9826 
2023-06-26 10:33:01 DDOS攻擊是當下最常見,也是危害極大的一種網絡攻擊方式,防DDos攻擊的策略相當重要。遭遇DDOS攻擊,將會對企業的業務和形象造成嚴重的影響,如何去做好防攻的措施成為大家關注的話題趕緊來收藏起來吧。
防DDos攻擊的策略
在探討DDoS之前我們需要先對 DoS 有所了解,DoS泛指黑客試圖妨礙正常使用者使用網絡上的服務,例如剪斷大樓的電話線路造成用戶無法通話。而以網絡來說,由于頻寬、網絡設備和服務器主機等處理的能力都有其限制,因此當黑客產生過量的網絡封包使得設備處理不及,即可讓正常的使用者無法正常使用該服務。例如黑客試圖用大量封包攻擊一般頻寬相對小得多的撥接或 ADSL 使用者,則受害者就會發現他要連的網站連不上或是反應十分緩慢。
DDoS 則是 DoS 的特例,黑客利用多臺機器同時攻擊來達到妨礙正常使用者使用服務的目的。黑客預先入侵大量主機以后,在被害主機上安裝 DDoS 攻擊程控被害主機對攻擊目標展開攻擊;有些 DDoS 工具采用多層次的架構,甚至可以一次控制高達上千臺電腦展開攻擊,利用這樣的方式可以有效產生極大的網絡流量以癱瘓攻擊目標。早在2000年就發生過針對Yahoo, eBay, Buy 和 CNN 等知名網站的DDoS攻擊,阻止了合法的網絡流量長達數個小時。
DDoS 攻擊程序的分類,可以依照幾種方式分類,以自動化程度可分為手動、半自動與自動攻擊。早期的 DDoS 攻擊程序多半屬于手動攻擊,黑客手動尋找可入侵的計算機入侵并植入攻擊程序,再下指令攻擊目標;半自動的攻擊程序則多半具有 handler 控制攻擊用的agent 程序,黑客散布自動化的入侵工具植入 agent 程序,然后使用 handler 控制所有agents 對目標發動 DDoS 攻擊;自動攻擊更進一步自動化整個攻擊程序,將攻擊的目標、時間和方式都事先寫在攻擊程序里,黑客散布攻擊程序以后就會自動掃描可入侵的主機植入 agent 并在預定的時間對指定目標發起攻擊,例如近期的 W32/Blaster 網蟲即屬于此類。
若以攻擊的弱點分類則可以分為協議攻擊和暴力攻擊兩種。協議攻擊是指黑客利用某個網絡協議設計上的弱點或執行上的 bug 消耗大量資源,例如 TCP SYN 攻擊、對認證伺服器的攻擊等;暴力攻擊則是黑客使用大量正常的聯機消耗被害目標的資源,由于黑客會準備多臺主機發起 DDoS 攻擊目標,只要單位時間內攻擊方發出的網絡流量高于目標所能處理速度,即可消耗掉目標的處理能力而使得正常的使用者無法使用服務。
若以攻擊頻率區分則可分成持續攻擊和變動頻率攻擊兩種。持續攻擊是當攻擊指令下達以后,攻擊主機就全力持續攻擊,因此會瞬間產生大量流量阻斷目標的服務,也因此很容易被偵測到;變動頻率攻擊則較為謹慎,攻擊的頻率可能從慢速漸漸增加或頻率高低變化,利用這樣的方式延緩攻擊被偵測的時間。
那么當遭受 DDoS 攻擊的時候要如何設法存活并繼續提供正常服務呢?由先前的介紹可以知道,若黑客攻擊規模遠高于你的網絡頻寬、設備或主機所能處理的能力,其實是很難以抵抗攻擊的,但仍然有一些方法可以減輕攻擊所造成的影響。
首先是調查攻擊來源,由于黑客經由入侵機器進行攻擊,因此你可能無法查出黑客是由哪里發動攻擊,我們必須一步一步從被攻擊目標往回推,先調查攻擊是由管轄網絡的哪些邊界路由器進來,上一步是外界哪臺路由器,連絡這些路由器的管理者(可能是某個ISP或電信公司)并尋求他們協助阻擋或查出攻擊來源,而在他們處理之前可以進行哪些處理呢?
如果被攻擊的目標皇塹ヒ?ip,那么試圖改個 ip 并更改其 DNS mapping 或許可以避開攻擊,這是最快速而有效的方式;但是攻擊的目的就是要使正常使用者無法使用服務,更改ip的方式雖然避開攻擊,以另一角度來看黑客也達到了他的目的。此外,如果攻擊的手法較為單純,可以由產生的流量找出其規則,那么利用路由器的 ACLs(Access Control Lists)或防火墻規則也許可以阻擋,若可以發現流量都是來自同一來源或核心路由器,可以考慮暫時將那邊的流量擋起來,當然這還是有可能將正常和異常的流量都一并擋掉,但至少其它來源可以得到正常的服務,這有時是不得已的犧牲。如果行有余力,則可以考慮增加機器或頻寬作為被攻擊的緩沖之用,但這只是治標不治本的做法。最重要的是必須立即著手調查并與相關單位協調解決。
ddos如何攻擊?
攻擊者發動一次DDoS攻擊大概需要經過了解攻擊目標、攻占傀儡機、發動實際攻擊三個主要步驟:
了解攻擊目標 就是首先準確并且全面地了解攻擊目標具體情況,以便對將要發動的攻擊做到胸有成竹。主要了解的內容包括被攻擊目標的主機數量、IP地址、主機的配置、主機的性能以及主機的帶寬等等。 對于DDoS攻擊者來說,攻擊互聯網上的某個站點,最重點的是確認支持該站點的主機數量,一個大型的網站背后可能會有很多臺主機使用負載均衡技術支撐服務。以上所提到的攻擊目標的信息都會影響到后面兩個步驟的實施目標和策略。因為盲目地發動DDoS攻擊成功率是很低的,并且容易暴露攻擊者的身份。
攻占傀儡主機 就是盡可能多地控制“肉雞”機器,并且在其機器上安裝相應的攻擊程序。在主控機上安裝控制攻擊的程序,而攻擊機則安裝DDoS攻擊的發包程序。成為攻擊者手下肉雞的多數是那些鏈路狀態好、性能好同時安全管理水平差的主機。攻擊者一般會利用已有的或者未公布的一些系統或者應用軟件漏洞入侵并取得一定的控制權,最基本的是在此主機上安裝攻擊實施所需要的程序。 在早期發動DDoS攻擊,攻占傀儡主機這一步主要是攻擊者自己手動完成的,親自掃描網絡來發現安全性較差的主機,將其攻占并且安裝攻擊程序。但是后來隨著DDoS攻擊和蠕蟲的相融合,攻占傀儡機已變成了一個自動化的過程,攻擊者只要將蠕蟲放入網絡中,蠕蟲就會在不斷擴散中攻占主機,這樣攻占的主機數量可以說是相當大,發動的DDoS攻擊的威力可想而知。
發動實際攻擊 這是DDoS攻擊的最后一個階段,也是最終目的。攻擊者通過主控機向攻擊機發出攻擊指令,或者按照原先設定好的攻擊時間和目標,攻擊機不停的向目標發送大量的攻擊包,來淹沒被攻擊者,達到拒絕服務的最終目的。 和前兩個過程相比,實際攻擊過程倒是更簡單的一個階段,一些有經驗的攻擊者可能還會在攻擊的同時通過各種手段檢查攻擊效果,甚至在攻擊過程中動態調整攻擊策略,盡可能清除在主控機和攻擊機上留下的相關痕跡。
防DDos攻擊的策略假如采取以上措施后仍然不能解決DDOS問題,那就需要增加投資去做防攻效果。防止DDOS 攻擊的最重要技巧之一是利用反DDOS 硬件和軟件,在防攻的道路上還是有很多困難需要解決的。
