先给大家举个形象例子便于理解:
我开了一家可容纳100人的老陕羊肉泡馍馆,由于用料上等,童叟无欺。平时门庭若市,生意特别红火,而对面二狗家的泡馍馆却无人问津。二狗为了对付我,想了一个办法,叫了100个人来我泡馍馆坐着却不点菜,让别的客人无法正常吃饭。
上面这个例子讲的就是典型的DDOS攻击,全程是Distributed Denial of Server,翻译成中文就是分布式拒绝服务。一般来说是指攻击者利用“肉鸡”对目标网站在较短的时间内发起大量请求,大规模消耗目标网站的主机资源,让它无法正常服务。在线游戏,互联网金融等领域是DDOS攻击的高发行业。
分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行。
在信息安全的三要素-----"保密性"、"完整性"和"可用性"中,DoS(Denial of Service),即拒绝服务攻击,针对的目标正是"可用性"。该攻击方式利用目标系统网络服务功能缺陷或者直接消耗其系统资源,使得该目标系统无法提供正常的服务。
DDoS的攻击方式有很多种,最基本的Dos攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。单一的DoS攻击一般是采用一对一方式的,当攻击目标CPU速度低、内存小或者网络带宽小等等各项指标不高的性能,它的效果是明显的。随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得DoS攻击的困难程度加大了-目标对恶意攻击包的"消化能力"加强了不少。这时候分布式的拒绝服务攻击手段(DDoS)就应运而生了。DDoS就是利用更多的傀儡机(又称“肉鸡”)来发起进攻,以比从前更大的规模来进攻受害者。
最常见的DDoS攻击是利用TCP协议三次握手的缺陷进行的。基于TCP协议的通信在通信之前,首先要协商,这个协商过程就是以三次握手实现的。正常情况下,客户端发送一个SYN数据包,说明要进行通信了。服务器收到该SYN包后,回应一个ACK确认包。客户端再回应一个确认包。这样三次握手就协商完成,下面就会正式进行通信。当黑客要进行DDoS攻击时,他会操纵很多僵尸主机向被攻击的服务器发送SYN数据包,当服务器回复ACK确认包后,僵尸主机不再回应,这样服务器就会保持这个半连接的存在进行等待。每一个这样的半连接都会耗费服务器的资源,如果有数量极大的半连接,服务器就会停止正常工作了。
还有一些DDoS攻击是基于UDP的攻击。UDP是无连接的协议,倘若服务器上开放了漏洞端口,发送大量的无用UDP数据包,可以很快淹没该服务器。另外的基于ICMP的DDoS攻击,也是类似的原理。
DDOS攻击现象:
-
1.被攻击主机上有大量等待的TCP连接;
-
2.网络中充斥着大量的无用的数据包;
-
3.源地址为假 制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯;
-
4.利用受害主机提供的传输协议上的缺陷反复高速的发出特定的服务请求,使主机无法处理所有正常请求;
-
5.严重时会造成系统死机。
当知道了DDoS攻击的类型和危害之后,就要有效预防它。不做好预防,等危害已经造成才发现,则未免已经太晚。接下来,以基于TCP的DDoS攻击的预防为例,简要阐明。
DDoS攻击的一大特征,是突然产生巨大的攻击流量。借助流量监控设备,可以及时发现异常流量的突现。
主流DDoS防御手段特点
高防机房
高防机房采用的是最为传统的DDoS防御方案,通过增加入口带宽并在机房部署DDoS防护设备,基于已知的特征库,对访问服务器的流量进行规则匹配检测,并依靠网络带宽进行清洗来实现防御。
高防机房又分为运营商机房、IDC机房和公有云机房。
高防+IP跳变
随着互联网技术的发展,DDoS攻击变得越来越容易,攻击的规模也越来越大。对于传统的高防机房来说,这些意味着更多的网络带宽和更加高昂的防护费用。
因此,在高防机房的基础上,部分厂商推出了高防机房+IP跳变的升级方案,这种方案有几个特点:
1、 端云结合:通过在客户端集成SDK,与云端的分布式的防护节点阵列相结合,共同防御。
2、 中心调度:在防护节点阵列前,有一个调度中心,统一收集客户端SDK发送过来的数据,并根据实时分析结果,动态调度防护节点进行攻击隔离防御。
3、 IP跳变:当一个防护节点的IP被攻击打掉后,调度中心将业务流量调度导入到下一个IP的防护节点,如此循环。当客户购买的所有节点都被攻击瘫痪后,则将流量导入到高防机房防护。
4、 分层隔离降低影响:客户自己将终端用户分级,分别对应不同级别的IP地址池,某一个级别的IP遭受攻击时只影响本层级的终端用户,不影响其他级别的用户。
5、 资源独享:按照客户购买的防护节点数量,提供相应规模的防护能力。游戏厂商购买的防护节点是资源独享的。
全栈云化
随着物联网的发展,肉鸡、僵尸网络和反射型攻击等攻击手段的不断变化发展,网络中的一切设备都可以被黑客利用,形成一次超大规模的DDoS攻击。高防+IP跳变的方案在很大程度上可以缓解DDoS攻击,但却是以牺牲部分用户体验为代价换取。另一方面,这种方案需要高防协同进行防护,始终无法摆脱对防护带宽的依赖与限制,成本较高。
2017年开始,一种新型的全栈云化的DDoS防御方案被提出,这种方案比高防+IP跳变的方案更加智能,更加主动,理论上对防护流量没有上限,主要包括以下特点:
1、 无高防:摒弃了高防机房的束缚,不依赖带宽资源,全程无硬抗环节。
2、 端云协同:客户端需要集成SDK,通过SDK与云端防护节点联动进行防御。
相较之前两种方案,全栈云化的方案优点非常明显。
如果你觉得难于理解,那就看过来,这个解答我们结合之前的例子:
高防服务器
还是拿我开的老陕泡馍馆举例,高防服务器就是我给泡馍馆增加了两名保安,这两名保安可以让保护店铺不受流氓骚扰,并且还会定期在店铺周围巡逻防止流氓骚扰。
高防服务器主要是指能独立硬防御 50Gbps 以上的服务器,能够帮助网站拒绝服务攻击,定期扫描网络主节点等,这东西是不错,就是贵~(雇人总是要付钱的)。
黑名单
面对泡馍馆里面的流氓,我一怒之下将他们拍照入档,并禁止他们踏入店铺,但是有的时候遇到长得像的人也会禁止他进入店铺。这个就是设置黑名单,此方法秉承的就是“错杀一千,也不放一百”的原则,缺点是会封锁正常流量,影响到正常业务。
DDoS 清洗
DDos 清洗,就是我发现客人进店几分钟以后,但是一直不点餐,我就把他踢出店里。
DDoS 清洗会对用户请求数据进行实时监控,及时发现DOS攻击等异常流量,在不影响正常业务开展的情况下清洗掉这些异常流量。
CDN加速
CDN 加速,我们可以这么理解:为了减少流氓骚扰,我干脆将火锅店开到了线上,承接外卖服务,这样流氓找不到店在哪里,也耍不来流氓了。
在现实中,CDN 服务将网站访问流量分配到了各个节点中,这样一方面隐藏网站的真实 IP,另一方面即使遭遇 DDoS 攻击,也可以将流量分散到各个节点中,防止源站崩溃。
又拍云安全防护
又拍云是针对容易遭受大流量 DDoS 攻击的电商、金融、游戏等类型的客户专门推出的付费增值服务。DDoS 高防节点拥有强大的流量攻击防护能力,并且支持 TCP/UDP 等多种协议,可防护 SYN Flood,ACK Flood 等多种类型的攻击。用户接入服务后,防护平台会识别并将攻击流量引流至高防节点,确保用户业务的可持续使用。
DDoS攻击危害巨大,要及时预防,否则后果不堪设想。难道一定要等到事后救火?我想这不是运维工程师想看到的结果。