针对 DoS 攻击和 DDoS 攻击,理想的防护机制应该是一种多层安全防护态势,它运用在防护相应事件方面有着出色往绩的技术,保护网站、应用程序、API、权威 DNS 和网络资源的安全。
分布式拒绝服务攻击 (DDoS) 是一种网络攻击。在此类攻击中,攻击者通过发送大量恶意流量造成网站、服务器或网络资源不堪重负,从而导致目标无法工作或崩溃,拒绝向合法用户提供服务,使得合法流量无法到达其目的地。
概括来说,DDoS 或 DoS 攻击就如同成百上千个虚假拼车请求所导致的意外交通堵塞。这些请求在拼车服务看来似乎合法,因此服务会调度驾驶员接人,从而不可避免地使城市街道拥堵。这会导致正常的合法流量无法到达目的地。
针对一家公司的网站、Web 应用程序、API、网络或数据中心基础架构发起的 DDoS 攻击会造成停机,导致合法用户无法购买产品、使用服务、获取信息或者访问其他资源。
DDoS 攻击的工作原理是什么?
构建僵尸网络 ——为了发起 DDoS 攻击,攻击者会使用恶意软件创建一个爬虫程序网络。这个网络由感染了恶意软件的联网设备组成,攻击者可以通过控制这些设备向目标发送大量流量。这种爬虫程序网络或 僵尸网络可能包括物联网(IoT 设备)、智能手机、个人电脑等端点,以及路由器和网络服务器。每个受感染的设备都能够将恶意软件传播到其他设备,进一步扩大了攻击的规模。
我们可以参考 HBO 剧集《权力的游戏》中的情节,思考一下夜王是如何创造一支异鬼军队的。夜王创造了最初的异鬼。这些异鬼攻击人类,把他们变成新的异鬼,因此军队不断扩大。军队中的每一个成员都由夜王控制。
发起攻击 ——一旦攻击者建立了僵尸网络,他们就会通过远程指令控制爬虫程序,指示它们向目标服务器、网站、Web 应用程序、API 或网络资源发送请求和流量。这会导致大量流量涌向目标,从而引发拒绝服务,阻止正常流量访问目标。
DDoS 作为服务 ——有时,僵尸网络及其中的爬虫程序会通过“雇佣攻击”服务的形式出租给其他有意发起攻击的人。这让那些没有接受过训练、缺乏经验的恶意攻击者也能轻松自行发动 DDoS 攻击。
DDoS 攻击的目的
DDoS 攻击的目的是为了严重拖慢合法流量的速度,或者阻止合法流量到达其预定目的地。例如,这可能意味着用户无法正常访问网站、购买产品或服务、观看视频,或者无法在社交媒体上进行互动。此外,DDoS 会造成资源不可用或性能下降,导致业务陷入停滞。它可能导致员工无法访问电子邮件或 Web 应用,或让他们无法照常处理工作。
发起 DDoS 攻击可能出于几个原因。
- 黑客行动主义。攻击者可能会对与他们在理念或思想上存在分歧的公司或网站发起 DDoS 攻击。
- 网络战争。政府可能会利用 DDoS 等网络威胁来破坏敌对国的关键基础设施。
- 敲诈勒索。攻击者经常利用 DDoS 威胁向公司敲诈勒索资金。
- 娱乐。许多攻击是由黑客发起的,他们只想通过制造破坏或尝试网络犯罪来获得乐趣和刺激。
- 商业竞争。一家公司可能会对另一家公司发起 DDoS 攻击,以试图获得市场竞争优势。
DDoS 攻击的类型
DDoS 攻击分为许多不同类型,网络犯罪分子经常混合使用多种攻击来给目标造成严重破坏。DDoS 攻击通常针对开放系统互连 (OSI) 模型中描述的七个不同的计算机网络层之一。 OSI 模型的每一层都有独特的用途,就像一栋办公楼中每个楼层都有不同的业务功能。攻击者根据他们想要破坏的网络或面向互联网的资产类型,针对不同的层次发起攻击。
有四种攻击类型:
- 应用层攻击
- 协议攻击
- DNS 放大/反射攻击
- 容积攻击
应用层 DDoS 攻击
应用层 DDoS 攻击(第 7 层 DDoS 攻击)针对 Web 应用程序的特定漏洞,导致应用程序无法正常运行。这些 DDoS 攻击通常针对两个应用程序通过互联网进行数据交换所使用的通信协议。虽然这类 DDoS 攻击难以预防和抵御,但发动起来却非常容易。
- HTTP 泛洪攻击。HTTP 泛洪攻击利用 HTTP 互联网协议的漏洞,该协议用于在互联网上传输网页或发送内容。HTTP 泛洪攻击通过大量 HTTP GET 或 POST 请求让服务器、网站或 Web 应用程序不堪重负,导致其运行速度缓慢或发生崩溃。
- 低速缓慢攻击。低速缓慢攻击是一种拒绝服务 (DoS) 攻击,其目的是通过以非常缓慢的速度发送看似合法的流量和 HTTP 请求,从而规避检测。低速缓慢攻击所需的带宽较低,因此可以从一台计算机或僵尸网络发起。低速缓慢攻击中的流量很难被检测到,因为它表现为合法的第 7 层流量,并且以不会触发安全告警的速率发送。
- Slowloris 攻击。Slowloris DDoS 攻击的目的是通过向 Web 服务器同时建立和维持大量 HTTP 连接,从而让目标服务器不堪重负,导致其无法正常处理请求。Slowloris 攻击通过发送除了更慢,但在其他方面表现得像标准流量的请求,从而耗尽服务器资源。攻击者利用了 HTTP 协议的一项独有特性:客户端能够将 GET 或 POST 请求拆分成多个数据包。 Slowloris 攻击可建立多个连接并让这些连接尽可能长时间地处于打开状态,从而破坏目标 Web 服务器。这是通过发送永远都不会完成的不完整的 HTTP 请求来实施的。
协议 DDoS 攻击
协议攻击主要针对 OSI 模型中的第 3 层和第 4 层互联网通信协议的弱点和漏洞。这些攻击通过发送利用 传输控制协议 (TCP) 或互联网控制消息协议 (ICMP) 的恶意连接请求来消耗并耗尽各种网络基础架构资源(如服务器或防火墙)的计算容量。
- SYN 泛洪。 人们连接到互联网应用的主要方式之一是通过 TCP。这种连接需要从 TCP 服务(如 Web 服务器)进行三方握手,涉及到从用户连接到服务器的位置发送 SYN(同步)数据包,然后服务器返回一个 SYN-ACK(同步确认)数据包,最终通过最后的 ACK(确认)通信作为应答,以此完成 TCP 握手。在 SYN 泛洪攻击中,恶意客户端发送大量 SYN 数据包(通常在握手的第一部分),但永远不会发送确认以完成握手。这使得服务器一直等待对于这些半开放的 TCP 连接的响应。最终,服务器会耗尽容量,导致无法接受跟踪连接状态的新连接。
如果我们将这种网络攻击比喻为拼车,那么可以想象有成千上万甚至更多的虚假请求被发送到拼车公司。出租车司机等待乘客上车并开始旅程,但由于乘客从未出现,最终导致所有空车资源都被耗尽,使得合法的乘车需求无法得到满足。
- Smurf DDoS 攻击。这种 DDoS 攻击的名称来源是:众多规模较小的攻击者凭借纯粹的数量优势来压倒更大规模的对手,就像童话故事里的蓝精灵 (Smurf) 一样。在 Smurf DDoS 攻击中,攻击者使用某个 IP 广播地址,向计算机网络广播大量带有目标仿冒源 IP 的 ICMP 数据包。默认情况下,网络上的大多数设备将通过向该源 IP 地址发送回复的方式来做出响应。根据网络上机器数量的不同,受害计算机的速度可能会因为流量泛洪而被严重拖慢。
DNS 放大/反射 DDoS 攻击
域名系统或 DNS 放大/反射攻击是一种容积 DDoS 攻击媒介,黑客通过伪装其目标的 IP 地址,向开放的 DNS 服务器发送大量请求。作为回应,这些 DNS 服务器通过伪造的 IP 地址响应恶意请求,大量的 DNS 答复形成洪流,从而构成预定目标的攻击。很快,通过 DNS 答复产生的大量流量就会造成受害企业的服务不堪重负、无法使用,并造成合法流量无法到达其预定目的地。
我们用拼车的比喻来解释这种攻击,想象一下,如果有数百或数千个拼车请求被发送到受害者的地址,要求派车前来。这些拼车车辆现在堵塞了通往受害者家的街道,阻止了合法乘客到达该地址。这个比喻也可以用来解释下一节中讨论的容积 DDoS 攻击。
容积 DDoS 攻击
基于容积的 DDoS 攻击主要针对 OSI 第 3 层和第 4 层,通过向目标发送大量来自不同来源的流量,导致目标的可用带宽被完全消耗,从而引发网络变慢或崩溃。容积攻击通常用于转移人们对其他类型的 DDoS 攻击或更危险的网络攻击的注意力。
- UDP 泛洪攻击。 UDP 泛洪攻击经常被选择用于带宽较大的 DDoS 攻击。攻击者会试图用包含无状态 UDP 协议的 IP 数据包充塞目标主机上的端口。随后,受害主机寻找与 UDP 数据包相关的应用程序,如果没有找到,就向发送者回发一条“目标不可达”消息。攻击者经常通过冒用 IP 地址来隐藏自己的身份,一旦目标主机被攻击流量淹没,系统就会失去响应,造成合法用户无法正常使用。
- ICMP 泛洪攻击。互联网控制消息协议 (ICMP) 主要用于错误信息传递,通常不会在系统之间交换数据。ICMP 数据包可能与传输控制协议 (TCP) 数据包一同传输,让应用程序和计算设备在连接到服务器时可以通过网络交换信息。 ICMP 泛洪攻击是一种第 3 层基础架构 DDoS 攻击方法,它使用 ICMP 消息来造成目标网络带宽超载。
如何抵御 DDoS 攻击
企业可以通过实施强大的 DDoS 防御策略、采用优质的 DDoS 抵御服务,并实施高级网络安全控制措施,有效防范和限制 DDoS 攻击带来的破坏。
基于云的解决方案提供大容量、高性能和始终开启的 DDoS 防护措施,旨在防止恶意流量进入网站或干扰 Web API 通信,从而限制攻击的影响,同时允许正常流量通过,保持业务正常运转。
DDoS 抵御服务
在动态多变的攻击环境中,通过采取深度防御方法的抵御方案提供商所提供的 DDoS 保护服务可以为企业和最终用户保驾护航。DDoS 抵御服务将会尽快检测到并阻止 DDoS 攻击,理想情况下,这应该在攻击流量到达抵御提供商净化中心后的当下或几秒钟内完成。由于攻击媒介不断变化、攻击规模不断扩大,为了实现理想 DDoS 防护效果,供应商必须不断投资加强防御能力。为了跟上规模庞大、复杂度高的攻击的步调,必需具备正确的技术来检测恶意流量,也要着手实施强有力的防御性对策,以便快速抵御攻击。
DDoS 抵御提供商可以过滤掉攻击流量,防止其到达作为攻击目标的资产。攻击流量会被基于 CDN 的 Web 保护服务、DDoS 净化服务或基于云的 DNS 服务所拦截。
- 基于 CDN 的 DDoS 防御。配置得当的高级内容交付网络 (CDN) 有助于抵御 DDoS 攻击。在网站保护服务提供商使用其 CDN 专门加速使用 HTTP 和 HTTPS 协议的流量时,所有针对该 URL 发动的 DDoS 攻击流量都会在网络边缘被丢弃。这意味着第 3 层和第 4 层 DDoS 攻击会立即得到抵御,因为这种类型的流量并非以 Web 端口 80 和 443 为目标。该网络采用云端代理的形式,布设在客户的 IT 基础架构前方,将来自最终用户的流量传送到网站和应用程序。由于这些解决方案采用内嵌运作模式,面向 Web 的资产将会始终受到保护,不需要人工干预,也不会受到网络层 DDoS 攻击。
- DDoS 云端净化。DDoS 净化可以让您的在线服务或业务保持正常运转,即使在攻击期间也不例外。基于云的净化服务可以快速抵御针对非 Web 资产(如网络基础架构)发起的大规模攻击。与基于 CDN 的抵御措施不同,DDoS 净化服务可以保护数据中心的所有端口、协议和应用程序,包括基于 Web 和 IP 的服务。企业可以采用以下两种方式之一将网络流量引导至抵御提供商的净化基础架构:通过边界网关协议 (BGP) 的路由通告更改或 DNS 重定向(A 记录或 CNAME)。净化服务会对流量进行监测和检查,从而发现恶意活动,一旦发现 DDoS 攻击,则会实施抵御措施。通常情况下,这类服务的提供商都支持按需和不间断的配置,具体选择哪种配置取决于企业偏好的安全态势。不过就目前而言,越来越多的企业正在改为采用不间断部署模式,以获得更快的防御响应。
- Web 应用程序防火墙。对于应用层防御,企业应考虑部署 网络应用程序防火墙 (WAF) ,以对抗高级攻击,包括某些类型的 DDoS 攻击,比如旨在破坏 OSI 模型第 7 层应用程序处理的 http 请求、HTTP GET 和 HTTP POST 泛洪攻击。
- 本地 DDoS 防护。本地或网络 DDoS 防护涉及在公司的数据中心部署物理和/或虚拟化设备,并与边缘路由器集成,以阻止来自网络边缘的恶意 DDoS 攻击。当网络犯罪分子试图通过“低速缓慢”或“小流量、高频率”的攻击方式来规避检测时,这种防护能够非常有效地阻止他们的攻击。此外,本地 DDoS 防护可以帮助公司避免在未遭受容积攻击的情况下将流量重新路由到云净化中心,进而规避由此所产生的运营成本。本地 DDoS 防护还适合那些对网络流量延迟有非常高要求的公司。例如,提供语音和视频会议平台、多媒体服务以及游戏平台或其他具有近乎实时延迟需求的服务的公司。
- 混合 DDoS 防护。混合 DDoS 防护解决方案综合了 本地和云 DDoS 防护的功能和优势。混合 DDoS 解决方案通过使用本地或网络设备,能够保护客户的网络基础架构免受绝大多数小型攻击。然而,当面临大容量 DDoS 攻击时,混合 DDoS 解决方案则利用云净化中心的规模和容量作为后盾,来抵御大流量攻击。
- 云信令。云信令是一个行业术语,表示在需要重定向以有效保护客户的网络资产和基础架构免受 DDoS 攻击时,本地设备会自动将攻击足迹、签名和其他相关信息传输到云净化中心进行处理。
DDoS 抵御服务的优势
在抵御过程中,您的 DDoS 保护提供商将部署一系列的应对措施,以阻止分布式拒绝服务攻击并降低其影响。随着现代攻击变得更加先进,基于云的 DDoS 抵御保护措施有助于通过 大规模深度防御保障安全,保持后端基础架构和面向互联网的服务的可用性和出色性能。
通过 DDoS 攻击防护服务,企业可以:
- 减小与 DDoS 攻击有关的攻击面和业务风险
- 防止发生影响业务的停机事件
- 防止网页离线
- 提高对 DDoS 事件的响应速度,优化事件响应资源
- 缩短了解和调查服务中断的时间
- 防止员工工作效率降低
- 更迅速地部署应对措施,以抵御 DDoS 攻击
- 防止品牌声誉和利益遭受损失
- 保护整个数字资产环境,保持应用程序正常运行时间和性能
- 最大程度地降低与 Web 安全相关的成本
- 抵御敲诈、 勒索软件和其他不断演变的新威胁
借助 Akamai 产品,保护您的 Web 和互联网服务免受 DDoS 攻击之扰
Akamai 通过专用边缘、分布式 DNS 和云端净化防御构成的透明网格,提供深度 DDoS 防御和抵御服务。这些专门构建的云端服务旨在改善 DDoS 和网络安全态势,同时缩小攻击面、提高抵御质量、减少误报,并且提高在遭遇量级较高、复杂性较高的攻击时的韧性。此外,这些解决方案还可以进行调优,以满足您的 Web 应用程序和基于互联网的服务的特定要求。
- App & API Protector 守护边缘安全。 Akamai App & API Protector 将 Web 应用程序防火墙、爬虫程序抵御、API 安全性和第 7 层 DDoS 防护整合到一个解决方案中。该解决方案可以快速识别漏洞并抵御整个 Web 和 API 资产中的威胁,即使对于更为复杂的分布式架构也能奏效。App & API Protector 易于实施和使用,是公认的卓越攻击检测解决方案。它可以自动更新安全保护措施,并全方位监测流量和攻击。
- Edge DNS 守护 DNS 安全。Akamai 的权威 DNS 服务 Edge DNS也会在边缘处过滤流量。不同于其他 DNS 解决方案,Akamai Edge DNS 的架构经过专门设计,旨在保证用户在面对 DDoS 攻击时的可用性和韧性。Edge DNS 有着卓越的性能,提供多个层面上的架构冗余,包括名称服务器、入网点、网络,甚至是分段式 IP Anycast 云。
- Prolexic 全面防御 DDoS。Akamai Prolexic 提供三种选择,包括本地、云和混合,为客户提供全面的 DDoS 防护,涵盖其数据中心和混合基础架构的所有端口和协议。Prolexic 的云 DDoS 防护,既可作为独立的解决方案,也可作为 Prolexic 本地选项的后备混合解决方案,由分布于 32 个全球大都市中心的超过 36 个云净化中心提供支持,具备超过 20 Tbps 的专用 DDoS 防御能力。这样的能力旨在保持面向互联网的资产的可用性,而这正是任何信息安全计划的基石。作为一项完全托管式服务, Prolexic 可以建立主动和被动安全模式。该服务整合了自动防御机制,以及由全球超过 225 位 Akamai 一线 SOCC 响应人员提供的专家协助式抵御服务。Prolexic 还通过主动防御控制措施来提供业界卓越的零秒抵御 SLA,让数据中心基础架构和基于互联网的服务得到妥善保护,保持出色可用性。
了解更多关于 DDoS 攻击的信息
常见问题
DoS 攻击就是拒绝服务攻击,其目的是让合法用户无法访问网站、路由器、服务器或网络。DoS 攻击由一台计算机发起,而分布式拒绝服务 (DDoS) 攻击则从多个位置对目标发起攻击。为此,DDoS 攻击会利用僵尸网络,也就是由 IPv4 或 IPv6 地址构成的分布式网络——由被劫持的计算机、机器或 IoT 设备构成的爬虫程序网络。
DoS 或 DDoS 攻击会采用泛洪的方式,向服务器、网站、网络设备或机器发送大量恶意流量,以此让其无法正常工作。在容量型攻击(如 ICMP 泛洪攻击或 UDP 泛洪攻击)中,攻击者使用大量流量造成目标不堪重负、系统或用于访问系统的网络路径过载,同时阻止合法流量和用户访问目标资源。
协议攻击(如 SYN 泛洪攻击)会发送利用协议通信的漏洞的恶意连接请求,企图耗尽网络基础架构资源(如防火墙或负载均衡器)的计算能力。在像 Slowloris 这样的应用层攻击中,攻击者会耗尽 Web 服务器、应用程序服务器或数据库可以处理的请求量,从而发起容量耗尽式攻击,同时保持较低的请求量,以此避开检测机制,最终造成用户无法使用攻击目标。
客户为什么选择 Akamai
Akamai 是一家专注于网络安全和云计算的公司,致力于支持并保护在线商业活动。我们卓越的安全解决方案、出色的威胁情报和全球运营团队可提供深度防御,保护各地的企业数据和应用程序。Akamai 的全栈云计算解决方案可在全球分布广泛的平台上提供高性能和经济实惠的服务。全球多家企业坚信,Akamai 能够提供卓越的可靠性、规模和专业知识,帮助企业满怀信心地实现业务增长。
相关产品
Prolexic
以高速、有效的防御机制大规模地阻止 DDoS 攻击。
Edge DNS
依靠高度安全的 DNS,保证 Web 应用程序和 API 始终可用。
App & API Protector
为网站、应用程序和 API 提供一站式、零妥协的安全防御。
其他资源
混合云世界中的 DDoS 防御
并非所有 DDoS 缓解措施都具有同等的效力。了解有多少云服务提供商不具备这种效力,以及哪些提供商值得关注。
2024 年欧洲、中东和非洲地区的 DDoS 威胁
我们最新一期的研究报告提供了您可更好地抵御欧洲、中东和非洲地区不断增加的 DDoS 攻击方面的知识。
谈到企业网络风险,恶意 DNS 流量分析能提供哪些有用的信息?
DNS 是互联网历史最悠久的基础架构之一。但通过 DNS 传输的攻击流量极其庞大。这篇报告详尽地探究了最为普遍的威胁,还提供了其他方面的信息。
相关页面
访问下列页面,详细了解相关主题和技术。