什么是 DDoS 攻擊？攻擊的原理解釋和防護防御說明

發(fā)布時間：2024-02-12

全稱distributed denial of service，中文意思為“分布式拒絕服務”，就是利用大量合法的分布式服務器對目標發(fā)送請求，從而導致正常合法用戶無法獲得服務。通俗點講就是利用網(wǎng)絡節(jié)點資源如：idc服務器、個人pc、手機、智能設備、打印機、攝像頭等對目標發(fā)起大量攻擊請求，從而導致服務器擁塞而無法對外提供正常服務，只能宣布game over。
2、黑客為什么選擇ddos
不同于其他惡意篡改數(shù)據(jù)或劫持類攻擊，ddos簡單粗暴，可以達到直接摧毀目標的目的。另外，相對其他攻擊手段ddos的技術要求和發(fā)動攻擊的成本很低，只需要購買部分服務器權限或控制一批肉雞即可，而且攻擊相應速度很快，攻擊效果可視。另一方面，ddos具有攻擊易防守難的特征，服務提供商為了保證正?？蛻舻男枨笮枰馁M大量的資源才能和攻擊發(fā)起方進行對抗。這些特點使得ddos成為黑客們手中的一把很好使的利劍，而且所向霹靂。
從另一個方面看，ddos雖然可以侵蝕帶寬或資源，迫使服務中斷，但這遠遠不是黑客的正真目的。所謂沒有買賣就沒有殺害，ddos只是黑客手中的一枚核武器，他們的目的要么是敲詐勒索、要么是商業(yè)競爭、要么是要表達政治立場。在這種黑色利益的驅使下，越來越多的人參與到這個行業(yè)并對攻擊手段進行改進升級，致使ddos在互聯(lián)網(wǎng)行業(yè)愈演愈烈，并成為全球范圍內無法攻克的一個頑疾。
3、ddos的攻擊方式
一種服務需要面向大眾就需要提供用戶訪問接口，這些接口恰恰就給了黑客有可乘之機，如：可以利用tcp/ip協(xié)議握手缺陷消耗服務端的鏈接資源，可以利用udp協(xié)議無狀態(tài)的機制偽造大量的udp數(shù)據(jù)包阻塞通信信道……可以說，互聯(lián)網(wǎng)的世界自誕生之日起就不缺乏被ddos利用的攻擊點，從tcp/ip協(xié)議機制到cc、dns、ntp反射類攻擊，更有甚者利用各種應用漏洞發(fā)起更高級更精確的攻擊。
從ddos的危害性和攻擊行為來看，我們可以將ddos攻擊方式分為以下幾類：
a）資源消耗類攻擊
資源消耗類是比較典型的ddos攻擊，最具代表性的包括：syn flood、ack flood、udp
flood。這類攻擊的目標很簡單，就是通過大量請求消耗正常的帶寬和協(xié)議棧處理資源的能力，從而達到服務端無法正常工作的目的。
b）服務消耗性攻擊
相比資源消耗類攻擊，服務消耗類攻擊不需要太大的流量，它主要是針對服務的特點進行精確定點打擊，如web的cc，數(shù)據(jù)服務的檢索，文件服務的下載等。這類攻擊往往不是為了擁塞流量通道或協(xié)議處理通道，它們是讓服務端始終處理高消耗型的業(yè)務的忙碌狀態(tài)，進而無法對正常業(yè)務進行響應。
c）反射類攻擊
反射攻擊也叫放大攻擊，該類攻擊以udp協(xié)議為主，一般請求回應的流量遠遠大于請求本身流量的大小。攻擊者通過流量被放大的特點以較小的流量帶寬就可以制造出大規(guī)模的流量源，從而對目標發(fā)起攻擊。反射類攻擊嚴格意義上來說不算是攻擊的一種，它只是利用某些服務的業(yè)務特征來實現(xiàn)用更小的代價發(fā)動flood攻擊。
d）混合型攻擊
混合型攻擊是結合上述幾種攻擊類型，并在攻擊過程中進行探測選擇最佳的攻擊方式。混合型攻擊往往伴隨這資源消耗和服務消耗兩種攻擊類型特征。
4、ddos防護困難
一方面，在過去十幾年中，網(wǎng)絡基礎設施核心部件從未改變，這使得一些已經(jīng)發(fā)現(xiàn)和被利用的漏洞以及一些成成熟的攻擊工具生命周期很長，即使放到今天也依然有效。另一方面，互聯(lián)網(wǎng)七層模型應用的迅猛發(fā)展，使得ddos的攻擊目標多元化，從web到dns，從三層網(wǎng)絡到七層應用，從協(xié)議棧到應用app，層出不窮的新產(chǎn)品也給了黑客更多的機會和突破點。再者ddos的防護是一個技術和成本不對等的工程，往往一個業(yè)務的ddos防御系統(tǒng)建設成本要比業(yè)務本身的成本或收益更加龐大，這使得很多創(chuàng)業(yè)公司或小型互聯(lián)網(wǎng)公司不愿意做更多的投入。
5、ddos防護手段
ddos的防護系統(tǒng)本質上是一個基于資源較量和規(guī)則過濾的智能化系統(tǒng)，主要的防御手段和策略包括：
a）資源隔離
資源隔離可以看作是用戶服務的一堵防護盾，這套防護系統(tǒng)擁有無比強大的數(shù)據(jù)和流量處理能力，為用戶過濾異常的流量和請求。如：針對syn flood，防護盾會響應syn cookie或syn reset認證，通過對數(shù)據(jù)源的認證，過濾偽造源數(shù)據(jù)包或發(fā)功攻擊的攻擊，保護服務端不受惡意連接的侵蝕。資源隔離系統(tǒng)主要針對iso模型的第三層和第四層進行防護。
b）用戶規(guī)則
從服務的角度來說ddos防護本質上是一場以用戶為主體依賴抗d防護系統(tǒng)與黑客進行較量的戰(zhàn)爭，在整個數(shù)據(jù)對抗的過程中服務提供者往往具有絕對的主動權，用戶可以基于抗d系統(tǒng)特定的規(guī)則，如：流量類型、請求頻率、數(shù)據(jù)包特征、正常業(yè)務之間的延時間隔等?；谶@些規(guī)則用戶可以在滿足正常服務本身的前提下更好地對抗七層類的ddos，并減少服務端的資源開銷。
c）大數(shù)據(jù)智能分析
黑客為了構造大量的數(shù)據(jù)流，往往需要通過特定的工具來構造請求數(shù)據(jù)，這些數(shù)據(jù)包不具有正常用戶的一些行為和特征。為了對抗這種攻擊，可以基于對海量數(shù)據(jù)進行分析，進而對合法用戶進行模型化，并利用這些指紋特征，如：http模型特征、數(shù)據(jù)來源、請求源等，有效地對請求源進行白名單過濾，從而實現(xiàn)對ddos流量的精確清洗。
d）資源對抗
資源對抗也叫“死扛”，即通過大量服務器和帶寬資源的堆砌達到從容應對ddos流量的效果
西部數(shù)碼ddos防護介紹,可以提供多種接入防護方式,https://www.west.cn/cloudhost/ddos.asp
ddos高防主要針對西部數(shù)碼云主機、vps在遭受大流量的ddos/cc攻擊后導致服務不可用的情況下，推出的專業(yè)高防服務（也可防護非西部數(shù)碼主機）。用戶通過配置ddos高防，將惡意攻擊流量進行清洗過濾，從而保障主機穩(wěn)定可靠的防護業(yè)務。
優(yōu)勢：
有效抵御各類基于網(wǎng)絡層、傳輸層及應用層的ddos攻擊。
針對交易類、加密類、七層應用、智能終端、在線業(yè)務攻擊精準防護，使得威脅無處可逃。
全自動檢測和攻擊策略匹配，實時防護，清洗服務可用性99.99%
操作簡單，一鍵開啟高防防護，用戶無需新增任何物理設備，秒級生效。
彈性選購方案，可按月、年按需購買。
超高帶寬 立體防護支持電信、聯(lián)通、移動等防御，100g+的ddos清洗能力，在用戶遭到ddos攻擊時，通過西部數(shù)碼ddos高防體系，幫助用戶抵御攻擊流量，保證業(yè)務的正常運行?？梢酝昝婪烙鵶yn flood、ack flood、icmp flood、udp flood、ntp flood 、ssdp flood、dns flood、http flood、cc攻擊。
實時監(jiān)控 秒級防護清晰直觀的流量實時監(jiān)控系統(tǒng)，當攻擊發(fā)生時，清洗中心秒級響應，將攻擊流量牽引至清洗中心進行惡意流量的處置，再將正常的業(yè)務流量通過隔離的回送通道送達目標網(wǎng)站。
應用層防護提供實時具備應用層抗ddos攻擊的能力，重認證、身份識別、驗證碼等多種手段精確識別惡意訪問和真實訪問者，針對網(wǎng)站類cc和游戲類cc攻擊均可防御。適合電商促銷、金融行業(yè)推廣、企業(yè)門戶網(wǎng)站等重大活動中的安全預防場景。
業(yè)務支持支持tcp/udp/http/https，適合金融、電商、游戲、門戶、媒體等各類業(yè)務場景，支持ddos，cc防御。