分散式阻斷服務(Distributed Denial of Service,簡稱DDoS)是指將多台電腦聯合起來作為攻擊平台,通過遠端連線,利用惡意程式對一個或多個目標發起DDoS攻擊,消耗目標伺服器效能或網路頻寬,從而造成伺服器無法正常地提供服務。
攻擊原理
通常,攻擊者使用一個非法帳號將DDoS主控程式安裝在一台電腦上,並在網路上的多台電腦上安裝代理程式。在所設定的時間內,主控程式與大量代理程式進行通訊,代理程式收到指令時對目標發動攻擊,主控程式甚至能在幾秒鐘內啟用成百上千次代理程式的運行。
DDoS攻擊的危害
DDoS攻擊會對您的業務造成以下危害:
重大經濟損失
在遭受DDoS攻擊後,您的來源站點伺服器可能無法提供服務,導致使用者無法訪問您的業務,從而造成巨大的經濟損失和品牌損失。
例如:某電商平台在遭受DDoS攻擊時,網站無法正常訪問甚至出現短暫的關閉,導致合法使用者無法下單購買商品等。
資料泄露
駭客在對您的伺服器進行DDoS攻擊時,可能會趁機竊取您業務的核心資料。
惡意競爭
部分行業存在惡性競爭,競爭者可能會通過DDoS攻擊惡意攻擊您的服務,從而在行業競爭中擷取優勢。
例如:某遊戲業務遭受了DDoS攻擊,遊戲玩家數量銳減,導致該遊戲業務幾天內迅速徹底下線。
常見的DDoS攻擊類型
DDoS攻擊分類 | 攻擊子類 | 描述 |
畸形報文 | 畸形報文主要包括Frag Flood、Smurf、Stream Flood、Land Flood、IP畸形報文、TCP畸形報文、UDP畸形報文等。 | 畸形報文攻擊指通過向目標系統發送有缺陷的IP報文,使得目標系統在處理這樣的報文時出現崩潰,從而達到拒絕服務的攻擊目的。 |
傳輸層DDoS攻擊 | 傳輸層DDoS攻擊主要包括Syn Flood、Ack Flood、UDP Flood、ICMP Flood、RstFlood等。 | 以Syn Flood攻擊為例,它利用了TCP協議的三向交握機制,當服務端接收到一個Syn請求時,服務端必須使用一個監聽隊列將該串連儲存一定時間。因此,通過向服務端不停發送Syn請求,但不響應Syn+Ack報文,從而消耗服務端的資源。當監聽隊列被佔滿時,服務端將無法響應正常使用者的請求,達到拒絕服務的攻擊的目的。 |
DNS DDoS攻擊 | DNS DDoS攻擊主要包括DNS Request Flood、DNS Response Flood、虛假源+真實源DNS Query Flood、權威伺服器攻擊和Local伺服器攻擊等。 | 以DNS Query Flood攻擊為例,其本質上執行的是真實的Query請求,屬於正常業務行為。但如果多台傀儡機同時發起海量的網域名稱查詢請求,服務端無法響應正常的Query請求,從而導致拒絕服務。 |
串連型DDoS攻擊 | 串連型DDoS攻擊主要是指TCP慢速連線攻擊、串連耗盡攻擊、Loic、Hoic、Slowloris、 Pyloris、Xoic等慢速攻擊。 | 以Slowloris攻擊為例,其攻擊目標是Web伺服器的並發上限。當Web伺服器的串連並發數達到上限後,Web服務即無法接收新的請求。Web服務接收到新的HTTP請求時,建立新的串連來處理請求,並在處理完成後關閉這個串連。如果該串連一直處於串連狀態,收到新的HTTP請求時則需要建立新的串連進行處理。而當所有串連都處於串連狀態時,Web將無法處理任何新的請求。 Slowloris攻擊利用HTTP協議的特性來達到攻擊目的。HTTP請求以 |
Web應用程式層DDoS攻擊 | Web應用程式層攻擊主要是指HTTP Get Flood、HTTP Post Flood、CC等攻擊。 | 通常應用程式層攻擊完全類比使用者請求,類似於各種搜尋引擎和爬蟲一樣,這些攻擊行為和正常的業務並沒有嚴格的邊界,難以辨別。 Web服務中一些資源消耗較大的事務和頁面。例如,Web應用中的分頁和分表,如果控制頁面的參數過大,頻繁的翻頁將會佔用較多的Web服務資源。尤其在高並發頻繁調用的情況下,類似這樣的事務就成了早期CC攻擊的目標。 由於現在的攻擊大都是混合型的,因此類比使用者行為的頻繁操作都可以被認為是CC攻擊。例如,各種刷票軟體對網站的訪問,從某種程度上來說就是CC攻擊。 CC攻擊瞄準的是Web應用的後端業務,除了導致拒絕服務外,還會直接影響Web應用的功能和效能,包括Web回應時間、資料庫服務、磁碟讀寫等。 |
如何判斷業務是否已遭受DDoS攻擊?
出現以下情況時,您的業務可能已遭受DDoS攻擊:
網路和裝置正常的情況下,伺服器突然出現串連斷開、訪問卡頓、使用者掉線等情況。
伺服器CPU或記憶體佔用率出現明顯增長。
網路出方向或入方向流量出現明顯增長。
您的業務網站或應用程式突然出現大量的未知訪問。
登入伺服器失敗或者登入過慢。
資產是否受到攻擊,請以流量安全控制台上資產中心頁面顯示的資產狀態為準。關於如何查看資產狀態,請參見資產中心。