历史上有哪些著名的ddos事件呢?
本文讲述了历史上最著名的几次DDoS攻击,包括个人黑客和有针对性的攻击活动。让我们了解这些攻击着的想法,以便于更好的防御。
DDoS攻击如何工作?
DDoS攻击需要攻击者控制在线计算机网络才能进行攻击。计算机和其他移动设备(如物联网设备)比如感染了恶意病毒,将每个计算机变成“僵尸”。然后,攻击者可以远程控制僵尸程序组进行攻击,这称为僵尸网络。
一旦僵尸网络建立,攻击者就可以通过远程控制方法向每个机器人发送更新的指令来利用僵尸机器攻击。当僵尸网络连接到受害者的服务器,则会针对IP地址作为目标,每个僵尸程序将通过向目标发送请求来让服务器响应,从而可能导致目标服务器或网络资源耗尽,从而导致正常机器无法连接或者访问。由于每个机器人都是合法的Internet设备,因此将攻击流量与正常流量很难区分。
什么是常见类型的DDoS攻击?
不同的DDoS攻击向量针对网络连接的不同组件。为了理解不同的DDoS攻击是如何工作的,有必要知道如何建立网络连接。网上的网络连接由许多不同的组件或“层”组成。就像从头开始建造房屋一样,模型中的每个步骤都有不同的用途。该OSI模型,如下所示,是用来描述在7种不同的层级的网络连接的概念框架。
虽然几乎所有DDoS攻击都涉及淹没目标设备或网络流量,但攻击可分为三类。攻击者可以使用一个或多个不同的攻击向量,或者可能基于目标采取的反制措施来循环攻击向量。
应用层攻击
攻击的目标:
有时被称为第7层DDoS攻击(参考OSI模型的第7层),这些攻击的目标是耗尽目标的资源。攻击的目标是在服务器上生成网页并响应HTTP请求而传递的层。单个HTTP请求在客户端执行起来很便宜,并且目标服务器响应可能很昂贵,因为服务器通常必须加载多个文件并运行数据库查询才能创建网页。第7层攻击难以防御,因为流量难以标记为恶意。
应用层攻击示例:
HTTP Flood
此攻击类似于同时在多个不同计算机上反复按Web浏览器中的刷新 – 大量HTTP请求泛滥服务器,导致拒绝服务。
这种类型的攻击范围从简单到复杂。更简单的实现可以访问具有相同范围的攻击IP地址,引用者和用户代理的一个URL。复杂版本可能使用大量攻击性IP地址,并使用随机引用和用户代理来定位随机URL。
协议攻击
攻击的目标:
协议攻击(也称为状态耗尽攻击)通过消耗Web应用程序服务器或防火墙和负载平衡器等中间资源的所有可用状态表容量来导致服务中断。协议攻击利用协议栈的第3层和第4层中的弱点来使目标不可访问。
协议攻击示例:
SYN Flood
SYN Flood类似于接收来自商店前面的请求的供应室中的工作人员。工作人员收到请求,去取得包裹,并在将包裹拿出前等待确认。然后,工作人员在没有确认的情况下获得更多的包请求,直到他们无法携带更多的包,变得不堪重负,并且请求开始无人接听。
此攻击通过向目标发送具有欺骗性源IP地址的大量TCP“初始连接请求”SYN数据包来利用TCP握手。目标机器响应每个连接请求,然后等待握手中的最后一步,这一步骤永远不会发生,从而耗尽了进程中的目标资源。
体积攻击
攻击的目标:
此类攻击试图通过消耗目标与较大Internet之间的所有可用带宽来创建拥塞。通过使用放大形式或其他创建大量流量的方式(例如来自僵尸网络的请求)将大量数据发送到目标。
扩增实例:
DNS放大
通过向具有欺骗IP地址(目标的真实IP地址)的开放DNS服务器发出请求,目标IP地址然后从服务器接收响应。攻击者构造请求,以便DNS服务器以大量数据响应目标。结果,目标接收到攻击者初始查询的放大。
减轻DDoS攻击的过程是什么?
减轻DDoS攻击的关键问题是区分攻击和正常流量。例如,如果产品发布的公司网站被热切的客户所淹没,那么切断所有流量是一个错误。如果该公司突然出现来自已知坏人的流量激增,则可能需要努力减轻攻击。困难在于它将真实客户和攻击流量区分开来。
在现代互联网中,DDoS流量有多种形式。设计的流量可以从未欺骗的单一来源攻击到复杂的自适应多向量攻击。多向量DDoS攻击使用多个攻击路径以不同方式压倒目标,可能会分散任何一条轨迹上的缓解措施。同时针对协议栈的多个层的攻击,例如与HTTP泛洪(目标层7)耦合的DNS放大(目标层3/4)是多向量DDoS的示例。
减轻多向量DDoS攻击需要多种策略以对抗不同的轨迹。一般来说,攻击越复杂,流量就越难以与正常流量分离 – 攻击者的目标是尽可能地融合,使缓解尽可能低效。涉及不加选择地丢弃或限制流量的缓解尝试可能会带来良好的流量,并且攻击也可以修改并适应规避对策。为了克服复杂的破坏尝试,分层解决方案将带来最大的好处。DDoS防御方法《DoS与DDoS攻击区别,当云主机被DDoS了,应当如何防护?》
黑洞布线
几乎所有网络管理员都可以使用的一种解决方案是创建一个黑洞路由并将流量汇集到该路由中。在最简单的形式中,当实施黑洞过滤而没有特定的限制标准时,合法和恶意网络流量都被路由到空路由或黑洞并从网络中丢弃。如果Internet属性正在遭受DDoS攻击,则该属性的Internet服务提供商(ISP)可能会将所有站点的流量发送到黑洞作为防御。
限速
限制服务器在特定时间窗口内接受的请求数量也是减轻拒绝服务攻击的一种方法。虽然速率限制有助于减缓网络抓取工具窃取内容并减少暴力登录尝试,但仅凭它可能不足以有效地处理复杂的DDoS攻击。然而,速率限制是有效DDoS缓解策略中的有用组件。
Web应用防火墙
Web应用防火墙(WAF)是一种工具,可以有助于减轻层7 DDoS攻击。通过在Internet和源服务器之间放置WAF,WAF可以充当反向代理,保护目标服务器免受某些类型的恶意流量的影响。通过基于用于识别DDoS工具的一系列规则来过滤请求,可以阻止第7层攻击。WAF有效的一个关键因素就是能够快速实施自定义规则以屏蔽攻击。