檢測到攻擊發生,即時引導流量進行分析。目前,大多數服務商已經能夠針對Memcached DDoS攻擊、NTP DDoS攻擊,以及DNS放大攻擊等提供清洗和防護。
四、入侵防禦系統(IPS)
這種防禦系統的全名是Intrusion-Prevention Systems,可以針對異常流量進行特殊的特徵比對,如果發現異常流量就會進行阻擋和服防護。它能夠針對不同特性和特定通訊協定方式的DDoS攻擊,例如:SYN Flood、應用層DDoS攻擊等,提供有效的防護。
結論
現今的DDoS攻擊呈現多樣化的種類、數量和手法,使得企業難以僅依賴單一機制或系統達到全面的防範,該怎麼有效防範DDoS攻擊呢?別擔心!啟恆國際為各大企業提供一站式解决方案,透過Microud不限流量雲主機,專注於網路安全環境及系統網站建置,提供業務發展所需的服務,例如:ECS安全組強化(虛擬防火牆)具備狀態檢測包的過濾功能,可以有效過濾所有隱患,以及DDoS WAF可以保護應用程式、網站、API,再也不怕針對網路和應用程式層的惡意流量威脅!若您有建置雲端主機的需求,歡迎與我們聯絡。
