您可以保护自己的社保号码和其他敏感文档,定期查看您的
分布式拒绝服务 (DDoS) 攻击是一种企图破坏目标服务器正常流量的行为。 这是通过大量互联网流量使服务器、服务或网络不堪重负来实现的,最终导致服务器减速或完全崩溃。 可以将其想象成交通堵塞,交通堵塞会让道路上的所有汽车减速或停下来。 DDoS 攻击不会使车辆减速或停止,而是使网络流量减速或停止,导致网站或应用程序运行缓慢或完全崩溃。
DDoS 攻击如何工作?
网络资源只能处理有限数量的请求,并且服务器的带宽有限。 这意味着每当流量超过容量限制时,服务级别就会下降。
通常,攻击者的最终目标是完全阻碍网络源的正常运行。 此外,攻击者还可能要求付款以结束攻击。 攻击还可能是一种企图诋毁或损害企业声誉的行为。
DDoS 攻击使用连接到互联网的机器网络(称为机器人)来执行。 这些网络由计算机和其他设备组成,例如感染了恶意软件的物联网 (IoT)设备。 机器人的集合称为僵尸网络,创建僵尸网络后,攻击者可以通过远程向每个僵尸发出命令来控制攻击。
当服务器或网络被僵尸网络瞄准时,每个机器人都会向 IP 地址发送查询,这就是服务器或网络不堪重负的原因,导致正常流量受到 DDoS 攻击。 由于每个机器人都是合法的互联网设备,因此很难区分攻击流量和正常流量。
DDoS 攻击的类型
虽然大多数 DDoS 攻击涉及向目标设备或网络发送大量流量,但主要有三种攻击类型,每种类型都有子类型。
1. 基于容量(容量耗尽)的攻击
容量耗尽攻击试图通过向目标发送大量流量或请求来溢出网络带宽。 这些攻击旨在使目标不堪重负,以减慢或完全停止其服务。 请求的大小通常为每秒数百千兆比特(Gbps) 。 最近,较新的攻击速度已达到每秒 1 TB(Tbps)以上。
容量耗尽攻击很常见,因为产生过量的请求的技术障碍较低。 大多数情况下,攻击者会使用简单的放大策略。 使用这种类型的策略时,流量来自各种来源,如 IP 地址或网络,这使得手动减少容量攻击变得更加困难。
DNS 放大攻击
DNS 放大攻击是容量耗尽攻击的一种子类型。 在这种类型的容量耗尽攻击中,攻击者利用的是开放的 DNS 服务器的功能。 攻击者进入后,会利用过多的流量使目标服务器不堪重负,导致服务器及其周围基础设施无法访问。
UDP 洪水型攻击
UDP 洪水型攻击是容量耗尽攻击的另一种子类型。 在这种攻击中,攻击者会向目标服务器发送大量用户数据报协议 (UDP) 数据包,目的是破坏设备处理请求和响应的能力。 这可能导致保护目标服务器的防火墙耗尽,从而导致拒绝为合法流量提供服务。
2. 协议攻击
协议攻击使用恶意连接请求,利用协议交互来尝试、使用和耗尽不同网络基础设施资源(包括服务器和防火墙)的容量。
SYN 洪水攻击
SYN 洪水攻击是协议攻击的子类型,目的是完全耗尽服务器资源,以使合法流量无法使用。 攻击者通过频繁发送初始连接请求 (SYN) 数据包,使服务器上的所有开放端口不堪重负。 因此,目标设备对合法流量响应缓慢或根本不响应。
Ping 攻击
协议攻击的另一种子类型称为“Ping 攻击”。 发生此类攻击时,攻击者会使用简单的 ping 请求将大量恶意数据发送到目标服务器。 他们发送的数据远远超过服务器的处理能力,从而导致服务器崩溃、不稳定或冻结。
3. 应用程序层攻击
应用程序层攻击的目标是耗尽目标资源以产生拒绝服务。 这些攻击的重点是针对在服务器上创建网页的层。 在客户端处理单个 HTTP 请求的成本很低,但在目标服务器端进行响应的成本可能很高。 这是因为服务器经常加载多个文件和数据库查询来生成网页。 减少对应用层的攻击是具有挑战性的,因为很难区分恶意流量和合法流量。
HTTP 洪水攻击
HTTP 洪水攻击是应用层攻击的子类型,旨在通过 HTTP 请求使目标服务器不堪重负。 当目标请求饱和,并且不再能够对合法流量做出反应时,就会发生拒绝服务。
低速且缓慢的攻击
低速且缓慢的攻击(也称为慢速攻击)是应用层攻击的另一种子类型。 这是一种对目标服务器的偷袭,它以极其缓慢的速度发送看似合法的流量,使其难以与正常流量区分开来,导致这种类型的攻击经常在很长一段时间内没有被检测到。
识别 DDoS 攻击
虽然网络犯罪分子有时会在发起 DDoS 攻击之前威胁目标,但攻击者经常会在没有发出警告的情况下这样做。 此外,从安全人员检测到 DDoS 攻击到减少攻击可能需要几个小时的时间。 这可能导致服务延迟数小时,或网站或应用程序崩溃,从而显著影响网站印象和销售。
以下是一些表明可能正在发生 DDoS 攻击的警告信号。
- 日志分析显示流量异常高峰,但您无法找到任何合理的解释。
- 您会遇到或开始收到客户提交的网站性能缓慢的报告。 此外,如果您使用相同的连接来管理内部网络,员工也会开始注意到速度较慢的问题。
- 您的服务器响应 503 不可用错误。 当流量下降时,此错误通常会消失。 一段时间后,如果它仍然持续存在,那么一定是哪里出了问题。
- 某些 IP 地址会在短时间内重复请求大量连接。
- 内部用户报告文件访问速度缓慢或根本无法访问。
- 您的邮件系统因垃圾邮件而超载。
如何减少 DDoS 攻击
区分恶意流量和合法流量是减少 DDoS 攻击的关键问题。 以下是减少 DDoS 攻击的几种方法。
创建 DDoS 攻击响应计划
通过在 DDoS 攻击发生之前做好准备,您可以确切地知道如果发生攻击,该怎么办。 在 DDoS 攻击响应计划中,您应该有一个清单,其中列出您需要采取的所有步骤、需要联系的人以及应该使用的工具。 响应计划还应包括团队中每个人的责任。 通过尽早分配职责,团队中的每个人都将知道在识别到 DDoS 攻击时该怎么做。 设置响应计划可以在组织遭受任何永久损害之前减少 DDoS 攻击。
监控流量
DDoS 攻击通过大量互联网流量使服务器不堪重负,从而破坏目标服务器的流量。 通过使用监控工具持续监控服务器或网络的流量,您可以通过接收警报或通知来识别流量何时达到某个阈值。 该工具不仅可以帮助您尽早识别 DDoS 攻击,还可以帮助您减少损失。
速率限制
由于 DDoS 攻击使用僵尸网络来使目标服务器不堪重负,因此速率限制可以通过测量每个 IP 地址发出的每个请求之间的时间来限制用户或机器人可以发出的请求数量。 当在特定时间框架内来自单个 IP地址的请求过多时,速率限制工具会阻止请求。