高防IP:DDoS防线上的坚盾

DDoS(Distributed Denial of Service,分布式拒绝服务),其主要目的是让指定目标无法提供正常服务,是目前最强大、最难防御的攻击之一。业界主流的认知是:DDoS攻击是一个世界级的难题,当前并没有从根源上的解决办法只能缓解问题或与之对抗在理论上没有攻击不了的服务器,也没有防御不了的攻击,攻防双方只能各自比拼技术和资源。

当然攻击所需要的成本比起防护来说低得多。由于全球数字化程度的不断提高、世界各国的政治动荡以及居家办公人数的广泛增加,创造了一个各个行业都更容易受到DDoS攻击的境遇。攻击数量和频率则在显著增加,与此同时,它们的规模、复杂程度以及最终的成功程度也在增加。随着DDoS攻击手段的不断演进和复杂化,抗DDoS高防IP技术作为防御手段的重要组成部分,其研究和应用显得尤为重要。

 

一、DDoS的攻防方式

 

随着信息化的发展,现在的DDoS攻击模式也越来越多样化,攻击者会针对不同的网络层次发起攻击。根据攻击位置的不同,可以将DDoS攻击分为网络层攻击传输层攻击应用层攻击三种类型

1.1 网络层攻击

在现代网络架构中,网络层扮演着至关重要的角色,主要负责在互联网的海洋中导航,确保数据包能够通过最优路径从源头安全、高效地到达目的地。然而,这一层也成为了DDoS(分布式拒绝服务)攻击的主战场之一,攻击者的目标通常是通过各种手段耗尽目标网络的带宽资源,造成正常流量无法顺畅通过,从而达到拒绝服务的目的。

ICMP Flood攻击

ICMP Flood攻击中,攻击者利用了ICMP协议的这一基本功能,但目的却是通过恶意手段批量生成并发送大量的ICMP Echo请求到目标系统或网络。由于协议规定,接收到这类请求的系统通常会回应一个Echo回复,因此,当这些请求数量巨大时,它会迅速占用目标网络的带宽,并消耗目标设备的处理能力,尤其是当这些请求达到每秒数以万计时,即使是较为强大的系统也可能承受不住这样的负载压力。

ARP Flood攻击

ARP(地址解析协议)是网络通信的基石之一,它负责将网络层的IP地址转换为链路层的MAC地址。通常,ARP请求以广播形式发送,以便在同一局域网内的所有设备都能接收到这些请求,从而找到对应IP地址的物理地址。然而,正是这种广播机制,为网络攻击者留下了可利用的空间。通过大规模发送ARP请求,攻击者能够迅速耗尽网络的有限资源,进而引起网络拥堵现象。此外,由于ARP协议本身缺乏有效的安全验证措施,任何收到的ARP应答包都将被目标主机无条件接受并更新到本地的ARP缓存表中,这一特性为ARP欺骗攻击打开了大门。

1.2 传输层攻击

在网络通信的架构中,传输层扮演着至关重要的角色,它不仅确保了设备间的端到端通信的可靠性,还负责管理网络间的数据流量控制和纠正传输过程中可能出现的错误。然而,正是这一层的核心功能,成为了DDoS(分布式拒绝服务)攻击者的主要攻击目标之一。这些攻击旨在通过各种手段令目标服务器或网络设备负载过重,最终达到使其瘫痪的目的。

SYN Flood攻击

SYN Flood是互联网上最经典的DDoS攻击方式之一,最早出现于1999年左右,雅虎是当时最著名的受害者。SYN Flood攻击利用了TCP三次握手的缺陷,能够以较小代价使目标服务器无法响应,且难以追查。攻击者通常利用工具或控制僵尸主机向服务器发送海量的变源IP地址或变源端口的SYN报文,服务器响应报文后产生大量的半连接,直至系统资源被耗尽,服务器无法提供正常的服务。

针对SYN Flood攻击,优云DDoS高防IP使用了SYN Cookie 认证来进行防护。优云DDoS高防IP对 TCP 新建连接的协商 SYN 报文进行拦截处理,通过连接信息计算出一个 cookie 值,作为 SYN/ACK 报文的初始序列号(seq number)返回给客户端,再对客户端回应的 ACK 报文中携带的 cookie 信息来进行报文有效性确认。如果确认是合法请求,优云DDoS高防IP将作为代理会向服务器端发送 SYN 报文建立连接,客户端与服务器间关于此次连接的后续报文都将通过优云DDoS高防IP进行代理转发。当攻击者向服务器发起 SYN Flood 攻击时,由于无法发送有效的 cookie 信息,因此无法与服务器建立连接并造成资源的消耗。在整个过程中,优云DDoS高防IP作为代理服务器和客户端交互,同时也模拟客户端与服务器进行交互,为服务器过滤掉恶意连接,保证了业务的正常稳定运行。

图表1

ACK Flood攻击

攻击者通过僵尸网络向目标服务器发送大量的ACK报文,报文带有超大载荷,会引起链路拥塞。或向目标服务器发送极高速率的变源变端口请求,导致转发设备异常,从而引起网络瘫痪。针对ACK Flood攻击,优云DDoS高防IP使用了TCP状态机来进行防护。

正常客户端利用合法的协议栈进行通信,TCP 有相应的状态变迁模型,但是攻击者为了节省攻击资源没有使用合法协议栈,因此可通过一个简单的状态检测表项对 TCP 进行全状态检测,对于状态不全的报文进行丢弃,达到了屏蔽攻击的目的。
例如,正常 TCP 请求是通过 3 次握手的方式连接的,它符合 TCP 的状态变迁模型,而一些 ACK flood,FIN flood 由于没有正常的 3 次握手,状态变迁模型是不完整的,所以这些报文会被直接过滤掉。
UDP Flood攻击

针对UDP Flood攻击,优云DDoS高防IP主要使用了内置特征过滤来进行防护。UDP协议是面向无连接的,所以客户端发送请求包的源IP地址很容易被篡改。某些没有针对源IP地址的校验机制的,如果把请求包的源IP地址篡改为攻击目标的IP地址,最终服务器返回的响应包就会被送到攻击目标,这就形成了反射攻击。一般传统的UDP攻击都是由攻击工具打出来的,通常会具有一定的特征 如端口号相同,针对这一特征优云DDoS高防IP已内置数十种常见的UDP反射放大攻击的过滤器,涵盖了现网中常见的UDP攻击。

1.3 应用层攻击

 

攻击者通过操纵大量傀儡机器,对目标网络发起海量域名查询请求,以中断该域的DNS解析。这种攻击将会破坏网站、API或Web应用程序响应合法流量的能力,让合法用户无法查找到用于调用特定资源的地址,导致业务暂时中断或停止。

 

HTTP Flood攻击

HTTP GET 攻击:攻击者操控多台设备向目标服务器发送对图像、文件或其他资产请求,当目标服务器被传入请求和响应所淹没时,来自正常流量源的业务请求也将被拒绝。

HTTP POST 攻击:与发送 POST 请求所需的处理能力和带宽相比,处理表单数据和运行必要数据库命令的过程相对密集。这种攻击利用相对资源消耗的差异,直接向目标服务器发送大量POST请求,直至目标服务器容量饱和并拒绝服务为止。

 

CC攻击

CC攻击的核心在于利用少量甚至单一的攻击源发起大量的HTTP请求,目的是耗尽目标网站的应用层资源,如服务器的CPU、内存资源、数据库连接等。这些请求通常模拟正常用户的Web访问行为,例如频繁请求网站的登录页面、搜索功能或者提交表单等,使得攻击行为难以被简单地通过流量量级区分正常流量与攻击流量。CC攻击常用于攻击提供网页访问服务的服务器。攻击者通过代理服务器向目标服务器发送大量貌似合法的请求,使CPU长时间处于高负荷运行状态,永远都有处理不完的连接。攻击会导致正常访问被中止,最终宕机崩溃。针对CC攻击,优云DDoS高防IP主要通过行为分析,特征分析,流量限速,并发连接数限速等等手段进行防御,能够根据不同类型的客户定制出个性化防护策略,保证业务稳定运行。

 

归纳了以上方法,我们可以看到,从攻击者的角度分析,DDoS攻击大致可以分为三个主要策略。首先是“数量压倒一切”的方法,通过从全球各地发起的大量数据包攻击,试图堵塞IDC(互联网数据中心)的入口。这种攻击策略旨在通过 sheer volume 使得即便是高性能的硬件防护措施和迅速的应急响应也难以应对。此类攻击的经典例子包括ICMP Flood和UDP Flood攻击,尽管它们在现代网络安全环境中已变得较为罕见。第二种策略更注重“技巧和隐蔽性”,通过精心设计的攻击,例如仅发送少量甚至单一的数据包,就足以让配置高端的服务器停止响应。最后一种策略结合了前两者的特点,即既利用协议和系统的漏洞,又发动大规模的流量攻击。如SYN Flood攻击和DNS Query Flood攻击,这类混合策略目前是最常见的攻击模式,它们既隐蔽又强大,给防御带来了巨大挑战。

 

 

二、DDoS的攻击趋势
2.1 攻击的行业趋势

从Zayo发布的《2023年DDoS攻击现状及趋势报告》来看,去年上半年所有行业的DDoS攻击频率增加了314%,各个行业如游戏,制造,金融,媒体,云/SaaS,等,无论是攻击规模还是攻击频率上都有显著的增加,其中游戏行业作为DDoS的高发地,依旧被黑产威胁所困扰,所受到的攻击规模和频率都位列前茅,电信公司遭受的攻击最为频繁,占总攻击量的50%,在2023年上半年发生了超过37,000次攻击。

图表2
2.2 DDoS攻击持续时间

数据显示,DDoS攻击的时间越来越长,但超过83%的攻击仍然是短爆发式的,持续10分钟或更短。

 

图表3

不超过10分钟的短暂攻击,之所以被广泛采用,是因为它们可以作为一种探测手段,帮助攻击者发现目标企业安全体系中的漏洞,从而为未来更大规模的攻击做准备。这种快速的攻击-撤退策略不仅能够有效地识别防御薄弱点,而且即便是短短几分钟的网络服务中断也足以导致企业一整天的运营中断,造成严重的经济和声誉损失。此外,通过实施短期攻击并观察组织的防御反应,攻击者能够收集关键数据,为将这种短暂的攻击演变为持续更长时间的攻击行动提供情报支持。

 

2.3 攻击的复杂度趋势

从前几年的数据看,SYN Flood、ACK Flood、UDP Flood、UDP反射、TCP反射是TOP5网络层攻击。其中,ACK Flood 和UDP Flood频次占比近三年呈逐年递增趋势。2022年ACK Flood占比23.16%,是2021年的2.1倍,2020年的10.9倍。ACK Flood呈现出快速增长趋势主要源 于Mirai僵尸网络演进出网络层CC后,攻击效果明显,防御困难,随着攻击成本持续降低,网络层CC已经成 为攻击TCP服务器的杀手锏。2022年UDP Flood占比21.26%,是2021年的1.3倍,2020年的1.6倍。UDP Flood快速增长和2021年5月份 QUIC协议标准化发布,针对443端口的假冒QUIC变得活跃有直接关系;攻击平台提速,T级UDP Flood成本 低廉,针对TCP服务器的大报文UDP Flood逐年活跃,进一步拉升了UDP Flood占比。

 

图表4

此外,网络层CC持续演进,攻击威胁加大,躲避能力提升,网络层CC成为互联网最难防御的攻击之一。为了增强攻击效果并规避防御,网络层CC进一步演变出了三种攻击模式。其中一种模式是通过发送超过1000字节Payload的大报文ACK,模拟数据上传过程。这种攻击的典型特征是利用超大带宽流量迅速造成网络拥塞,攻击流量能在20秒内迅速加速。

 

随着时间的推移,网络层CC攻击持续演化,其威胁程度日益增加,躲避防御的能力也不断提高。在近两年内,网络层CC已经成为互联网领域最难以防御的攻击类型之一。通过僵尸网络,攻击者能够将攻击流量峰值推至T级别,华为监测到的网络层CC攻击中最大的峰值带宽达到了912Gbps,而相应的攻击峰值包速率是79Mpps。

 

图表5

原创文章,作者:速盾高防cdn,如若转载,请注明出处:https://www.sudun.com/ask/77947.html

(0)
速盾高防cdn's avatar速盾高防cdn
上一篇 2024年5月28日 下午2:33
下一篇 2024年5月28日 下午2:38

相关推荐

  • 如何正确安装sql server2005?

    想要在网络行业中有所建树,掌握SQL Server 2005的安装方法是必不可少的。但是,安装SQL Server 2005并不是一件简单的事情,需要注意很多细节。今天,我将为大家…

    问答 2024年4月19日
    0
  • vs2005sp1是什么意思?

    你是否经常听到网络行业中的VS2005SP1这个词汇?它究竟是什么意思呢?或许你已经对它有所了解,但是它的功能特点、安装方法以及常见问题及解决方法又是什么呢?今天,就让我们一起来揭…

    问答 2024年3月23日
    0
  • 如何安装和更新Flash Player?

    你是否经常遇到需要播放Flash动画或视频却发现无法正常播放的情况?或者在使用某些网站时,出现缺少插件的提示?这些问题都可能是因为没有安装或更新Flash Player所导致的。那…

    问答 2024年4月19日
    0
  • spring aop的原理与应用详解

    在当今的网络行业,新技术和框架层出不穷,其中Spring AOP无疑是备受瞩目的一员。它作为一种面向切面编程的解决方案,为我们提供了更高效、更灵活的开发方式。那么,什么是Sprin…

    问答 2024年4月19日
    0

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注