DDoS(Distributed Denial of Service,分布式拒绝服务),其主要目的是让指定目标无法提供正常服务,是目前最强大、最难防御的攻击之一。业界主流的认知是:DDoS攻击是一个世界级的难题,当前并没有从根源上的解决办法,只能缓解问题或与之对抗。在理论上没有攻击不了的服务器,也没有防御不了的攻击,攻防双方只能各自比拼技术和资源。
当然攻击所需要的成本比起防护来说低得多。由于全球数字化程度的不断提高、世界各国的政治动荡以及居家办公人数的广泛增加,创造了一个各个行业都更容易受到DDoS攻击的境遇。攻击数量和频率则在显著增加,与此同时,它们的规模、复杂程度以及最终的成功程度也在增加。随着DDoS攻击手段的不断演进和复杂化,抗DDoS高防IP技术作为防御手段的重要组成部分,其研究和应用显得尤为重要。
一、DDoS的攻防方式
随着信息化的发展,现在的DDoS攻击模式也越来越多样化,攻击者会针对不同的网络层次发起攻击。根据攻击位置的不同,可以将DDoS攻击分为“网络层攻击”、“传输层攻击”和“应用层攻击”三种类型
在现代网络架构中,网络层扮演着至关重要的角色,主要负责在互联网的海洋中导航,确保数据包能够通过最优路径从源头安全、高效地到达目的地。然而,这一层也成为了DDoS(分布式拒绝服务)攻击的主战场之一,攻击者的目标通常是通过各种手段耗尽目标网络的带宽资源,造成正常流量无法顺畅通过,从而达到拒绝服务的目的。
ICMP Flood攻击
在ICMP Flood攻击中,攻击者利用了ICMP协议的这一基本功能,但目的却是通过恶意手段批量生成并发送大量的ICMP Echo请求到目标系统或网络。由于协议规定,接收到这类请求的系统通常会回应一个Echo回复,因此,当这些请求数量巨大时,它会迅速占用目标网络的带宽,并消耗目标设备的处理能力,尤其是当这些请求达到每秒数以万计时,即使是较为强大的系统也可能承受不住这样的负载压力。
ARP Flood攻击
ARP(地址解析协议)是网络通信的基石之一,它负责将网络层的IP地址转换为链路层的MAC地址。通常,ARP请求以广播形式发送,以便在同一局域网内的所有设备都能接收到这些请求,从而找到对应IP地址的物理地址。然而,正是这种广播机制,为网络攻击者留下了可利用的空间。通过大规模发送ARP请求,攻击者能够迅速耗尽网络的有限资源,进而引起网络拥堵现象。此外,由于ARP协议本身缺乏有效的安全验证措施,任何收到的ARP应答包都将被目标主机无条件接受并更新到本地的ARP缓存表中,这一特性为ARP欺骗攻击打开了大门。
在网络通信的架构中,传输层扮演着至关重要的角色,它不仅确保了设备间的端到端通信的可靠性,还负责管理网络间的数据流量控制和纠正传输过程中可能出现的错误。然而,正是这一层的核心功能,成为了DDoS(分布式拒绝服务)攻击者的主要攻击目标之一。这些攻击旨在通过各种手段令目标服务器或网络设备负载过重,最终达到使其瘫痪的目的。
SYN Flood攻击
SYN Flood是互联网上最经典的DDoS攻击方式之一,最早出现于1999年左右,雅虎是当时最著名的受害者。SYN Flood攻击利用了TCP三次握手的缺陷,能够以较小代价使目标服务器无法响应,且难以追查。攻击者通常利用工具或控制僵尸主机向服务器发送海量的变源IP地址或变源端口的SYN报文,服务器响应报文后产生大量的半连接,直至系统资源被耗尽,服务器无法提供正常的服务。
针对SYN Flood攻击,优云DDoS高防IP使用了SYN Cookie 认证来进行防护。优云DDoS高防IP对 TCP 新建连接的协商 SYN 报文进行拦截处理,通过连接信息计算出一个 cookie 值,作为 SYN/ACK 报文的初始序列号(seq number)返回给客户端,再对客户端回应的 ACK 报文中携带的 cookie 信息来进行报文有效性确认。如果确认是合法请求,优云DDoS高防IP将作为代理会向服务器端发送 SYN 报文建立连接,客户端与服务器间关于此次连接的后续报文都将通过优云DDoS高防IP进行代理转发。当攻击者向服务器发起 SYN Flood 攻击时,由于无法发送有效的 cookie 信息,因此无法与服务器建立连接并造成资源的消耗。在整个过程中,优云DDoS高防IP作为代理服务器和客户端交互,同时也模拟客户端与服务器进行交互,为服务器过滤掉恶意连接,保证了业务的正常稳定运行。
ACK Flood攻击
攻击者通过僵尸网络向目标服务器发送大量的ACK报文,报文带有超大载荷,会引起链路拥塞。或向目标服务器发送极高速率的变源变端口请求,导致转发设备异常,从而引起网络瘫痪。针对ACK Flood攻击,优云DDoS高防IP使用了TCP状态机来进行防护。
针对UDP Flood攻击,优云DDoS高防IP主要使用了内置特征过滤来进行防护。UDP协议是面向无连接的,所以客户端发送请求包的源IP地址很容易被篡改。某些没有针对源IP地址的校验机制的,如果把请求包的源IP地址篡改为攻击目标的IP地址,最终服务器返回的响应包就会被送到攻击目标,这就形成了反射攻击。一般传统的UDP攻击都是由攻击工具打出来的,通常会具有一定的特征 如端口号相同,针对这一特征优云DDoS高防IP已内置数十种常见的UDP反射放大攻击的过滤器,涵盖了现网中常见的UDP攻击。
攻击者通过操纵大量傀儡机器,对目标网络发起海量域名查询请求,以中断该域的DNS解析。这种攻击将会破坏网站、API或Web应用程序响应合法流量的能力,让合法用户无法查找到用于调用特定资源的地址,导致业务暂时中断或停止。
HTTP Flood攻击
HTTP GET 攻击:攻击者操控多台设备向目标服务器发送对图像、文件或其他资产请求,当目标服务器被传入请求和响应所淹没时,来自正常流量源的业务请求也将被拒绝。
HTTP POST 攻击:与发送 POST 请求所需的处理能力和带宽相比,处理表单数据和运行必要数据库命令的过程相对密集。这种攻击利用相对资源消耗的差异,直接向目标服务器发送大量POST请求,直至目标服务器容量饱和并拒绝服务为止。
CC攻击
CC攻击的核心在于利用少量甚至单一的攻击源发起大量的HTTP请求,目的是耗尽目标网站的应用层资源,如服务器的CPU、内存资源、数据库连接等。这些请求通常模拟正常用户的Web访问行为,例如频繁请求网站的登录页面、搜索功能或者提交表单等,使得攻击行为难以被简单地通过流量量级区分正常流量与攻击流量。CC攻击常用于攻击提供网页访问服务的服务器。攻击者通过代理服务器向目标服务器发送大量貌似合法的请求,使CPU长时间处于高负荷运行状态,永远都有处理不完的连接。攻击会导致正常访问被中止,最终宕机崩溃。针对CC攻击,优云DDoS高防IP主要通过行为分析,特征分析,流量限速,并发连接数限速等等手段进行防御,能够根据不同类型的客户定制出个性化防护策略,保证业务稳定运行。
归纳了以上方法,我们可以看到,从攻击者的角度分析,DDoS攻击大致可以分为三个主要策略。首先是“数量压倒一切”的方法,通过从全球各地发起的大量数据包攻击,试图堵塞IDC(互联网数据中心)的入口。这种攻击策略旨在通过 sheer volume 使得即便是高性能的硬件防护措施和迅速的应急响应也难以应对。此类攻击的经典例子包括ICMP Flood和UDP Flood攻击,尽管它们在现代网络安全环境中已变得较为罕见。第二种策略更注重“技巧和隐蔽性”,通过精心设计的攻击,例如仅发送少量甚至单一的数据包,就足以让配置高端的服务器停止响应。最后一种策略结合了前两者的特点,即既利用协议和系统的漏洞,又发动大规模的流量攻击。如SYN Flood攻击和DNS Query Flood攻击,这类混合策略目前是最常见的攻击模式,它们既隐蔽又强大,给防御带来了巨大挑战。
从Zayo发布的《2023年DDoS攻击现状及趋势报告》来看,去年上半年所有行业的DDoS攻击频率增加了314%,各个行业如游戏,制造,金融,媒体,云/SaaS,等,无论是攻击规模还是攻击频率上都有显著的增加,其中游戏行业作为DDoS的高发地,依旧被黑产威胁所困扰,所受到的攻击规模和频率都位列前茅,电信公司遭受的攻击最为频繁,占总攻击量的50%,在2023年上半年发生了超过37,000次攻击。
数据显示,DDoS攻击的时间越来越长,但超过83%的攻击仍然是短爆发式的,持续10分钟或更短。
不超过10分钟的短暂攻击,之所以被广泛采用,是因为它们可以作为一种探测手段,帮助攻击者发现目标企业安全体系中的漏洞,从而为未来更大规模的攻击做准备。这种快速的攻击-撤退策略不仅能够有效地识别防御薄弱点,而且即便是短短几分钟的网络服务中断也足以导致企业一整天的运营中断,造成严重的经济和声誉损失。此外,通过实施短期攻击并观察组织的防御反应,攻击者能够收集关键数据,为将这种短暂的攻击演变为持续更长时间的攻击行动提供情报支持。
从前几年的数据看,SYN Flood、ACK Flood、UDP Flood、UDP反射、TCP反射是TOP5网络层攻击。其中,ACK Flood 和UDP Flood频次占比近三年呈逐年递增趋势。2022年ACK Flood占比23.16%,是2021年的2.1倍,2020年的10.9倍。ACK Flood呈现出快速增长趋势主要源 于Mirai僵尸网络演进出网络层CC后,攻击效果明显,防御困难,随着攻击成本持续降低,网络层CC已经成 为攻击TCP服务器的杀手锏。2022年UDP Flood占比21.26%,是2021年的1.3倍,2020年的1.6倍。UDP Flood快速增长和2021年5月份 QUIC协议标准化发布,针对443端口的假冒QUIC变得活跃有直接关系;攻击平台提速,T级UDP Flood成本 低廉,针对TCP服务器的大报文UDP Flood逐年活跃,进一步拉升了UDP Flood占比。
图表4
此外,网络层CC持续演进,攻击威胁加大,躲避能力提升,网络层CC成为互联网最难防御的攻击之一。为了增强攻击效果并规避防御,网络层CC进一步演变出了三种攻击模式。其中一种模式是通过发送超过1000字节Payload的大报文ACK,模拟数据上传过程。这种攻击的典型特征是利用超大带宽流量迅速造成网络拥塞,攻击流量能在20秒内迅速加速。
随着时间的推移,网络层CC攻击持续演化,其威胁程度日益增加,躲避防御的能力也不断提高。在近两年内,网络层CC已经成为互联网领域最难以防御的攻击类型之一。通过僵尸网络,攻击者能够将攻击流量峰值推至T级别,华为监测到的网络层CC攻击中最大的峰值带宽达到了912Gbps,而相应的攻击峰值包速率是79Mpps。
图表5
优云高防IP是针对互联网服务器在遭受大流量的DDoS攻击后导致服务不可用的情况下,推出的付费增值服务,区别于国内部分云厂商原生防护,高防IP提供专门的带宽和资源,能够处理并减轻严重的攻击影响,帮助企业更好地理解安全威胁并作出响应。此外,高防IP允许企业定制防护策略,以满足其特定的业务需求和安全需求,提供了包括应用层过滤、行为分析和自动威胁识别在内的高级安全功能。这些功能提供了比原生防护更广泛、更深入的保护,特别适合面临复杂网络威胁的企业环境。用户可以通过配置高防IP,通过端口协议转发的方式将用户的访问通过高防IP转发到源站IP,同时将恶意攻击流量在高防IP上进行清洗过滤后将正常流量返回给源站IP,从而确保源站IP稳定访问的防护服务。
图表6
当前,优云建设的防护系统,防护能力已高达T级,并且不断在各地扩容防护能力节点。优云安全基于自主研发的防护产品,为用户提供DDoS防护服务,可以防护SYN Flood、UDP Flood、ACK Flood、ICMP Flood、DNS Query Flood、NTP reply Flood、CC攻击等三到七层DDoS攻击:
区别于阿里云以及传统IDC的技术架构,优云的架构废弃了抗D集群、LVS集群、Nginx集群,将其功能进行重构和虚拟化,由一个进程完成清洗、域名处理、回源处理,诊断信息关联性强,定位问题速度非常快,优云高防的技术架构如下:
优云高防IP的技术架构
谈及到高防IP产品,用户们会关心的几个部分往往是防护能力,响应周期,对业务的影响等等。
优云在防护能力方面,优云高防IP提供了业界密度最高流量处理能力,优秀的处理能力也提高了防护带宽的量级,防护网络覆盖全国20多个节点,BGP防御可达2T以上(区别与部分厂商,多网分布式清洗,而业内大部分单机房的IDC防御不超过600G,且因为技术原因无法实现多机房的带宽叠加)。
在用户体验上,基于优云先进的技术架构,可以在20毫秒内发现DDoS攻击,50毫秒内切换防护算法,TCP连接不断,用户业务不受影响,业内的厂商大部分只能做到秒级响应,甚至有些防护策略需要由人工切换,黑客变更攻击方式时,很容易导致TCP连接断开。
提供20多项运维监控指标,且包括目标业务延迟、报文重传率等业务指标;全部指标均可查询历史完整记录,方便运维及追溯,其他部分厂商一般提供监控指标项10项左右,不提供历史监控指标;不提供目标业务处理延迟、报文重传率等业务指标。
客户成功案例
国内某Top3游戏公司,其自主研发及代理了多款风靡世界的游戏。2020年12月,其在国内代理运营的游戏遭受较大规模DDoS攻击,由于业务规模大,受攻击IP多,市面上DDoS防御产品无法满足要求,最终其购买了我司与 省级运营商合建的DDoS清洗服务,有力的保障了游戏的稳定运行。
国内某Top10物流公司,其2020年营收超200亿元,每日业务量超4000万单,服务网点超过3万个。2021年3月,其业务系统遭受DDoS攻击,造成部分区域业务中断,网络不稳定。由于网点分布广,使用了全国各运营商 线路,其对网络质量的要求较高,在对比了各家防御厂商的方案后,最终选择签约了我司与运营商合建的DDoS清洗服务, 接入我司建设的BGP带宽资源,顺利的通过“618”等业务高峰的考验。
高防IP作为互联网安全领域的关键防护措施之一,针对日益猖獗的DDoS攻击提供了一道坚固的防线。随着攻击手段的不断演进和威胁程度的加剧,高防IP不仅仅是一个简单的防御工具,它代表了对抗网络攻击的先进技术和策略的集合。通过分布式的防御系统和复杂的流量清洗技术,高防IP能够有效地识别、过滤并抵御来自世界各地的DDoS攻击,保障企业和组织的网络服务不受影响,维持正常运营。面对网络攻击的未来挑战,持续的技术创新和策略优化将是提升高防IP防护能力的关键。只有这样,我们才能在网络世界中构建更加安全、稳定的环境,保护每一次在线交互的安全与可靠。
原创文章,作者:速盾高防cdn,如若转载,请注明出处:https://www.sudun.com/ask/35317.html