作者
Jim Holdsworth
Staff Writer
IBM Think
Matthew Kosinski
Staff Editor
IBM Think
什么是 DDoS 攻击?
分布式拒绝服务 (DDoS) 攻击通常利用僵尸网络,以欺诈性连接请求或恶意流量冲击在线资源(如网站或云服务)。目标系统因无法承载流量而严重迟滞或崩溃,致使合法用户无法访问。
分布式拒绝服务攻击是一种拒绝服务攻击(DoS 攻击),这一类别包括所有减慢或停止应用程序或服务的网络攻击。DDoS 攻击的独特之处在于,它们会同时从多个来源发送攻击流量,这可能会增加识别和防御的难度,这就使“分布式”变成了“分布式拒绝服务”。
根据 IBM® X-Force Threat Intelligence Index,DDoS 攻击占 X-Force 响应的攻击总数的 2%。然而,它们造成的破坏可能会代价高昂。系统停机时间可能会导致服务中断、收入损失和声誉受损。IBM® 数据泄露成本报告指出,网络攻击造成的业务损失平均为 147 万美元。
Think 时事通讯
您的团队能否及时捕获下一个零日?
加入安全领导者的行列,订阅 Think 时事通讯,获取有关 AI、网络安全、数据和自动化的精选资讯。快速访问专家教程和阅读解释器,我们会将这些内容直接发送到您的收件箱。请参阅 IBM 隐私声明。
您的订阅将以英语提供。每份时事通讯都包含取消订阅链接。您可以在此处管理订阅或取消订阅。更多相关信息,请参阅我们的 IBM 隐私声明。
https://www.ibm.com/cn-zh/privacy
DDoS 攻击的运作方式
与其他网络攻击不同,DDoS (分布式拒绝服务) 攻击不会利用网络资源中的漏洞来破坏计算机系统。相反,它们使用超文本传输协议 (HTTP) 和传输控制协议 (TCP) 等标准网络连接协议,以超出其处理能力的流量使得端点、应用程序和其他资产无法访问。
Web 服务器、路由器和其他网络基础设施在任何给定时间只能处理有限数量的请求并维持有限数量的连接。通过耗尽资源的可用带宽,DDoS(分布式拒绝服务)攻击会阻止这些资源响应合法的连接请求和数据包。
从广义上讲,DDoS 攻击有两个主要阶段:创建僵尸网络和实施攻击。
第 1 阶段:创建(或租用或购买)僵尸网络
DDoS 攻击通常需要僵尸网络,即一个由已感染恶意软件的连接互联网设备组成的网络,黑客能够使用该恶意软件远程控制设备。
僵尸网络包含笔记本电脑、台式机、移动设备、物联网 (IoT) 设备等消费级或商用终端。这些受感染设备的所有者通常不知道自己已被感染或正被用于 DDoS 攻击。
一些网络罪犯建立自己的僵尸网络,积极传播恶意软件并接管设备。其他网络罪犯则在暗网上向这些网络罪犯购买或租用预先建立的僵尸网络,这种模式被称为“拒绝服务即服务”。
并非所有 DDoS 攻击都使用僵尸网络。有些人利用未受感染设备的正常运转来达到恶意目的。(有关详细信息,请参阅“Smurf 攻击”。)
第 2 阶段:发起攻击
黑客命令僵尸网络中的设备向目标服务器、设备或服务的 IP 地址发送连接请求或其他数据包。
多数 DDoS 攻击采用暴力手段,海量请求耗尽目标带宽。部分 DDoS 攻击则发送少量复杂请求,迫使目标消耗资源进行响应。无论何种方式,最终导致攻击流量超载目标系统,引发服务中断并阻断合法流量访问。
黑客经常通过伪造 IP 来掩盖攻击源,网络罪犯通过这种技术为从僵尸网络发送的数据包伪造虚假源 IP 地址。在一种名为“反射攻击” (Reflection) 的伪造 IP 形式中,黑客伪造一种假象,使恶意流量看起来像是从受害者自己的 IP 地址发送的。
DDoS 攻击并不总是主要攻击。有时黑客会利用它们来分散受害者对其他网络犯罪的注意力。例如,攻击者可能还会渗漏数据或在网络上部署勒索软件,而此时网络安全团队正忙于抵御 DDoS 攻击。
DDoS 攻击常锁定目标
黑客使用 DDoS 攻击的原因多种多样:勒索、关闭他们不认同的组织和机构、压制竞争企业甚至发动网络战。
一些最常见的 DDoS 攻击目标包括:
在线零售商互联网服务提供商 (ISP)云服务提供商金融机构软件即服务 (SaaS) 提供商游戏公司政府机构
在线零售商
DDoS 攻击可能会引起零售电商的数字商店瘫痪,使客户无法交易直至攻击停止,造成重大经济损失。
互联网服务提供商 (ISP)
当威胁参与者对 ISP 发起 DDoS 攻击时,他们可以使提供商的所有客户离线。
云服务提供商
云服务提供商是 DDoS 攻击的常见目标。由于这些服务为其他企业托管数据和应用程序,因此黑客可以通过单次攻击波及多目标造成大范围的中断。
金融机构
DDoS 攻击会导致银行服务脱机,使客户无法访问自己的账户。
软件即服务 (SaaS) 提供商
如同云服务提供商, SaaS 提供商因黑客能单次瘫痪多家企业而成为高价值目标。
游戏公司
DDoS 攻击可以用流量使服务器瘫痪,中断在线游戏。这些攻击通常是由怀有个人仇恨的心怀不满的玩家发起的,就像最初针对 Minecraft 服务器构建的 Mirai 僵尸网络一样。
政府机构
DDoS 攻击常针对政府机构,战争时期尤甚。
DDoS 攻击的类型
DDoS 攻击根据使用的计策和针对的网络体系结构进行分类。常见的 DDoS 攻击类型包括:
应用层攻击协议攻击容量耗尽攻击多向量攻击
应用层攻击
顾名思义,应用程序层攻击针对的是网络的应用程序层。在开放式系统互连模型(OSI 模型)框架中,用户利用这一层与网页和应用程序交互。应用层攻击用恶意请求使 Web 应用程序瘫痪,中断 Web 应用程序。
最常见的应用层攻击之一是 HTTP 洪流攻击,攻击者从多个设备连续向同一网站发送大量 HTTP 请求。网站无法满足所有请求,速度会减慢或崩溃。HTTP 洪流攻击类似于数百或数千个 Web 浏览器重复刷新同一网页。
协议攻击
协议攻击针对 OSI 模型的网络层(第 3 层)和传输层(第 4 层)。它们的目标是通过恶意连接请求使关键网络资源无法访问,例如防火墙、负载平衡器和 Web 服务器。
最常见的协议攻击包括 SYN 洪流攻击与 smurf 攻击。
SYN 洪流攻击利用 TCP 握手,即两个设备相互建立连接的过程。典型的 TCP 握手包括三个步骤:
一台设备发送一个同步 (SYN) 数据包来启动连接。另一个设备使用同步/确认 (SYN/ACK) 数据包进行响应以确认该请求。原始设备发回 ACK 数据包完成连接建立。
在 SYN 洪流攻击中,攻击者向目标服务器发送大量伪造的源 IP 地址的 SYN 数据包。服务器会响应伪造 IP 地址并等待最终 ACK 数据包。由于源地址被伪造,这些数据包永不抵达。服务器被大量未完成的连接占用,使其无法进行合法的 TCP 握手。
Smurf 攻击利用 因特网控制报文协议 (ICMP),这是一种用于评估两个设备之间连接状态的通信协议。
在典型的 ICMP 交换中,一个设备向另一个设备发送 ICMP 回传请求,后一台设备以 ICMP 回传答复进行响应。
在 Smurf 攻击中,攻击者从与受害者 IP 地址匹配的伪造 IP 地址发送 ICMP 回传请求。此 ICMP 回传请求被发送到 IP 广播网络,该网络将请求转发到网络上的每个设备。
收到 ICMP 回传请求的每个设备(可能是数百或数千台设备)都会通过向受害者的 IP 地址发送 ICMP 回传回复来进行响应。大量的回复超出了受害者设备的处理能力。与许多其他类型的 DDoS 攻击不同,Smurf 攻击不一定需要僵尸网络。
容量耗尽攻击
DDoS 容量耗尽攻击消耗目标网络内或目标服务与互联网其余部分之间的所有可用带宽,阻止合法用户连接到网络资源。
即使与其他类型的 DDoS 攻击相比,容量耗尽攻击通常也会以很高的流量让网络瘫痪,使资源无法访问。众所周知,容量耗尽攻击会击垮清洗中心等 DDoS 防护措施,这些措施旨在从合法流量中过滤掉恶意流量。
常见的容量耗尽攻击类型包括 UDP 洪流、ICMP 洪流和 DNS 放大攻击。
UDP 洪流向目标主机的端口发送虚假的用户数据报协议 (UDP) 数据包,促使主机寻找接收这些数据包的应用程序。由于 UDP 数据包是虚假的,因此没有应用程序可以接收它们,主机必须向发送者发回 ICMP“目标无法到达”消息。
主机的资源因响应源源不断的虚假 UDP 数据包流而被占用,导致主机无法响应合法数据包。
ICMP 洪流攻击(也称为“ping 洪流攻击”)会通过来自多个伪造 IP 地址的 ICMP 回传请求来轰炸目标。目标服务器必须响应所有这些请求,因此会过载,并且无法处理有效的 ICMP 回传请求。
ICMP 洪流攻击与 smurf 攻击的区别在于,攻击者从其僵尸网络发送大量 ICMP 请求。Smurf 攻击中,黑客诱骗网络设备向受害者 IP 地址发送 ICMP 响应。
在DNS 放大攻击中,攻击者则向一台或多台公共 域名系统 (DNS) 服务器发送多个 DNS 请求。这些查找请求使用属于受害者的伪造 IP 地址,并要求 DNS 服务器为每个请求返回大量信息。DNS 服务器回复请求时用大量数据使受害者的 IP 地址无法访问。
多向量攻击
多向量协同攻击顾名思义,通过组合多种攻击载体(而非 单一来源)实现破坏最大化,令 DDoS 防御措施失效。
攻击者可同时启用多个攻击向量,或在某个向量被阻断时实时切换至其他向量。例如,黑客可能会从 Smurf 攻击开始,但当安全系统阻断来自网络设备的流量时,他们可能会从僵尸网络发起 UDP 洪流攻击。
DDoS 威胁也可能与其他网络威胁结合使用。例如,勒索软件攻击者可能会威胁受害者,如果不支付赎金,就会发动 DDoS 攻击。
为何 DDoS 攻击持续肆虐
由于多种原因,DDoS 攻击仍然是一种常见的网络罪犯的策略。
实施 DDoS 攻击需要很少的技能或不需要任何技能
如今网络罪犯甚至无需掌握编程技能即可发动 DDoS 攻击。网络犯罪市场在暗网蓬勃生长,攻击者在此交易僵尸网络、恶意软件等 DDoS 攻击工具。
通过从其他黑客那里租用现成的僵尸网络,网络罪犯可以轻松地自行发起 DDoS 攻击,而无需任何准备或计划。
这类攻击很难检测
由于僵尸网络主要由消费者和商业设备组成,因此组织可能很难将恶意流量与真实用户分开。
此外,DDoS 攻击的症状(服务缓慢、网站和应用程序暂时不可用)可能是由合法流量的突然激增引起的,因此很难早期检测到 DDoS 攻击。
这类攻击很难缓解。
当发现 DDoS 攻击时,由于网络攻击的分布式性质,组织无法简单地通过关闭单个流量源来阻止攻击。旨在阻止 DDoS 攻击的标准网络安全控制(例如速率限制)也会减慢合法用户的操作速度。
潜在的僵尸网络设备比以往任何时候都多
物联网的兴起为黑客提供了丰富的设备来源,可以将其转变为僵尸网络设备。
物联网设备(含医疗设备、制造系统等运营技术 (OT))普遍采用默认配置且安防薄弱甚至缺失,易遭恶意软件感染。
这些设备的所有者可能很难注意到它们已被入侵,因为物联网设备的使用通常是被动进行,频率也较低。
他们使用人工智能
随着黑客采用人工智能 (AI) 和机器学习 (ML) 工具来帮助引导攻击,DDoS 攻击变得越来越复杂。自适应 DDoS 攻击运用人工智能 AI 和 ML 技术自动定位系统最脆弱环节,并实时切换攻击向量与策略以对抗安全团队的 DDoS 防御措施。
如何识别 DDoS 攻击
越早识别 DDoS 攻击,越早开始防御和修复。表明存在攻击的迹象包括:
网站或服务突发减速或完全瘫痪。
单一 IP 段涌入异常流量。
同类特征流量(如特定设备类型或地域)骤增。
针对单一操作/终端/页面的请求激增。
非典型时段(每日/每周特定时间)或规律性(如每五分钟)出现流量峰值。
频现不明错误或超时。
同一网络多服务同时减速。
虽部分异常或存他因,但若 DDoS 攻击正在进行,优先检测可争取时间并减轻损害。
缓解 DDoS 攻击
DDoS 防护解决方案有助于检测流量异常并确定其是无辜还是恶意。毕竟,突然涌现的大量请求可能是一次成功营销活动的结果,而阻止这些请求可能是一场商业灾难。
缓解 DDoS 攻击的核心在于快速转移恶意流量。
常见的 DDoS 预防和缓解措施包括:
Web 应用程序防火墙 (WAF)
标准防火墙在端口级别保护网络,而 WAF 有助于确保请求在被转发到 Web 服务器之前是安全的。WAF 可以确定哪些类型的请求是合法的,哪些类型是非法的,从而能够丢弃恶意流量并防止应用层攻击。
内容交付网络 (CDN)
CDN 是一个分布式服务器网络,可以帮助用户更快速、更可靠地访问在线服务。通过使用 CDN,用户的请求不会一直传回服务的源服务器。相反,请求会被路由到地理位置较近的 CDN 服务器,由这些服务器交付内容。
CDN 可以通过提高服务的整体流量容量来帮助防御 DDoS 攻击。如果 CDN 服务器因 DDoS 攻击而瘫痪,用户流量可以路由到网络中其他可用的服务器资源。
检测与响应工具
终端检测与响应 (EDR) 、网络检测与响应 (NDR) 等工具可监控基础设施中的入侵指标。当系统检测到 DDoS 迹象(如流量模式异常),即触发实时事件响应(如终止可疑网络连接)。
黑洞路由
“黑洞”是网络中专用于丢弃传入流量的隔离区。黑洞路由即在疑似发生 DDoS 攻击时将流量导向该区域。
其弊端在于良莠不分。合法且有价值的流量亦遭抛弃,故此法虽简单却如钝器御敌。
速率限制
速率限制通过设定时段内服务器接受请求的上限实现防护。虽合法用户服务可能减速,但服务器免于过载。
负载均衡
负载均衡是在多个服务器之间分配网络流量以优化应用程序可用性的过程。负载均衡可以自动将流量从不堪重负的服务器中路由出去,从而帮助防御 DDoS 攻击。
企业可以部署基于硬件或软件的负载均衡器处理流量。它们还可以采用任播网络技术——将单一 IP 地址分配至多地域的多台服务器或节点,使流量分散至各服务器。通常请求会发送至最优服务器。当流量激增时,负载被分摊,服务器更不易过载。
流量清洗
清洗中心是专门的网络或服务,可通过流量验证和异常检测等技术,从合法流量中过滤恶意流量。清洗中心封阻恶意流量,同时允许合法流量到达其目的地。