什么是DDoS攻击以及如何阻止它?
拒绝服务 (DoS) 攻击——以及更普遍的分布式拒绝服务 (DDoS) 攻击——是由黑客恶意执行的,目的是破坏设备或网络,从而使其目标用户无法访问。DoS 攻击通过用流量或请求淹没目标系统,或者通过识别然后利用易受攻击的软件或系统缺陷来淹没目标系统,这可能导致系统崩溃。通常情况下,当您听说网站被黑客入侵时,这是由 DoS 攻击或 DDoS 攻击引起的。
了解 DoS 和 DDoS 攻击
拒绝服务 (DoS) 攻击的目的是破坏设备或网络,从而使其目标用户无法访问。DoS 攻击要么通过大量流量或请求淹没目标系统,要么通过识别然后利用易受攻击的软件或系统缺陷来导致系统崩溃。同样,分布式拒绝服务 (DDoS) 攻击发生在远程控制多个系统(通常称为僵尸网络)以对单个目标进行同步 DoS 攻击时。DDoS 攻击的分布式特性使它们更难阻止,而且通常很难识别 DDoS 攻击背后的坏人,因为它们是通过大量设备发起的。
尽管 DDoS 攻击通常不会直接导致个人数据或账户余额被盗,但它们的成本非常高且难以解决。尽管网络安全的最新进展显着降低了与大多数基本 DoS 攻击相关的危险,但 DDoS 攻击仍然是最普遍和最具破坏性的网络攻击形式之一。根据网络安全公司 Netscout 的数据,2020 年上半年发起了近 500 万次 DDoS 攻击,比 2019 年增长了 15%。
DDoS 攻击的类型
绝大多数 DDoS 攻击可以大致分为三种不同的类型:
容量攻击:这种方法会在目标网站或网络上释放过多的流量,以使网络带宽饱和。通过向网络地址发送比系统能够处理的流量更多的流量,攻击者可能会破坏或关闭整个网络。在网络安全专业人员中,这种形式的攻击的严重程度以每秒比特数 (BPS) 来衡量。例子包括:
1、用户数据报协议 (UDP)泛洪:一种容量 DDoS 攻击,它试图用大量 UDP 数据包淹没目标,这些数据包可以在与接收方建立连接之前发送到接收设备。
2、互联网控制消息协议 (ICMP) 泛洪攻击:攻击者试图通过过多的 ICMP 回显请求来淹没其目标,ICMP 回显请求是网络设备用来诊断网络通信问题的网络层协议。这些攻击也称为“Ping 洪水攻击”。
3、协议攻击:这种方法针对协议运行方式的弱点,通常是利用服务器资源或中间通信设备(如负载平衡器和防火墙)的资源。在网络安全专业人员中,这种形式的攻击的严重程度以每秒数据包数 (PPS) 来衡量。例子包括:
4、SYN Floods :在这种类型的 DDoS 攻击中,攻击者快速连续地启动与服务器的连接,而没有完成连接。这会导致目标服务器浪费资源等待半打开的连接,这会使系统无法响应合法流量。
5、TCP 碎片攻击:攻击者通过以网络的 TCP/IP 重组机制为目标来压倒其目标,这破坏了目标将碎片数据包放在一起的能力。结果,无法组织和处理网络接收的数据包,最终使系统不堪重负。这也称为“泪珠攻击”。
6、应用程序层攻击:这种攻击方法通过破坏服务器生成网页和响应 http 请求的层来利用特定于某些 Web 应用程序的错误。
应用层攻击通常比容量和协议攻击更难检测和预防,因为它们会发起看似合法、无害的请求,一旦系统反应太晚,这些请求就会全面启动。因此,应用程序攻击被广泛认为是 DDoS 攻击中最先进和最具破坏性的形式。在网络安全专业人员中,这种形式的攻击的严重程度以每秒请求数 (RPS) 来衡量。近年来,一些大规模的 DDoS 攻击将应用层攻击与容量和/或协议攻击结合起来以提高有效性。
DDoS 攻击如何影响最终用户?
DoS 和 DDoS 攻击通常以金融机构、电子商务公司或政府实体等知名组织的服务器为目标。在区块链领域,加密货币交易所是 DDoS 攻击最常见的目标,其次是矿池,恶意行为者试图在不适当的时候切断用户对其数字资产的访问,扰乱交易量,并破坏市场稳定。
有时,DDoS 攻击可能只会成功地减慢受害者的速度或暂时切断用户访问。因此,如果您试图与成为此类网络攻击受害者的网站或网络进行交互,您可能会遇到从异常缓慢的访问和短暂的服务中断到长时间的连接中断等各种情况。
与社会工程攻击和以用户为目标的诈骗不同,用户通常几乎无法阻止这些攻击攻击其预期目标。因此,防止这些攻击的责任落在了经常成为攻击目标的在线服务提供商、企业和政府机构身上。
组织如何应对 DDoS 攻击?
在防御 DDoS 攻击时,组织提前计划和实施防御系统至关重要。虽然无法始终阻止 DDoS 攻击,但组织可以采取几个步骤来减轻潜在的中断:
1、多样化的网络架构:通过将资源定位在不同的数据中心,将数据中心安置在不同的网络上,依赖不同的云可用区,并确保网络没有任何重大瓶颈或单点故障,组织可以使攻击者更难识别和利用单个关键目标。
2、现代安全解决方案:现代网络技术,包括许多商用网络和 Web 应用程序防火墙、云提供商和负载平衡器,可以在一定程度上保护网络资源并减少 DDoS 攻击的潜在后果。虽然单独的安全解决方案通常不足以完全抵御更复杂的 DDoS 攻击,但任何高价值网络都应将现代安全解决方案的应用视为必要的第一步,而不是可选的附加组件。
3、灵活/可扩展的基础设施:多样化的架构和现代安全解决方案将有助于减轻 DDoS 的影响。但是,他们不能完全消除风险。因此,许多组织采用灵活且可扩展的系统,这些系统可以临时扩展以满足因 DDoS 攻击而增加的负载。
在各种网络攻击方法中,DDoS 攻击的发起成本相对较低且难以防御。虽然没有针对 DDoS 攻击的万无一失的防御措施,但重要的是要意识到,实施了深思熟虑的预防措施的网络的风险状况与未经检查、未受保护的网络的风险状况大不相同——这可能会产生重大影响。
以上就是币园地《什么是 DDoS 攻击以及如何阻止它?》的专业详解,点击首页了解更多精品干货