什麼是 DDoS 攻擊?

2021-10-14 18:41:58 字數 2021 閱讀 7031

拒絕服務 (dos) 攻擊是一種惡意嘗試,旨在影響合法終端使用者對目標系統(如**或應用程式)的可用性。通常,攻擊者會生成大量資料報或請求,最終使目標系統不堪重負。在發生分布式拒絕服務 (ddos) 攻擊時,攻擊者使用多個被破壞或受控的**生成攻擊。

一般而言,ddos 攻擊可按其攻擊的開放系統互連 (osi) 模型的層級進行隔離。攻擊最常發生在網路層(第 3 層)、傳輸層(第 4 層)、表示層(第 6 層)和應用層(第 7 層)。

在考慮抵禦這些攻擊的緩解技術時,將攻擊分為基礎設施層(第 3 層和第 4 層)和應用層(第 6 層和第 7 層)非常有用。

基礎設施層攻擊

第 3 層和第 4 層的攻擊通常歸類為基礎設施層攻擊。這些也是最常見的 ddos 攻擊型別,包括同步 (syn) 泛洪攻擊和其他反射攻擊(如使用者資料報資料報 (udp) 泛洪)等向量。這些攻擊通常數量較大,旨在使網路或應用程式伺服器的容量過載。但幸運的是,這些也是具有清晰標識且更易於檢測的攻擊型別。

應用層攻擊

第 6 層和第 7 層攻擊通常被歸類為應用層攻擊。雖然這些攻擊不太常見,但它們也往往更加複雜。與基礎設施層攻擊相比,這些攻擊的數量通常較小,但往往側重於應用程式的特定昂貴部分,從而使真實使用者無法使用應用程式。例如,登入頁的大量 http 請求、昂貴的搜尋 api,甚至 wordpress xml-rpc 泛洪(也稱為 wordpress pingback 攻擊)。

減少攻擊表面積

緩解 ddos 攻擊的第一種技術之一是將可能受到攻擊的表面積降至最低,從而限制攻擊者的選擇,並允許您在單個位置構建保護。我們希望確保我們不會將我們的應用程式或資源暴露給埠、協議或應用程式,而這些埠、協議或應用程式不會進行任何通訊。因此,儘量減少可能的攻擊點,讓我們集中精力執行攻擊緩解工作。在某些情況下,為了實現此目的,您可以將計算資源放置在內容分發網路 (cdn) 或負載均衡器之後,並將 internet 直接流量限制在基礎設施的某些部分,如資料庫伺服器。在其他情況下,您可以使用防火牆或訪問控制列表 (acl) 來控制到達應用程式的流量。

計畫擴充套件

緩解大容量 ddos 攻擊的兩個主要考慮因素是頻寬(或傳輸)容量和伺服器容量,以吸收和緩解攻擊。

傳輸容量。 構建應用程式時,請確保您的託管提供商提供充足的冗餘 internet 連線,使您能夠處理大量流量。由於 ddos 攻擊的最終目標是影響您的資源/應用程式的可用性,因此您應該將它們置於靠近您的終端使用者和大型 internet 交換台的位置,這樣即使在大量流量的情況下,您的使用者也可以輕鬆訪問您的應用程式。此外,web 應用程式還可以進一步利用內容分發網路 (cdn) 和智慧型 dns 解析服務,這些服務提供了一層額外的網路基礎設施,用於從通常靠近終端使用者的位置提供內容和解析 dns 查詢。

伺服器容量。 大多數 ddos 攻擊都是容量攻擊,占用大量資源;因此,您可以快速向上或向下擴充套件計算資源,這一點非常重要。要實現此目的,您可以在較大的計算資源上執行,也可以通過具有更多支援較大容量的廣泛網路介面或增強網路等功能的資源。此外,使用負載均衡器持續監控和轉移資源之間的負載也很常見,以防止任何乙個資源過載。

了解什麼是正常和異常流量

每當我們檢測到流量水平公升高而影響到主機時,最基本的基線是只能接受主機可以處理的最大流量,而不會影響可用性。此概念稱為速率限制。更高階的保護技術可以更進一步,並且只能通過分析單個資料報本身智慧型地接受合法的通訊。為此,您需要了解目標通常接收的良好流量的特徵,並能夠將每個資料報與此基線進行比較。

為複雜的應用程式攻擊部署防火牆

最佳做法是使用 web 應用程式防火牆 (waf) 來抵禦試圖利用應用程式本身中的漏洞的攻擊,如 sql 注入或跨站點請求偽造。此外,由於這些攻擊的獨特性,您應該能夠輕鬆建立針對非法請求的自定義緩解措施,這些請求可能具有偽裝成良好流量或來自壞 ip、意外地理位置等特徵。有時,它還有助於緩解攻擊,因為它們可能會獲得經驗支援,以研究流量模式並建立自定義保護。

什麼是DDOS攻擊及怎麼抵抗DDOS攻擊

一 為何要ddos?隨著internet網際網路絡頻寬的增加和多種ddos黑客工具的不斷發布,ddos拒絕服務攻擊的實施越來越容易,ddos攻擊事件正在成上公升趨勢。出於商業競爭 打擊報復和網路敲詐等多種因素,導致很多idc託管機房 商業站點 遊戲伺服器 聊天網路等網路服務商長期以來一直被ddos攻...

什麼是DDOS攻擊及怎麼抵抗DDOS攻擊?

一 為何要ddos 隨著internet 網際網路絡頻寬的增加和多種ddos 黑客工具的不斷發布,ddos 拒絕服務攻擊的實施越來越容易,ddos 攻擊事件正在成上公升趨勢。出 於商業競爭 打擊報復和網路敲詐等多種因素,導致很多idc 託管機房 商業站點 遊戲伺服器 聊天網路等網路服務商長期以來一直...

什麼是DDOS攻擊?怎麼抵抗?

一 為何要ddos?隨著internet網際網路絡頻寬的增加和多種ddos黑客工具的不斷發布,ddos拒絕服務攻擊的實施越來越容易,ddos攻擊事件正在成上公升趨勢。出於商業競爭 打擊報復和網路敲詐等多種因素,導致很多idc託管機房 商業站點 遊戲伺服器 聊天網路等網路服務商長期以來一直被ddos攻...