因此,假设您经常访问的网站突然莫名其妙地变得不可用。它可能只是 DDoS 攻击(分布式拒绝服务)的受害者。
当然,情况并非总是如此,因为这些恶意攻击通常是有针对性的,但让我们仔细看看 DDoS 攻击,并弄清楚它们是什么以及为什么会发生。
分布式拒绝服务 (DDoS) 攻击的设计者通常希望阻止对网络的访问,他们会通过向服务发送大量虚假请求来实现这一目的。我们的意思很深。结果,该网站将无法正常工作——当有这么多假冒网站耗尽其资源时,它将无法满足您的合法请求!
DDoS 攻击使用受感染的机器(计算机和物联网设备)来创建这些虚假请求,并且会同时使用多个请求。
如果您想要一个不太技术性的类比,DDoS 攻击相当于 100 只小狗站在几个食物碗周围。有些小狗想吃东西,但大多数小狗只是围着碗吠叫,阻止饥饿的小狗吃到食物。还有……等等,我们在说什么?
DDoS 攻击是如何运作的?
攻击架构师首先要建立一个僵尸网络。正如您可能想象的那样,僵尸网络只是僵尸程序的集合,而这些僵尸程序就是前面提到的受感染机器。这些机器通常也感染了恶意软件,这使得它们可以被攻击者远程控制。
使用多台机器可以更轻松地创建更多虚假请求,并且使目标网络更难抵御 DDoS 攻击。多台机器更难以追踪和关闭,并且关闭一台机器对于阻止攻击没有多大作用。
为什么会发生 DDoS 攻击?
DDoS 攻击可能导致网站无响应或完全不可用 - 攻击者可能会寻求勒索竞争对手或进行报复,目标是支付网关或银行服务。一些 DDoS 攻击也是由网络活动分子发起的。
无意的 DDoS 事件也可能发生。这些不是攻击——没有僵尸网络的架构师——但只要站点人气激增,由此产生的新流量激增就会使网络资源过载,其后果与 DDoS 攻击相同。如果名人发布链接,或者在著名新闻报道中提到较小的网站,通常会发生这种情况。
DDoS 方法
应用层DDoS攻击比较常见,针对网站的特定功能进行破坏。应用层攻击比网络攻击占用的资源更少,并且经常与网络攻击一起使用,通常是为了转移 IT 和安全团队的注意力。应用层攻击可以巧妙地伪装成常规流量,但实际上却对网站的导航和搜索功能造成严重破坏。
类似地,SYN 洪水利用僵尸网络试图耗尽目标服务器的所有资源并使其不可用。攻击者将尝试发起大量(看似合法的)到服务器的连接。这些连接请求不会最终确定,因为 SYN 洪水不需要完成 TCP 三向握手,这意味着服务器在等待假连接解析时将没有必要的资源来响应真实用户流量。
缓解 DDoS
对抗 DDoS 攻击最重要的部分是确定哪些流量是合法的,以及哪些流量来自攻击者及其僵尸网络。然而,说起来容易做起来难。
复杂的 DDoS 攻击很难从常规流量中辨别出来 - 而这正是攻击者所指望的!他们希望 DDoS 攻击能够融入其中,他们希望与普通用户无法区分,因为这使他们更难以识别。
筛选流量并找出潜在网络攻击者的一种方法是使用物理前端硬件。该硬件可以筛选数据包并识别潜在威胁,在确定大量流量是否是简单的兴趣高峰……或者更恶意的东西时特别方便。