因此,假設您經常訪問的網站突然莫名其妙地變得不可用。它可能只是 DDoS 攻擊(分佈式拒絕服務)的受害者。
當然,情況並非總是如此,因為這些惡意攻擊通常是有針對性的,但讓我們仔細看看 DDoS 攻擊,並弄清楚它們是什麼以及為什麼會發生。
分佈式拒絕服務 (DDoS) 攻擊的設計者通常希望阻止對網絡的訪問,他們會通過向服務發送大量虛假請求來實現這一目的。我們的意思很深。結果,該網站將無法正常工作——當有這麼多假冒網站耗盡其資源時,它將無法滿足您的合法請求!
DDoS 攻擊使用受感染的機器(計算機和物聯網設備)來創建這些虛假請求,並且會同時使用多個請求。
如果您想要一個不太技術性的類比,DDoS 攻擊相當於 100 隻小狗站在幾個食物碗周圍。有些小狗想吃東西,但大多數小狗隻是圍著碗吠叫,阻止飢餓的小狗吃到食物。還有……等等,我們在說什麼?
DDoS 攻擊是如何運作的?
攻擊架構師首先要建立一個殭屍網絡。正如您可能想像的那樣,殭屍網絡只是殭屍程序的集合,而這些殭屍程序就是前面提到的受感染機器。這些機器通常也感染了惡意軟件,這使得它們可以被攻擊者遠程控制。
使用多台機器可以更輕鬆地創建更多虛假請求,並且使目標網絡更難抵禦 DDoS 攻擊。多台機器更難以追踪和關閉,並且關閉一台機器對於阻止攻擊沒有多大作用。
為什麼會發生 DDoS 攻擊?
DDoS 攻擊可能導致網站無響應或完全不可用 - 攻擊者可能會尋求勒索競爭對手或進行報復,目標是支付網關或銀行服務。一些 DDoS 攻擊也是由網絡活動分子發起的。
無意的 DDoS 事件也可能發生。這些不是攻擊——沒有殭屍網絡的架構師——但只要站點人氣激增,由此產生的新流量激增就會使網絡資源過載,其後果與 DDoS 攻擊相同。如果名人發布鏈接,或者在著名新聞報導中提到較小的網站,通常會發生這種情況。
DDoS 方法
應用層DDoS攻擊比較常見,針對網站的特定功能進行破壞。應用層攻擊比網絡攻擊佔用的資源更少,並且經常與網絡攻擊一起使用,通常是為了轉移 IT 和安全團隊的注意力。應用層攻擊可以巧妙地偽裝成常規流量,但實際上卻對網站的導航和搜索功能造成嚴重破壞。
類似地,SYN 洪水利用殭屍網絡試圖耗盡目標服務器的所有資源並使其不可用。攻擊者將嘗試發起大量(看似合法的)到服務器的連接。這些連接請求不會最終確定,因為 SYN 洪水不需要完成 TCP 三向握手,這意味著服務器在等待假連接解析時將沒有必要的資源來響應真實用戶流量。
緩解 DDoS
對抗 DDoS 攻擊最重要的部分是確定哪些流量是合法的,以及哪些流量來自攻擊者及其殭屍網絡。然而,這說起來容易做起來難。
複雜的 DDoS 攻擊很難從常規流量中辨別出來 - 而這正是攻擊者所指望的!他們希望 DDoS 攻擊能夠融入其中,他們希望與普通用戶無法區分,因為這使他們更難以識別。
篩選流量並找出潛在網絡攻擊者的一種方法是使用物理前端硬件。該硬件可以篩選數據包並識別潛在威脅,在確定大量流量是否是簡單的興趣高峰……或者更惡意的東西時特別方便。