分散式阻斷服務(Distributed Denial of Service,簡稱DDoS)是指將多台電腦聯合起來作為攻擊平台,通過遠端連線,利用惡意程式對一個或多個目標發起DDoS攻擊,消耗目標伺服器效能或網路頻寬,從而造成伺服器無法正常地提供服務。
DDoS攻擊原理
DDoS攻擊核心在於利用殭屍網路(Botnet)進行協同攻擊:
攻擊者通過非法手段控制大量互連網裝置,構建一個龐大的殭屍網路。
攻擊時,攻擊者通過控制端下達指令,驅動網路中所有殭屍主機在同一時間,向特定目標(如網站或伺服器)發起集中、海量的無效請求或流量。
這種突發性的流量洪峰會迅速耗盡目標伺服器的系統資源或網路頻寬,導致其服務響應遲緩甚至完全癱瘓,最終無法處理正常使用者的合法請求,達成“拒絕服務”的目的。
DDoS攻擊的危害
重大經濟與品牌損失:攻擊可能導致商務服務中斷,使用者無法訪問,直接造成訂單流失、客戶流失等經濟損失,並嚴重損害品牌信譽。
說明情境樣本:某電商平台在遭受DDoS攻擊時,網站無法正常訪問甚至出現短暫的關閉,導致合法使用者無法下單購買商品等。
資料泄露風險:DDoS攻擊可作為戰術掩護,攻擊者在製造網路混亂的同時,可能趁機入侵系統,竊取敏感的核心資料。
惡意商業競爭:被用作不正當競爭手段,通過癱瘓對手服務來打擊其業務,搶佔市場份額,破壞行業生態。
說明情境樣本:某遊戲業務遭受了DDoS攻擊,遊戲玩家數量銳減,導致該遊戲業務幾天內迅速徹底下線。
如何判斷業務是否已遭受DDoS攻擊?
判斷業務是否遭受DDoS攻擊,可關注以下異常表現:
資產是否受到攻擊,請以流量安全控制台上資產中心頁面顯示的資產狀態為準。關於如何查看資產狀態,請參見資產中心。
服務品質下降:業務訪問卡頓、響應遲緩,或使用者大面積掉線。
伺服器資源異常:CPU或記憶體佔用率在短時間內急劇飆升。
網路流量激增:出向或入向流量出現異常峰值。
海量未知訪問:網站或應用湧入大量來源不明的請求。
遠端管理困難:伺服器登入失敗或響應極慢。
阿里雲如何提供DDoS防護?
可參考選型指引,選擇合適的DDoS防護產品。
DDoS基礎防護(免費)
為您購買的阿里雲產品(ECS、負載平衡、EIP(包含綁定NAT Gateway的EIP)、、Global Acceleration、Web Application Firewall)提供500 Mbps~5 Gbps的DDoS防護能力。具體介紹,可參見上述雲產品的相關文檔。
DDoS原生防護
以透明方式接入的DDoS原生防護,防護對象為部署在阿里雲的資源。詳細介紹,請參見什麼是DDoS原生防護。
DDoS高防
以代理接入模式防護連接埠和網域名稱的DDoS高防,可防護非阿里雲主機。詳細介紹,請參見什麼是DDoS高防。
常見的DDoS攻擊類型
DDoS攻擊分類 | 攻擊子類 | 描述 |
畸形報文 | 畸形報文主要包括Frag Flood、Smurf、Stream Flood、Land Flood、IP畸形報文、TCP畸形報文、UDP畸形報文等。 | 畸形報文攻擊指通過向目標系統發送有缺陷的IP報文,使得目標系統在處理這樣的報文時出現崩潰,從而達到拒絕服務的攻擊目的。 |
傳輸層DDoS攻擊 | 傳輸層DDoS攻擊主要包括Syn Flood、Ack Flood、UDP Flood、ICMP Flood、RstFlood等。 | 以Syn Flood攻擊為例,它利用了TCP協議的三向交握機制,當服務端接收到一個Syn請求時,服務端必須使用一個監聽隊列將該串連儲存一定時間。因此,通過向服務端不停發送Syn請求,但不響應Syn+Ack報文,從而消耗服務端的資源。當監聽隊列被佔滿時,服務端將無法響應正常使用者的請求,達到拒絕服務的攻擊的目的。 |
DNS DDoS攻擊 | DNS DDoS攻擊主要包括DNS Request Flood、DNS Response Flood、虛假源+真實源DNS Query Flood、權威伺服器攻擊和Local伺服器攻擊等。 | 以DNS Query Flood攻擊為例,其本質上執行的是真實的Query請求,屬於正常業務行為。但如果多台傀儡機同時發起海量的網域名稱查詢請求,服務端無法響應正常的Query請求,從而導致拒絕服務。 |
串連型DDoS攻擊 | 串連型DDoS攻擊主要是指TCP慢速連線攻擊、串連耗盡攻擊、Loic、Hoic、Slowloris、 Pyloris、Xoic等慢速攻擊。 | 以Slowloris攻擊為例,其攻擊目標是Web伺服器的並發上限。當Web伺服器的串連並發數達到上限後,Web服務即無法接收新的請求。Web服務接收到新的HTTP請求時,建立新的串連來處理請求,並在處理完成後關閉這個串連。如果該串連一直處於串連狀態,收到新的HTTP請求時則需要建立新的串連進行處理。而當所有串連都處於串連狀態時,Web將無法處理任何新的請求。 Slowloris攻擊利用HTTP協議的特性來達到攻擊目的。HTTP請求以 |
Web應用程式層DDoS攻擊 | Web應用程式層攻擊主要是指HTTP Get Flood、HTTP Post Flood、CC等攻擊。 | 通常應用程式層攻擊完全類比使用者請求,類似於各種搜尋引擎和爬蟲一樣,這些攻擊行為和正常的業務並沒有嚴格的邊界,難以辨別。 Web服務中一些資源消耗較大的事務和頁面。例如,Web應用中的分頁和分表,如果控制頁面的參數過大,頻繁的翻頁將會佔用較多的Web服務資源。尤其在高並發頻繁調用的情況下,類似這樣的事務就成了早期CC攻擊的目標。 由於現在的攻擊大都是混合型的,因此類比使用者行為的頻繁操作都可以被認為是CC攻擊。例如,各種刷票軟體對網站的訪問,從某種程度上來說就是CC攻擊。 CC攻擊瞄準的是Web應用的後端業務,除了導致拒絕服務外,還會直接影響Web應用的功能和效能,包括Web回應時間、資料庫服務、磁碟讀寫等。= |