分布式拒绝服务 (DDoS) 攻击是恶意尝试使用户无法使用在线服务,通常是暂时中断或暂停其托管服务器的服务。DDoS攻击是从众多受感染设备发起的,这些设备通常分布在全球范围内,称为 僵尸网络。它与其他拒绝服务 (DoS) 攻击不同,因为它使用单个连接 Internet 的设备(一个网络连接)来用恶意流量淹没目标。这种细微差别是这两个有些不同的定义存在的主要原因。这是有关网络安全的一系列广泛指南的一部分。
从广义上讲,DoS 和 DDoS 攻击可以分为三种类型:
基于卷的攻击
包括 UDP 泛洪、ICMP 泛洪和其他欺骗性数据包泛洪。攻击的目标是使被攻击站点的带宽饱和,并且幅度以每秒比特数 (Bps) 为单位。
协议攻击
包括 SYN 泛洪、分段数据包攻击、Ping of Death、Smurf DDoS 等。这种类型的攻击消耗实际的服务器资源,或中间通信设备的资源,例如防火墙和负载均衡器,并以每秒数据包数 (Pps) 为单位。
应用层攻击
包括低速和慢速攻击、GET/POST 洪水、针对 Apache、Windows 或 OpenBSD 漏洞的攻击等。这些攻击由看似合法和无辜的请求组成,其目标是使 Web 服务器崩溃,其大小以每秒请求数 (Rps) 为单位。
常见的 DDoS 攻击类型
一些最常用的 DDoS 攻击类型包括:
UDP洪水
根据定义,UDP 泛洪是使用用户数据报协议 (UDP) 数据包泛洪目标的任何 DDoS 攻击。攻击的目标是淹没远程主机上的随机端口。这会导致主机反复检查在该端口上侦听的应用程序,并(当没有找到应用程序时)回复 ICMP 'Destination Unreachable' 数据包。此过程会消耗主机资源,最终可能导致无法访问。
ICMP(Ping)洪水
原理上与 UDP 泛洪攻击类似,ICMP 泛洪使用 ICMP Echo Request (ping) 数据包淹没目标资源,通常在不等待回复的情况下尽可能快地发送数据包。这种类型的攻击会消耗传出和传入带宽,因为受害者的服务器通常会尝试使用 ICMP Echo Reply 数据包进行响应,从而导致整个系统显着变慢。
SYN 洪水
SYN 泛洪 DDoS 攻击利用 TCP 连接序列中的一个已知弱点(“三次握手”),其中启动与主机的 TCP 连接的 SYN 请求必须由来自该主机的 SYN-ACK 响应来回答,并且然后由请求者的 ACK 响应确认。在 SYN 泛洪场景中,请求者发送多个 SYN 请求,但要么不响应主机的 SYN-ACK 响应,要么从欺骗的 IP 地址发送 SYN 请求。无论哪种方式,主机系统都会继续等待每个请求的确认,绑定资源直到无法建立新连接,最终导致 拒绝服务。
死亡 ping
死亡 ping (“POD”) 攻击涉及攻击者向计算机发送多个格式错误或恶意的 ping。IP 数据包(包括头)的最大数据包长度为 65,535 字节。然而,数据链路层通常对最大帧大小有限制——例如以太网上的 1500 字节。在这种情况下,一个大的 IP 数据包被拆分为多个 IP 数据包(称为片段),并且接收主机将这些 IP 片段重新组合成完整的数据包。在Ping of Death 场景中,在恶意操作片段内容之后,接收者最终得到一个重新组装后大于 65,535 字节的 IP 数据包。这可能会溢出为数据包分配的内存缓冲区,从而导致对合法数据包的拒绝服务。
Slowloris
Slowloris是一种针对性很强的攻击,可以让一个 Web 服务器关闭另一台服务器,而不会影响目标网络上的其他服务或端口。Slowloris 通过保持与目标 Web 服务器的尽可能多的连接尽可能长时间地保持打开状态来做到这一点。它通过创建与目标服务器的连接来实现这一点,但只发送部分请求。Slowloris 不断发送更多 HTTP 标头,但从未完成请求。目标服务器保持这些虚假连接中的每一个处于打开状态。这最终会溢出最大并发连接池,并导致拒绝来自合法客户端的额外连接。
NTP 放大
在 NTP 放大攻击中,犯罪者利用可公开访问的网络时间协议 (NTP) 服务器来淹没目标服务器的 UDP 流量。攻击被定义为放大攻击,因为在这种情况下查询与响应的比率在 1:20 到 1:200 或更高之间。这意味着任何获得开放 NTP 服务器列表的攻击者(例如,通过使用诸如 Metasploit 之类的工具或来自开放 NTP 项目的数据)都可以轻松产生毁灭性的高带宽、大容量 DDoS 攻击。
HTTP 洪水
在 HTTP 洪水 DDoS 攻击中,攻击者利用看似合法的 HTTP GET 或 POST 请求来攻击 Web 服务器或应用程序。HTTP 洪水不使用格式错误的数据包、欺骗或反射技术,并且比其他攻击需要更少的带宽来破坏目标站点或服务器。当它强制服务器或应用程序分配尽可能多的资源以响应每个请求时,这种攻击是最有效的。
零日 DDoS 攻击
“零日”定义包括所有未知或新的攻击,利用尚未发布补丁的漏洞。该术语在黑客社区的成员中广为人知,交易零日漏洞的做法已成为一种流行的活动。
DDoS 攻击背后的动机
根据最近的市场研究,DDoS 攻击正迅速成为最普遍的网络威胁类型,在过去一年中,无论是数量还是数量都在迅速增长。趋势是攻击持续时间更短,但每秒数据包攻击量更大。
攻击者的主要动机是:
- 意识形态——所谓的“黑客主义者”使用 DDoS 攻击作为针对他们在意识形态上不同意的网站的一种手段。
- 业务不和——企业可以使用 DDoS 攻击战略性地关闭竞争对手的网站,例如,阻止他们参与重大活动,例如网络星期一。
- 无聊——网络破坏者,又名“脚本小子”,使用预先编写的脚本来发起 DDoS 攻击。这些攻击的肇事者通常是无聊的,潜在的黑客正在寻找肾上腺素的冲动。
- 勒索——犯罪者使用 DDoS 攻击或 DDoS 攻击的威胁作为从目标勒索金钱的手段。
- 网络战——政府授权的 DDoS 攻击可用于削弱反对派网站和敌国的基础设施。