全部產品
Search
文件中心

Anti-DDoS:什麼是DDoS攻擊

更新時間:Jul 10, 2024

分散式阻斷服務(Distributed Denial of Service,簡稱DDoS)是指將多台電腦聯合起來作為攻擊平台,通過遠端連線,利用惡意程式對一個或多個目標發起DDoS攻擊,消耗目標伺服器效能或網路頻寬,從而造成伺服器無法正常地提供服務。

攻擊原理

通常,攻擊者使用一個非法帳號將DDoS主控程式安裝在一台電腦上,並在網路上的多台電腦上安裝代理程式。在所設定的時間內,主控程式與大量代理程式進行通訊,代理程式收到指令時對目標發動攻擊,主控程式甚至能在幾秒鐘內啟用成百上千次代理程式的運行。

DDoS攻擊的危害

DDoS攻擊會對您的業務造成以下危害:

  • 重大經濟損失

    在遭受DDoS攻擊後,您的來源站點伺服器可能無法提供服務,導致使用者無法訪問您的業務,從而造成巨大的經濟損失和品牌損失。

    例如:某電商平台在遭受DDoS攻擊時,網站無法正常訪問甚至出現短暫的關閉,導致合法使用者無法下單購買商品等。

  • 資料泄露

    駭客在對您的伺服器進行DDoS攻擊時,可能會趁機竊取您業務的核心資料。

  • 惡意競爭

    部分行業存在惡性競爭,競爭者可能會通過DDoS攻擊惡意攻擊您的服務,從而在行業競爭中擷取優勢。

    例如:某遊戲業務遭受了DDoS攻擊,遊戲玩家數量銳減,導致該遊戲業務幾天內迅速徹底下線。

常見的DDoS攻擊類型

DDoS攻擊分類

攻擊子類

描述

畸形報文

畸形報文主要包括Frag Flood、Smurf、Stream Flood、Land Flood、IP畸形報文、TCP畸形報文、UDP畸形報文等。

畸形報文攻擊指通過向目標系統發送有缺陷的IP報文,使得目標系統在處理這樣的報文時出現崩潰,從而達到拒絕服務的攻擊目的。

傳輸層DDoS攻擊

傳輸層DDoS攻擊主要包括Syn Flood、Ack Flood、UDP Flood、ICMP Flood、RstFlood等。

以Syn Flood攻擊為例,它利用了TCP協議的三向交握機制,當服務端接收到一個Syn請求時,服務端必須使用一個監聽隊列將該串連儲存一定時間。因此,通過向服務端不停發送Syn請求,但不響應Syn+Ack報文,從而消耗服務端的資源。當監聽隊列被佔滿時,服務端將無法響應正常使用者的請求,達到拒絕服務的攻擊的目的。

DNS DDoS攻擊

DNS DDoS攻擊主要包括DNS Request Flood、DNS Response Flood、虛假源+真實源DNS Query Flood、權威伺服器攻擊和Local伺服器攻擊等。

以DNS Query Flood攻擊為例,其本質上執行的是真實的Query請求,屬於正常業務行為。但如果多台傀儡機同時發起海量的網域名稱查詢請求,服務端無法響應正常的Query請求,從而導致拒絕服務。

串連型DDoS攻擊

串連型DDoS攻擊主要是指TCP慢速連線攻擊、串連耗盡攻擊、Loic、Hoic、Slowloris、 Pyloris、Xoic等慢速攻擊。

以Slowloris攻擊為例,其攻擊目標是Web伺服器的並發上限。當Web伺服器的串連並發數達到上限後,Web服務即無法接收新的請求。Web服務接收到新的HTTP請求時,建立新的串連來處理請求,並在處理完成後關閉這個串連。如果該串連一直處於串連狀態,收到新的HTTP請求時則需要建立新的串連進行處理。而當所有串連都處於串連狀態時,Web將無法處理任何新的請求。

Slowloris攻擊利用HTTP協議的特性來達到攻擊目的。HTTP請求以\r\n\r\n標識Headers的結束,如果Web服務端只收到\r\n,則認為HTTP Headers部分沒有結束,將保留該串連並等待後續的請求內容。

Web應用程式層DDoS攻擊

Web應用程式層攻擊主要是指HTTP Get Flood、HTTP Post Flood、CC等攻擊。

通常應用程式層攻擊完全類比使用者請求,類似於各種搜尋引擎和爬蟲一樣,這些攻擊行為和正常的業務並沒有嚴格的邊界,難以辨別。

Web服務中一些資源消耗較大的事務和頁面。例如,Web應用中的分頁和分表,如果控制頁面的參數過大,頻繁的翻頁將會佔用較多的Web服務資源。尤其在高並發頻繁調用的情況下,類似這樣的事務就成了早期CC攻擊的目標。

由於現在的攻擊大都是混合型的,因此類比使用者行為的頻繁操作都可以被認為是CC攻擊。例如,各種刷票軟體對網站的訪問,從某種程度上來說就是CC攻擊。

CC攻擊瞄準的是Web應用的後端業務,除了導致拒絕服務外,還會直接影響Web應用的功能和效能,包括Web回應時間、資料庫服務、磁碟讀寫等。

如何判斷業務是否已遭受DDoS攻擊?

出現以下情況時,您的業務可能已遭受DDoS攻擊:

  • 網路和裝置正常的情況下,伺服器突然出現串連斷開、訪問卡頓、使用者掉線等情況。

  • 伺服器CPU或記憶體佔用率出現明顯增長。

  • 網路出方向或入方向流量出現明顯增長。

  • 您的業務網站或應用程式突然出現大量的未知訪問。

  • 登入伺服器失敗或者登入過慢。

說明

資產是否受到攻擊,請以流量安全控制台上資產中心頁面顯示的資產狀態為準。關於如何查看資產狀態,請參見資產中心