DDOS功击是最常见的一种网络安全威胁,主要就是靠大量虚假流量功击目标,耗尽网络带宽和服务器资源,导致正常用户无法使用。DDOS功击是利用TCP协议“三次握手”的漏洞进行的,所有目前还没有能够彻底解决的方法。所以对于任何一个企业或者组织而言,DDOS功击都是一个无法忽视的网络安全威胁。
根据墨者安全相关数据显示,2018年上半年与2017年下半年相比,无论是功击规模还是影响,DDOS功击都出现大规模上涨。尤其是物联网“肉鸡”数量大幅度增加,导致DDOS功击规模越来越大。通过数据分析发现,在2018年上半年里,绝大部分DDoS功击都是TCP SYN功击,Satori和Anarchy这两个专门利用0 day漏洞发动功击的僵尸网络是导致近期DDoS功击数量猛增的罪魁祸首。功击者可以通过增加单独数据包的大小来控制DDoS功击的规模和影响度,其中数据包的大小大约在887到936个字节区间。
DDoS功击向量
基于UDP的功击是目前主要的DDoS功击向量,现在有很多功击者都在利用这种无连接和无会话的网络协议来发动高效的功击,因为他们在这个过程中不需要进行初始化握手连接,而且数据流也不会受到发送速率的限制。
UDP(3,407 attacks/31.56% of total attacks)
一般来说,ping数据包主要是用来测试网络连通性的,而功击者可以通过自制的工具并使用ping数据包来让目标网络出现过载的情况。
ICMP(1,006 attacks/9.32% of total attacks)
在基于SYN的功击活动中,功击者可以使用大量SYN数据包(ACK)来对目标网络执行DDoS功击,这种方式同样会让目标服务器出现拒绝服务的情况(过载)。
TCPSYN (1,997 attacks/18.50% of total attacks)
在TCP协议三次握手的过程中,功击者伪造大量的虚假ip,向服务器发送SYN包,服务器在接收到SYN包后,会返回响应,并进入SYN_RECV状态,等待客户端的确认,但是伪造的ip肯定不会给予响应,于是服务器以为数据包丢失,不断重发。这些伪造的SYN包将长时间占用未连接队列,导致正常的SYN请求因为队列满而被丢弃,从而引起网络堵塞甚至系统瘫痪。
同时,墨者安全还发现在很多其他的DDoS功击活动中,还会涉及到包括ICMP、CLDAP、TCP SYN、NTP放大和UDP在内的功击向量,这些大约占47.97%。而在大规模DDoS功击活动中,主要采用的都是TCP SYN和UDP多向量融合的方式,尤其是那些功击流量超100Gbps的DDoS功击活动。
绝大部分的DDoS功击(55.28%)持续时间都不会超过90分钟,40.1%的功击持续时间会在90分钟至1200分钟之间,仅有4.62%的功击会持续超过1200分钟。从流量方面来看,64.13%的功击活动流量小于10Gbps,35.87%的功击活动流量高于10Gbps。美国和中国是目前DDoS功击的主要来源地区,紧随其后的分别是法国、德国和俄罗斯。
在如今这个互联网环境下,企业必须重视自身的网络安全问题,根据自身情况部署相应的网络防护措施。当我们发现网站被功击的时候不要过度惊慌失措,先查看一下网站服务器是不是被黑了,开启IP禁PING,可以防止被扫描,关闭不需要的端口,接入墨者安全高防,保障企业网络安全。