分布式拒绝服务 (DDoS) 攻击是恶意尝试使用户无法使用在线服务,通常是通过暂时中断或暂停其托管服务器的服务。DDoS 攻击是从许多受感染的设备发起的,这些设备通常分布在全球范围内,称为 僵尸网络。它不同于其他拒绝服务 (DoS) 攻击,因为它使用单个连接到 Internet 的设备(一个网络连接)向目标发送恶意流量。这种细微差别是存在这两个略有不同的定义的主要原因。
从广义上讲,DoS和DDoS攻击可以分为三种类型:
基于容量的攻击
包括 UDP 泛洪、ICMP 泛洪和其他欺骗性数据包泛洪。攻击的目标是使受攻击站点的带宽饱和,其大小以每秒位数 (Bps) 衡量。
协议攻击
包括 SYN 泛洪、碎片包攻击、Ping of Death、Smurf DDoS 等。这种类型的攻击会消耗实际的服务器资源,或中间通信设备(例如防火墙和负载平衡器)的资源,并以每秒数据包数 (Pps) 来衡量。
应用程序层攻击
包括低速和慢速攻击、GET/POST 泛洪攻击、针对 Apache、Windows 或 OpenBSD 漏洞的攻击等。由看似合法且无辜的请求组成,这些攻击的目标是使 Web 服务器崩溃,其大小以每秒请求数 (Rps) 衡量。
常见的 DDoS 攻击类型
一些最常用的 DDoS 攻击类型包括:
UDP泛洪
根据定义,UDP 泛洪是使用用户数据报协议 (UDP) 数据包泛滥目标的任何 DDoS 攻击。攻击的目标是淹没远程主机上的随机端口。这会导致主机重复检查在该端口侦听的应用程序,并且(当未找到应用程序时)使用 ICMP“目标无法到达”数据包进行回复。此过程会消耗主机资源,最终导致无法访问。
ICMP (Ping) 泛洪
原理上与 UDP 泛洪攻击类似,ICMP 泛洪使用 ICMP 回声请求 (ping) 数据包淹没目标资源,通常会尽快发送数据包,而无需等待回复。这种类型的攻击会消耗传出和传入带宽,因为受害者的服务器通常会尝试使用 ICMP 回声回复数据包进行响应,从而导致整体系统速度显着下降。
同步洪水
SYN 泛洪 DDoS 攻击利用了 TCP 连接序列中的一个已知弱点(“三次握手”),其中启动与主机的 TCP 连接的 SYN 请求必须由该主机的 SYN-ACK 响应来回答,并且然后由请求者的 ACK 响应确认。在 SYN 泛洪场景中,请求者发送多个 SYN 请求,但要么不响应主机的 SYN-ACK 响应,要么从欺骗性 IP 地址发送 SYN 请求。无论哪种方式,主机系统都会继续等待每个请求的确认,绑定资源直到无法建立新连接,最终导致 拒绝服务。
Ping of Death
Ping of Death(“POD”)攻击涉及攻击者向计算机发送多个格式错误或恶意的 ping。IP 数据包(包括包头)的最大数据包长度为 65,535 字节。然而,数据链路层通常对最大帧大小有限制——例如以太网网络上的 1500 字节。在这种情况下,一个大的 IP 数据包被拆分成多个 IP 数据包(称为片段),接收主机将 IP 片段重新组装成完整的数据包。在Ping of Death 场景中,在对片段内容进行恶意操作之后,接收方最终得到一个重新组合后大于 65,535 字节的 IP 数据包。这可能会溢出为数据包分配的内存缓冲区,从而导致拒绝为合法数据包提供服务。
Slowloris
Slowloris是一种针对性很强的攻击,它使一个 Web 服务器能够关闭另一台服务器,而不会影响目标网络上的其他服务或端口。Slowloris 通过尽可能长时间地保持与目标 Web 服务器的连接打开来做到这一点。它通过创建到目标服务器的连接来实现这一点,但只发送部分请求。Slowloris 不断发送更多 HTTP 标头,但从未完成请求。目标服务器使这些错误连接中的每一个保持打开状态。这最终会溢出最大并发连接池,并导致拒绝来自合法客户端的额外连接。
NTP放大
在 NTP 放大攻击中,肇事者利用可公开访问的网络时间协议 (NTP) 服务器通过 UDP 流量淹没目标服务器。该攻击被定义为放大攻击,因为在这种情况下,查询与响应的比率介于 1:20 和 1:200 之间或更高。这意味着任何获得开放 NTP 服务器列表的攻击者(例如,通过使用像 Metasploit 这样的工具或来自开放 NTP 项目的数据)都可以轻松地发起毁灭性的高带宽、高容量 DDoS 攻击。
HTTP 洪水
在 HTTP 泛洪 DDoS 攻击中,攻击者利用看似合法的 HTTP GET 或 POST 请求来攻击 Web 服务器或应用程序。HTTP 洪水不使用格式错误的数据包、欺骗或反射技术,并且比其他攻击需要更少的带宽来摧毁目标站点或服务器。当攻击迫使服务器或应用程序分配尽可能多的资源以响应每个请求时,攻击是最有效的。
零日 DDoS 攻击
“零日”定义涵盖所有未知或新的攻击,利用尚未发布补丁的漏洞。该术语在黑客社区的成员中广为人知,交易零日漏洞的做法已成为一种流行的活动。
DDoS 攻击背后的动机
根据最近的市场研究,DDoS 攻击正迅速成为最普遍的网络威胁类型,在过去一年中在数量和数量上都迅速增长。趋势是攻击持续时间更短,但每秒数据包攻击量更大。
攻击者的主要动机是:
意识形态——所谓的“黑客行动主义者”使用 DDoS 攻击作为针对他们在意识形态上不同意的网站的一种手段。
商业争端——企业可以使用 DDoS 攻击战略性地关闭竞争对手的网站,例如,阻止他们参加网络星期一等重大活动。
无聊——网络破坏者,又名“脚本小子”,使用预先编写的脚本来发起 DDoS 攻击。这些攻击的肇事者通常很无聊,想成为黑客,寻求刺激。
勒索——犯罪者使用 DDoS 攻击或 DDoS 攻击的威胁作为向目标勒索钱财的手段。
网络战——政府授权的 DDoS 攻击可用于削弱反对派网站和敌国的基础设施。